국회의장의 직권상정과 이에 맞선 야당 의원들의 필리버스터가 이어지면서 테러방지법에 관한 여론의 관심이 높아졌다. 그런데, 아직 직권상정이 되지 않았지만 테러방지법과 함께 처리될 계획이었던 법안이 있다. 바로 사이버테러방지법이다. 새누리당은 사이버테러방지법안의 직권상정을 강력하게 요구하고 있다.
이유는 그럴싸하다. 테러방지법이 그렇듯 사이버테러방지법도 사이버테러를 막는다는 명분을 갖고 있다. 하지만 테러방지법과 마찬가지로 제 역할은 하지 못하면서 국정원에 과도한 권한을 부여하는 점이 문제다. 테러방지법이 주로 정적이나 정부에 비판적인 주장을 하는 단체에 쓰일 우려가 있다면, 사이버테러방지법은 인터넷을 쓰는 사람이라면 누구나 불필요한 감시를 당할 가능성이 있다.
서울 양재동에 위치한 법무법인 지향 사무실에서 25일 만난 이은우 변호사(진보네트워크센터 운영위원)는 “사이버테러방지법은 도둑이 들어올 수 있다는 우려가 있으니 모든 집 안에 CCTV를 설치해 국정원이 대신 감시해주는 것”이라고 비유했다 “국정원이 어떤 역할을 해온 조직인지 생각해보면 걱정이 될 수 밖에 없다.”
다음은 일문일답이다.
- 사이버테러방지법은 어떤 내용인가
“가장 큰 변화는 국정원 소속인 사이버안전센터가 만들어진다는 점이다. 이 기관은 공공기관 뿐 아니라 민간업체의 사이트까지 관리하고 통제하게 된다. 국정원이 지침을 내리고, 실질적인 조사권한을 부여받아 행사할 수 있다. 조사를 핑계로 기존에 영장이 필요했던 이용자의 정보를 요구할 수 있다. 기본적으로 상시로 24시간 감시체계를 구축하는데, 국정원이 간접적으로 공공기관과 민간기업 사이트의 관리자 정보를 들여다 볼 우려도 있다.”
“가장 큰 변화는 국정원 소속인 사이버안전센터가 만들어진다는 점이다. 이 기관은 공공기관 뿐 아니라 민간업체의 사이트까지 관리하고 통제하게 된다. 국정원이 지침을 내리고, 실질적인 조사권한을 부여받아 행사할 수 있다. 조사를 핑계로 기존에 영장이 필요했던 이용자의 정보를 요구할 수 있다. 기본적으로 상시로 24시간 감시체계를 구축하는데, 국정원이 간접적으로 공공기관과 민간기업 사이트의 관리자 정보를 들여다 볼 우려도 있다.”
- 사이버안전센터는 무슨 일을 하나
“법에서 명시한 역할은 테러방지 및 위기관리 정책을 수립하고 사이버테러 관련 정보의 수집과 분석, 전파를 하는 것이다. 또, 사이버테러 사고의 조사 및 복구지원을 한다. 달리 말하면 업무과정에서 이들 기관을 엿볼 가능성이 많다. 사이버테러 관련정보를 상시로 수집할 수 있고, 사이버테러가 터지면 조사를 핑계로 민간기업의 폭 넓은 정보를 들여다볼 수 있다. 또, 안전센터가 내리는 조치사항을 사업자는 특별한 이유가 없는 한 따라야 한다. 이용자 정보를 달라고 요구하더라도 말이다.”
- 사이버테러가 벌어지지 않으면 국정원의 권한이 크게 행사되지 않는 건가
“언제든 국정원이 개입할 빌미를 만들 수 있다는 점이 문제다. 법에 따르면 ‘공공의 안전을 위태롭게 할 목적’으로 하면 사이버테러다. 범위가 굉장히 넓고 모호해 판단하기에 따라 다를 것이다. 사이버테러를 일으킨 대상은 ‘해킹조직’이라고 돼 있는데 2명 이상만 있어도 조직은 된다. 바이러스와 해킹 등 사이버 상의 공격 전반을 모조리 사이버테러로 규정하고 있다. 즉, 2명의 팀이 바이러스 한번 퍼뜨려도 국정원이 개입할 수 있는 길을 열어준 것이다.”
“언제든 국정원이 개입할 빌미를 만들 수 있다는 점이 문제다. 법에 따르면 ‘공공의 안전을 위태롭게 할 목적’으로 하면 사이버테러다. 범위가 굉장히 넓고 모호해 판단하기에 따라 다를 것이다. 사이버테러를 일으킨 대상은 ‘해킹조직’이라고 돼 있는데 2명 이상만 있어도 조직은 된다. 바이러스와 해킹 등 사이버 상의 공격 전반을 모조리 사이버테러로 규정하고 있다. 즉, 2명의 팀이 바이러스 한번 퍼뜨려도 국정원이 개입할 수 있는 길을 열어준 것이다.”
- 일상적 상황에서는 어떤 점이 문제인가
“지금도 국정원은 정보통신기반시설법에 근거해 공공기관에 보안지침을 내리고 점검을 한다. 지침대로 이행이 안 되면 시정하라고 요구를 할 수도 있고 자료를 요구할 수도 있다. 사이버테러방지법이 통과되면 민간까지 이 영향력이 확대된다고 보면 된다. 국정원이 해외정보수집에는 잼병 같지만 이쪽에서는 기술력이 대단하다는 점도 중요하다.”
- 국정원이 직접 보안업체 역할을 하는 건가
“법이 통과되면 민간기업은 보안관제센터를 두거나 위탁을 해야 한다. 주로 위탁을 하게 될 텐데 위탁계약은 보안관리업체와 맺어야 한다. 문제는 이들 업체의 보안솔루션 인증을 국정원이 하고 있다는 점이다. 대부분의 업체가 국정원과 직간접적으로 연결 돼 있기도 하다. 즉, 테러가 벌어지지 않더라도 국정원이 중추 역할을 한다. 이들 보안업체가 민간으로부터 받는 정보를 국정원이 요구해 들여다 볼 우려가 있다는 것이다.”
- 국정원이 관리하는 ‘민간’의 범위는 어디까지 해당되는 건가
“네이버나 카카오와 같은 포털과 인터넷 쇼핑몰 등 포괄적이다. 이들은 주요정보통신서비스제공자로 분류되는데, 사이버테러방지법은 주요정보통신서비스제공자를 ‘책임기관’으로 명시하고 있다. 이 외에도 직접정보통신시설자업자인 통신3사도 국정원이 관할한다. 기존에는 공공기관 사이트만 국정원이 관할하고 민간부문은 미래창조과학부 소관이었는데 미래부가 무력화되고 국정원으로 넘어가는 것이다.”
“네이버나 카카오와 같은 포털과 인터넷 쇼핑몰 등 포괄적이다. 이들은 주요정보통신서비스제공자로 분류되는데, 사이버테러방지법은 주요정보통신서비스제공자를 ‘책임기관’으로 명시하고 있다. 이 외에도 직접정보통신시설자업자인 통신3사도 국정원이 관할한다. 기존에는 공공기관 사이트만 국정원이 관할하고 민간부문은 미래창조과학부 소관이었는데 미래부가 무력화되고 국정원으로 넘어가는 것이다.”
- 이용자 입장에선 어떤 피해가 우려되나
“영장을 제시하지 않고도 대대적인 사찰이 벌어질 수 있다. 현재 국정원이 관리하는 공공기관 사이트에 대한 정보 역시 국정원이 들여다볼 수 있지만 영장주의가 확실히 명시되지 않았다. 이게 그대로 확대되면 민간망도 상시로 관제를 하는데 영장주의가 적용되지 않게 된다. 국정원이 국민 재산 지켜주겠다면서 집집마다 CCTV를 달아주며 ‘내가 지켜주겠다. 믿어라’라고 이야기하는 거다. 과거 행적을 돌이켜봤을 때 국정원이 그걸 가지고 어떤 일을 할지 모른다.”
“영장을 제시하지 않고도 대대적인 사찰이 벌어질 수 있다. 현재 국정원이 관리하는 공공기관 사이트에 대한 정보 역시 국정원이 들여다볼 수 있지만 영장주의가 확실히 명시되지 않았다. 이게 그대로 확대되면 민간망도 상시로 관제를 하는데 영장주의가 적용되지 않게 된다. 국정원이 국민 재산 지켜주겠다면서 집집마다 CCTV를 달아주며 ‘내가 지켜주겠다. 믿어라’라고 이야기하는 거다. 과거 행적을 돌이켜봤을 때 국정원이 그걸 가지고 어떤 일을 할지 모른다.”
- 국민을 어디까지 감시할 수 있나
“(보안업체를 통해) 상시로 있는 정보를 통째로 가져가 분석할 수 있다고 보면 된다. 보안관제시스템 자체가 기본적으로 발생하는 모든 자료를 분석하고 감시하는 것이다. 더군다나 사고가 발생하면 사고조사를 핑계로 권한과 자료를 요구해 아예 관리자모드로 사이트에 접근해 뒤질 수도 있고 통째로 데이터를 가져다가 분석할 수도 있다. 포털로 치면 검색기록, 주고 받은 메신저와 전자우편 내용, 열어본 사이트들을 그대로 알 수 있다. 그러니 제도적인 견제장치가 마련되지 않은 이상 도입해서는 안 된다는 거다.”
“(보안업체를 통해) 상시로 있는 정보를 통째로 가져가 분석할 수 있다고 보면 된다. 보안관제시스템 자체가 기본적으로 발생하는 모든 자료를 분석하고 감시하는 것이다. 더군다나 사고가 발생하면 사고조사를 핑계로 권한과 자료를 요구해 아예 관리자모드로 사이트에 접근해 뒤질 수도 있고 통째로 데이터를 가져다가 분석할 수도 있다. 포털로 치면 검색기록, 주고 받은 메신저와 전자우편 내용, 열어본 사이트들을 그대로 알 수 있다. 그러니 제도적인 견제장치가 마련되지 않은 이상 도입해서는 안 된다는 거다.”
- 민간기업도 피해자가 될 것 같다
“국정원이 사이버 환경 전체를 주무를 수 있게 되면 공작정치가 횡행할 가능성이 있다. 민간부문에서 해킹사고가 발생했을 경우 국정원이 뒷조사를 해 얻은 정보를 토대로 민간기업을 압박할 수 있다. 예를 들면 은행이나 금융기관에 ‘개인정보유출사건 중 너희가 숨기는 게 있다’며 협박을 한다. 공정거래법 위반으로 조사하고 있는 기업의 경우 변호사와 주고 받은 전자우편을 들여다 보면서 저지를 할수도 있다. 정치인들을 조사해 돈을 주고 받는 등의 정보를 갖고 있다가 필요할 때에 터뜨릴 수도 있다.”
“국정원이 사이버 환경 전체를 주무를 수 있게 되면 공작정치가 횡행할 가능성이 있다. 민간부문에서 해킹사고가 발생했을 경우 국정원이 뒷조사를 해 얻은 정보를 토대로 민간기업을 압박할 수 있다. 예를 들면 은행이나 금융기관에 ‘개인정보유출사건 중 너희가 숨기는 게 있다’며 협박을 한다. 공정거래법 위반으로 조사하고 있는 기업의 경우 변호사와 주고 받은 전자우편을 들여다 보면서 저지를 할수도 있다. 정치인들을 조사해 돈을 주고 받는 등의 정보를 갖고 있다가 필요할 때에 터뜨릴 수도 있다.”
- 형사처벌 조항도 있던데
“웃긴 게 국정원이 잘못할 경우에 대한 처벌조항은 없으면서 민간 사업자에 대해서는 처벌조항이 있다. ‘보안취약점’을 안전센터에 보고하지 않으면 3년 이하의 징역에 처한다. 민간기업을 비밀리에 해킹해온 국정원이 보안취약점을 이들 업체로부터 보고받는다는 것도 문제다. ‘사이버테러’를 통해 겁을 주고 대놓고 백도어를 만들겠다는 의도일 수 있다.”
“웃긴 게 국정원이 잘못할 경우에 대한 처벌조항은 없으면서 민간 사업자에 대해서는 처벌조항이 있다. ‘보안취약점’을 안전센터에 보고하지 않으면 3년 이하의 징역에 처한다. 민간기업을 비밀리에 해킹해온 국정원이 보안취약점을 이들 업체로부터 보고받는다는 것도 문제다. ‘사이버테러’를 통해 겁을 주고 대놓고 백도어를 만들겠다는 의도일 수 있다.”
- 우리나라 사이버테러 대응시스템은 양호한 편인 건가
“시스템적으로는 잘 갖춰놓고 있다. 문제는 국정원이 권한이 부족해서가 아니라 보안에 대한 투자가 부족한 거다. 우리나라는 개인정보침해가 사고가 많이 발생한다. 그 이유는 보안솔루션 구입에 별로 신경을 쓰지 않기 때문이다. 특히, 테러위협이 있는 원자력발전소와 같은 기관의 보안조차 게을리하고 있으니 해킹을 당하는 거다. 정부여당이 진짜 의지가 있다면 법을 만들 게 아니라 투자를 확충하고, 기업들도 개인정보보호를 위한 투자를 더 해야 한다.”
“시스템적으로는 잘 갖춰놓고 있다. 문제는 국정원이 권한이 부족해서가 아니라 보안에 대한 투자가 부족한 거다. 우리나라는 개인정보침해가 사고가 많이 발생한다. 그 이유는 보안솔루션 구입에 별로 신경을 쓰지 않기 때문이다. 특히, 테러위협이 있는 원자력발전소와 같은 기관의 보안조차 게을리하고 있으니 해킹을 당하는 거다. 정부여당이 진짜 의지가 있다면 법을 만들 게 아니라 투자를 확충하고, 기업들도 개인정보보호를 위한 투자를 더 해야 한다.”
- 컨트롤타워가 국정원이라서 문제인 거지 통합적으로 관리하자는 주장 자체는 타당한 거 아닌가
“아니다. 오히려 사이버테러를 막으려면 집중이 아닌 분산을 해야 한다. 미국에서는 정부기관이 민간기업을 보안을 이유로 들여다보지 않는다. 사업자와 기관이 스스로 지키도록 한다. 정부는 기술표준을 만들고, 보안상태와 대책을 투명하게 공개하도록 하는 의무를 부여할 뿐이다 .우리나라도 그래야 한다. 국정원이 대신 지켜주게 한다는 건 말이 안 된다. 더욱이 국정원은 보안을 위협하는 기관이기도 하다. 테러라는 말을 여기저기 다 붙이면 안 된다. 이건 명백한 민간업무다.”
“아니다. 오히려 사이버테러를 막으려면 집중이 아닌 분산을 해야 한다. 미국에서는 정부기관이 민간기업을 보안을 이유로 들여다보지 않는다. 사업자와 기관이 스스로 지키도록 한다. 정부는 기술표준을 만들고, 보안상태와 대책을 투명하게 공개하도록 하는 의무를 부여할 뿐이다 .우리나라도 그래야 한다. 국정원이 대신 지켜주게 한다는 건 말이 안 된다. 더욱이 국정원은 보안을 위협하는 기관이기도 하다. 테러라는 말을 여기저기 다 붙이면 안 된다. 이건 명백한 민간업무다.”