통신비밀패킷감청프라이버시

[기고] 국정원이 테러를 감시? 제 앞가림도 못하는데?

By 2015/12/03 4월 18th, 2018 No Comments
국정원의, 국정원에 의한, 국정원을 위한 사이버테러방지법… 인터넷 사찰·감시 강화 우려
지난 12월1일 밤, 새누리당과 새정치연합이 노동 악법과 테러방지법을 정기 국회 내에 통과시키겠다고 합의하였다고 해서 소동이 있었다. 새누리당이 선정한 테러방지법안은 모두 12개로 ‘사이버테러방지’ 관련한 법안 4개도 포함하고 있다.

지난 2013년 에드워드 스노든이 미국 국가안보국(NSA)의 무차별 대량 감시 실태를 폭로하였다(이번에 개봉된 영화 ‘시티즌포’에서 다룬 바로 그 사건이다). 정보기관에 의한 과도한 통신 감시에 비판의 목소리가 높았고 유엔과 미국에서는 프라이버시권 보호를 위한 법제도 개선 요구가 분주하였다. 2013년, 2014년 두 차례에 걸쳐 ‘디지털 시대 프라이버시권’ 결의안이 채택되었고, 미국에서는 올해 통과된 미국 자유법에 따라 국가안보국의 대규모 통화기록 수집 프로그램이 최근 중단되기도 했다.

그러나 파리, 레바논 등에서 발생한 테러를 계기로 이러한 흐름이 반전되고 있다. 각 국은 테러에 대한 강력한 대응을 천명하고 있는데, 테러의 탐지와 예방을 위해 온라인 데이터에 대한 정보기관의 접근을 강화하고, IT 기업들의 암호화된 서비스에 접근할 수 있는 권한(백도어, back-door)까지 요구하고 있다고 한다. 심지어 미국 정보기관은 스노든의 폭로 때문에 파리 테러를 막지 못했다고 비난을 하였다.

정보기관들의 반격은 한국에서 역시 예외가 아니다. 해킹 소프트웨어 RCS 사용 논란으로 수세에 몰렸던 국가정보원과 정부, 여당이 마치 기다렸다는 듯이 이 기회를 덥석 물었다. 한국에서 테러가 발생할 것이라는 아무런 구체적인 근거도 없이, 갑작스럽게 테러방지법과 사이버테러방지법이 추진되고 있다. 감시는 공포를 먹고 자란다고 했던가. 주요 언론은 한국이 테러 대상국이 될 수 있다는 공포를 주입하고 있다. (사이버)테러 위협에 대한 토론회가 열리고, 한국 역시 테러 청정 국가가 아니라는 컬럼이 쏟아지고 있다. 충분한 토론도 없이 테러 공포를 빌미로 사이버/테러방지법을 밀어 부치고 있다.

새누리당이야 그렇다 치고, 새정치연합 역시 ‘안보 프레임’에서 벗어나지 못한 모양새다. 물론 시민의 안보와 안전을 책임지는 것은 국가의 당연한 역할이다. 그러나 사이버/테러방지법이 시민의 안보나 안전과 관련이 있을지는 의문이다. 아니, 오히려 그것을 위협할 가능성이 크다. (이 글에서는 사이버테러방지법을 중심으로 다루고자 한다.)

이노근, 서상기, 하태경 등이 발의한 소위 사이버테러방지법은 한 마디로 국정원의 사이버 통제 권한을 민간으로 확대하기 위한 법에 다름 아니다. 발의된 이 법안들의 내용과 사실 거의 유사한 내용이 이미 ‘국가사이버안전관리규정’에 규정되어 있다. 다만, 이 규정은 ‘중앙행정기관, 지방자치단체 및 공공기관의 정보통신망’에 적용되는데, 이 법들은 국정원의 권한을 민간의 정보통신망에까지 확대하려는 것이다.

사이버 계엄을 선포할 셈인가

국정원은 ‘국가사이버안전센터’를 통해 사이버테러에 대한 예방과 대응을 담당하며, 민-관-군을 모두 지휘하게 된다. 공공뿐만 아니라, 민간망도 포함하며, 이에는 통신사, 포털, 언론 등 주요 정보통신서비스제공자가 포함된다. 국가사이버안전센터는 사이버테러 방지 및 예방을 위한 정책 수립 뿐만 아니라, 사이버테러 관련 정보의 수집.분석.전파, 사이버테러 사고의 조사 및 복구 지원 등의 역할을 맡는다. 국정원은 국가사이버안전센터 뿐만 아니라, 사이버테러 방지 및 대응에 관한 중요사항을 심의하는 ‘사이버안전전략회의’까지 담당한다.

사이버 테러에 대한 대응을 국정원이 담당하는 것이 무슨 문제냐고? 그럼, 사이버 테러의 정의를 보자. 법안은 사이버 테러를 “해킹·컴퓨터 바이러스·서비스방해·전자기파 등 전자적 수단에 의하여 정보통신시설을 침입·교란·마비·파괴하거나 정보를 절취·훼손·왜곡전파 하는 등 모든 공격행위”로 규정되어 있다. 즉, 이는 인터넷 상의 모든 종류의 보안 위협을 의미한다. 하루에도 다반사로 이루어지는 새로운 바이러스의 유포, 크고 작은 해킹 사고들, (개인)정보의 유출 등. (사실 이 정의에 따르면, 이미 국정원이 RCS를 통해 사이버 테러 행위를 자행한 셈이다.) 이 모든 행위들이 ‘테러’로 규정된다. 그리고 국정원이 조사 권한을 갖고, 관련된 정보를 수집할 수 있으며, 대응할 수 있는 권한을 갖게 된다. 특별한 사고가 없더라도 보안관제센터를 통해서 사이버 테러 관련 정보를 탐지.분석할 수 있는데, 그러나 사이버 테러가 모든 종류의 온라인 상 위협을 포함하고 있고, 또한 사전에 사이버 테러 관련된 정보인지 알 수 없으니 사실상 모든 시스템 운영과 관련된 정보를 수집할 수 있게 되는 셈이다. 민간의 망이나 소프트웨어의 보안 취약점 등도 국가정보원에 공유된다. 마치 미국 국가안보국(NSA)의 무차별 대량 감시와 같이 한국의 국정원 역시 민간의 정보통신망에 대해서 무차별적 접근, 개입 권한을 갖게 되는 것이다. 이는 ‘사이버 계엄’이나 마찬가지다.

사실 사이버 테러라는 개념 자체가 모호하기 짝이 없으며, 국제적인 합의조차 되어있지 않다. 온라인 상 위협은 경찰이나 검찰 등 수사기관이 담당해야 할 ‘사이버 범죄’라는 개념으로 표현되기도 하고, 국가 간의 분쟁을 포함한 ‘사이버 전쟁’의 맥락에서 다뤄지기도 한다. 사이버 범죄는 인터넷 상의 명예훼손이나 음란물 배포와 같은 불법 콘텐츠와 관련된문제에서부터, 해킹과 같은 특정 시스템에 대한 침입 문제, 혹은 내부자를 통한 개인정보 유출 문제까지 포함한다. 설사 어떤 해킹 사고가 발생하더라도, 이것이 실험 삼아 해본 해킹인지, 특정한 정치적 목적을 가진 테러인지 밝히는 것은 쉽지 않다. 이를 사이버 테러라는 개념으로 일반화하여, 국정원과 같은 특정 기관에게 포괄적 권한을 부여하는 것은 위험한 일이며, 백번 양보해서 국정원이 아니라 다른 부처, 예를 들어 미래창조과학부가 담당한다고 하더라도 용납할 수 없는 일이다.

국정원에 의한, 국정원을 위한 사이버테러방지법

물론 정보통신망이나 정보통신기기, 혹은 개인정보에 대한 보안이 필요 없다는 얘기가 아니다. 그러나 한국은 이미 이를 위한 다양한 법 제도적 장치를 가지고 있다. 예컨데, 앞서 얘기했다시피 공공 정보통신망에 대한 보안은 이미 국정원이 담당하고 있다. (필요할 경우 민간과의 협력이나 전문기관의 지원도 받을 수 있다.) 정보통신망법, 형법, 정보통신기반보호법 등에서 정보통신망 침해행위, 악성 프로그램 배포행위, 업무 방해행위 등을 금지하고 있고, 이에 대한 대응 조치를 명시하고 있다. 국가적인 차원의 보안 전략 논의를 위해 ‘국가사이버안전전략회의’도 이미 두고 있다.

사이버테러방지법의 입법 목적은 오로지 국정원의 권한을 민간으로 확대하는 것밖에 없어 보인다. 국정원장이 (사이버)테러방지법 통과를 위해 국회 정보위원회 의원들을 만나고 다니는 모양이다. 사이버테러방지법은 국정원에 의한, 국정원을 위한 법일 뿐이다.

왜 국정원 권한 강화에 반대하는가? 일부 칼럼에서는 국정원의 인권 침해 우려 때문에 테러방지법이 발목 잡혀서는 안된다고 주장한다. 그러나 권력 기관의 권한에는, 그 남용을 방지할 수 있는 투명성과 책임성을 보장할 수 있는 장치가 필수적이다. 그것이 모든 민주 사회의 근본 원리가 아니던가. <테러방지에 관한 국제인권원칙과 기준>에서도, 유엔인권최고대표는 정보기관의 권한 남용으로 인한 인권침해를 막을 수 있는 안전장치가 필요함을 강조한 바 있다. 또한, 광범위한 감청에 따른 사생활에 대한 권리의 불법적인 침해와 정부기관 간 개인정보의 공유 확대 등의 조치에 대해 우려를 표했다.

그러나 한국의 국정원은 어떠한가. 해외 대다수의 정보기관은 수사권과 정보 수집 활동이 분리되어 있고, 국내외 해외 파트도 나누어져 있다. 그러나 한국의 국정원은 처음부터 이 모든 권한을 가지고 있었고, 그 결과는 우리 모두가 알다시피 끊임없는 국내 정치에의 개입과 국민에 대한 사찰이었다. 바로 지난 대선에서 인터넷 댓글과 SNS를 통해 국정원이 여론 조작을 하고 대선에 개입했음을 우리는 잊지 않고 있으며, 불과 몇 달 전에 국정원이 아무도 모르게 RCS 라는 해킹 프로그램을 사용해왔음이 드러났지 않았는가. 국정원이 RCS를 국내 민간인 사찰에 이용했는지 여부와 상관없이, 이미 오래 전부터 국정원이 RCS를 사용해왔음에도 불구하고 아무도 모르고 있었고, 그 사실이 밝혀진 이후에도 국회 정보위원회조차 관련 자료에 접근할 수 없다는 사실은 국정원에 대한 사회적 감독 체제가 미흡하다는 사실을 보여준다. 그리고 야당은, 우리 사회는 국정원을 개혁할 수 있는 이 두 번의 기회를 별다른 성과 없이 놓치고 말았다. 국정원의 개혁을 요구해도 모자랄 판에, 야당이 국정원 권한을 강화 시키는 법안에 합의한 것은 참으로 한심한 일이다.

인권의 관점에서 보안과 안전을 바라보자

보안과 인권이 대립적인 것만은 아니다. 시민들은 인권이 보장 받기를 원하고, 또 보안을, 안전을 보장받기를 원한다. 사이버에서도 마찬가지다. 사이버 안전은 정보통신망과 기기의 안전만이 아니다. 궁극적으로는 시민들이, 이용자들이 안심하고 인터넷을 사용할 수 있는 것이 중요하다. 보안과 안전은 사람을 중심으로 다시 설계되어야 한다. 우리는 이미 이용자의 안전을 위협하는 사건들을 많이 겪었다. SK컴즈와 같은 포털에서, KT와 같은 통신망에서, 신용카드 회사에서 수없이 많은 보안 사고와 개인정보 유출이 일어났다. 카카오톡에 대한 감시, 기지국을 통한 무차별적인 정보 수집, RCS와 같은 해킹 소프트웨어의 사용을 통해 시민들의 인권과 안전을 위협하고 있다. 이를 위한 보안 조치를 요구했지만, 정부와 국회는 이러한 요구에 제대로 응답하지 않았다.

시민들의 안전을 위해 무언가 하고 싶은가? 지금 사이버/테러방지법이 아니라, 시급하게 처리해야할 것들이 무수히 많다. 정보 인권과 관련된 것만 보더라도, 주민등록제도 개혁을 위한 주민등록법 개정안, 통신 감시를 통제하고 이용자의 안전한 소통을 보장할 통신비밀보호법 개정안 등이 국회에서 잠자고 있다. 다시금 세월호와 같은 참사가 발생하지 않기 위해서는 세월호 특조위를 통한 진상 규명과 대안 마련이 시급할 터인데, 특조위의 활동을 끊임없이 방해하면서 시민들의 안전을 위해 테러방지법이 필요하다고 얘기하는 것은 가소로운 일이다.

보안 전문가인 브루스 슈나이어는 우리의 뇌는 위험 분석에 능숙하지 않으며, 그래서 테러와 같이 사실은 드물고 극적인 사건에 대해서는 과도하게 반응하면서, 일상적이고 친숙한 위험(?)은 과소평가하는 경향이 있다고 지적한다. 혹시나 모를 테러 위협보다 노동악법을 통한 대량 해고와 노동조건 악화가 이 땅의 민중들에게는 훨씬 끔찍한 일일 것이다.

* 2015년 12월 3일 ‘미디어오늘’에 기고한 글입니다.
기사 원문 바로 가기 (http://www.mediatoday.co.kr/news/articleView.html?idxno=126412)