국정원 개혁과 인권 중심의 사이버 보안 정책이 필요하다.
지난 12월 27일 열린 국무회의에서 <국가사이버안보기본법안>이 의결되었다고 한다. 이 법안은 9월 1일 국가정보원이 입법예고한 것으로 지난 국회에서 발의되었다가 회기 만료로 폐기된 ‘사이버테러방지법’이 이름만 바뀐 것이다.
청와대 국가안보실장이 사이버 보안의 컨트롤타워를 맡는다고 하지만, 실제 집행의 컨트롤타워는 국정원이다. 국정원은 사이버안보 기본계획을 수립·시행하고, 사이버 안보 실태를 평가하며, ‘국가 안보를 위협하는 사이버 공격’의 신고를 접수하고 사고조사도 시행한다. 대통령 권한대행에 불과한 황교안 국무총리가 국정원 권한 확대와 국내 사이버 보안 정책에 영향을 미칠 법안을 의결한 것은 박근혜표 정책을 그대로 밀어 붙이려는 의지를 보인 것으로 국민과 싸우겠다는 것이나 다름없다.
이미 국정원은 <정보통신기반보호법>과 대통령 훈령인 <국가사이버안전관리규정>에 따라 국가정보통신망에 대해서 이 법안과 유사한 권한을 가지고 있다. 기존 19대 국회에서 발의된 사이버테러방지법안과 마찬가지로, 이 법안 역시 국정원의 권한을 민간으로 확대한다. 국가 핵심기술을 보유한 기업체 등은 이미 법안의 적용 대상에 포함되어 있고, 그간의 비판을 의식해서인지 포털 등 주요 정보통신서비스제공자는 명시적으로 포함되어 있지는 않지만, 국가사이버안보위원회의 의결로 그 적용대상을 확대할 수 있기 때문에 포털과 언론사 역시 언제든 포함될 수 있다. 민간 정보통신망에 대한 국정원의 사찰과 감시가 우려되는 이유다.
지난 18대 국회에서부터 사이버테러방지법안은 빈번하게 발의되었지만, 야당과 시민사회의 반대로 다행히 아직까지는 국회의 문턱은 넘지 못했다. 그러나 야당과 시민사회는 이제 사이버테러방지법안 반대를 넘어, 그 이상으로 나아가야 한다. 즉, 국내 사이버 보안 전략을 새롭게 수립하고, 그 책임 단위도 재구성할 필요가 있다.
사이버테러방지법안이 아니더라도, 이미 국정원은 국내 사이버 보안과 관련하여 중추적인 역할을 맡고 있다. 국가 사이버안전 정책·관리를 총괄·조정하고, 공공분야의 국가기반시설의 사이버 보안을 책임지며, 공공기관의 정보보안 관리실태 평가, 정보통신 기기에 대한 보안적합성 검증, 암호 모듈의 검증 등의 역할을 수행해 왔다. 이에 따라, 국정원 내에서 사이버 보안 담당 부서의 규모와 위상도 커지고 있다.
그런데 이상하지 않은가? 국정원은 밀행성과 은밀성을 기본 속성으로 하는 비밀정보기관이다. 반면, 한 국가의 사이버 보안 정책은 공공정책의 하나로서 투명하게 수립되고 민주적으로 시행되어야 한다. 또한, 모든 사이버 보안이 ‘국가 안보’와 관계된 것은 아니며, 인터넷 상 해커나 범죄자의 단속, 기업의 일상적인 정보 보안, 이용자 개인의 보안까지 그 범위가 폭넓다.
이는 <국정원법>에서 규정한 국정원의 업무 범위를 훨씬 뛰어 넘는 것일 뿐만 아니라, 정책의 투명성과 민간과의 협력을 약화시키며, 정보통신망에 대한 감시·사찰에 대한 우려를 불러올 수밖에 없다. 세계 어느 나라도 비밀정보기관이 사이버 보안에 대한 컨트롤타워의 역할을 맡는 경우는 없다.
촛불 시민들이 원하는 것은 비단 박근혜 대통령의 퇴진만이 아니라, 기존의 적폐들에 대한 완전한 청산이며 사회 시스템의 민주적인 개혁이다. 국정원이 청산과 개혁의 1순위 대상임은 명확하다. 시민사회는 지금까지 국정원의 국내정보 수집권, 수사권 및 기획·조정 권한을 폐지하고, 전문 해외정보기관으로 개혁할 것을 요구해왔다. 이와 함께 사이버 보안 관련 국정원의 권한 역시 투명한 감독을 받을 수 있는 다른 정부부처로 이관되어야 한다.
국내 사이버 보안 전략도 새롭게 수립 될 필요가 있다. 지금까지 국내 사이버 보안 전략은 이번 법안과 같이 ‘사이버안보’라는 이름으로 ‘국가안보’적 측면만 강조되어 왔다. 그러나 사이버 보안 전략은 우리가 지향하는 정보사회의 가치와 운영 원칙을 포함하여, 그러한 가치와 원칙을 지키기 위한 제반 이슈들, 예를 들어 사이버 범죄, 정보 보안, 외교적 측면 등을 종합적으로 다룰 필요가 있다. 영국, 일본 등 해외 국가의 사이버 보안 전략은 표현의 자유와 프라이버시 등 인권 보장, 인터넷의 개방성과 혁신의 유지, 공공과 민간의 협력과 참여 등을 기본 원칙에 포함하고 있다. 우리의 사이버 보안 전략 역시 이러한 가치를 반영할 필요가 있다.
이와 함께 ‘기본법’ 제정이 필요하다면, 기존 사이버 보안 관련 법률에 대한 전체적인 재검토가 수반되어야 한다. 기존 사이버 전략에 대한 근본적인 평가로부터 시작하여, 법령간에 개념의 일관된 적용이나 중복 규제의 개선까지 전반적인 개편이 필요하다. 그렇지 않고, 국가사이버안보기본법안과 같이 그 위상도 모호하고 개념 규정 조차 다른 법령과 일관성이 없는 또 하나의 법령을 내놓는 것은 혼란을 가중시킬 뿐이며, 사이버 보안을 오히려 약화시키게 될 것이다.
시기는 확정되지 않았지만, 2017년 대선을 거쳐 새 정부가 들어설 것이다. 새 정부에서는 사이버 보안 분야에서도 촛불 민심이 요구하는 근본적인 개혁이 이루어지기를 기대한다.