사단법인 오픈넷은 지난 8월3일 17개 국제인권단체들과 함께 태국정부가 코로나 관련 긴급사태에 대응하겠다며 공포한 규정29호(Regulation No. 29)가 “(대중에게) 공포를 주입하는” 정보를 규제하고 형사처벌하는 것에 대해 반대성명을 발표했다. 올해 들어 대한민국을 포함하여 인도네시아, 말레이지아, 미얀마, 태국 등 아시아 지역에서 연이어 “가짜뉴스”를 규제하겠다는 명목으로 인권에 반하는 법안들이 통과되고 제출되고 있는 것에 대해 우려를 표한다.

태국은 코로나 사태와 관련하여 비상사태를 선포한 바 있고 2020년3월25일 공포된 비상사태행정에 대한 긴급시행령 제9조3항(section 9(3) of the Emergency Decree on Public Administration in Emergency Situation B.E. 2548)의 하위법령인 규정29호는 “공포를 주입하거나” 또는 “정보를 왜곡하여 비상상황을 오도하려는 의도를 가지고 국가안보, 공공질서 또는 국민도덕에 영향을 주는 문건”의 배포를 최고 2년의 징역형 및 벌금에 처하며 이와 관련된 정부부처의 규제권한을 강화하였다. 우리나라의 언론중재법이 “허위 조작 보도”라는 새로운 범주를 만들어 내어 소위 언론의 “가짜뉴스”에 대한 징벌적 배상책임을 창설하려고 했던 움직임에 견줄 수 있다.

형사처벌 외에도 망사업자들은 법원의 영장이 없더라도 통신규제당국의 요청이 있을 경우 관련 IP주소를 즉시 차단함은 물론 IP주소를 제출하여 경찰수사가 이루어지도록 해야 할 의무를 갖게 되었으며 이 의무를 방기하는 망사업자들은 징계된다. 이 역시 우리나라에서도 전기통신사업법 제83조3항에 따라 전기통신사업자들이 영장 제시 없이도 가입자정보를 수사기관에 제출할 수 있도록 한 것에 견줄 수 있다.

규정29호는 코로나 상황과 관련하여 태국정부가 표현의 자유를 규제하려는  여러 시도들의 정점에 와 있다 – 긴급조치, 규정 1호 및 27호, 컴퓨터관련형법 2017년 개정법, 국왕모독죄, 모욕죄, 명예훼손죄 등. 우리나라처럼 명예훼손죄, 모욕죄가 고위공직자들의 평판 보호에 이용되고 있는 점도 비슷하다. 이들 법률들은 소위 “가짜뉴스” 규제를 위해 동원되어 정부의 방역조치에 비판적인 인사들에 대한 수사 및 처벌로 이어졌다. 이번 규정29호 역시 표현의 자유 차원에서 우려할 수 밖에 없다.

영문 원문은 여기 http://opennetkorea.org/en/wp/3367.

사실적시 명예훼손죄, 모욕죄 폐지 법안 발의를 환영한다

오픈넷, 사실적시 명예훼손죄, 모욕죄 폐지 법안에 대한 찬성의견 제출

최근 사실적시 명예훼손죄, 모욕죄를 폐지하는 내용의 법안이 연속으로 발의되고 있다. 박주민 의원 대표발의의 형법 개정안(의안번호: 2112050)은 사실적시 명예훼손죄와 모욕죄를 폐지하는 내용을, 김용민 의원 대표발의의 형법 개정안 (의안번호: 2111649)은 사실적시 명예훼손죄를 폐지하는 내용을 담고 있다. 보다 이전에 발의되었던 최강욱 의원 대표발의의 형법 개정안들은 각 사실적시 명예훼손죄를 ‘사생활의 비밀을 중대하게 침해하는 사실의 적시’로 축소하는 내용(의안번호: 2108530) 및 모욕죄를 폐지하는 내용(의안번호: 2109360)이다. 지난 9월 9일에는 인터넷상의 사실적시 명예훼손죄도 폐지하는 정보통신망법 개정안(박주민 의원 대표발의, 의안번호: 2112491)도 발의되었다. 

사단법인 오픈넷은 국회가 사실적시 명예훼손죄와 모욕죄의 폐지 법안 발의를 통해 국민의 표현의 자유를 보다 중시하는 움직임을 보여주고 있는 것을 환영하며, 이 법안들을 조속히 통과시킬 것을 촉구한다. 

진실을 말한 경우에도 형사처벌 대상으로 삼고 있는 사실적시 명예훼손죄는 미투 고발, 소비자 이용 후기, 상사나 권력자의 갑질 행태 폭로, 학교폭력 고발 등 각종 사회 부조리 고발 활동을 위축시키며, 이는 표현의 자유를 침해할 뿐만 아니라, 우리 사회에서 응당 드러나고 비판되고 개선되어야 할 부조리한 진실들을 은폐시켜 사회의 발전도 저해하는 요인으로 작용하고 있다. 진실한 사실을 토대로 토론과 숙의를 통해 공동체가 자유롭게 의사와 여론을 형성하는 것은 민주주의의 근간이라 할 것인데, 진실한 사실이 가려진 채 형성된 허위·과장된 명예를 보호하기 위해 진실을 말한 사람을 형사처벌하고 있는 사실적시 명예훼손죄는 헌법상 비례의 원칙에도 위배한다.

또한 단순히 개인의 부정적인 감정이나 의견을 표현하는 ‘모욕’ 행위가 모욕의 상대방의 사회적 평가, 외부의 평가에 영향을 준다고 보기 어려움에도 이를 형사처벌 대상으로 삼고 있는 모욕죄 역시 위헌성이 높다. 모욕죄는 공인들이 자신들에게 부정적인 표현을 하는 대중을 상대로 고소를 남발하여 자신에 대한 비판적 여론을 위축시키는 수단으로 많이 남용되고 있기도 하다. 

사실적시 명예훼손죄와 모욕죄는 대다수의 국민들을 형사피의자, 범죄자로 만들 수 있는 과도한 법으로, 국민의 법감정에도 어긋난다. 2011년 UN 인권위원회는 표현의 자유에 대한 일반논평 34호에서 사실이 진실한 경우에는 최소한 형사처벌 대상이 되어서는 안 되며,  사실적 주장이 아닌 단순한 견해나 감정표현에 대한 형사처벌도 폐지할 것을 규약 당사국들에게 권고한 바 있다.

이렇듯 헌법원칙과 국제인권기준, 국민의 법감정에도 어긋나는 사실적시 명예훼손죄와 모욕죄는 폐지되어야 하며, 국회가 이들 법안을 조속히 통과시키길 바란다. 또한 이들 법안을 발의한 진정한 취지가 민주주의 사회에서 공론장의 불필요한 위축을 방지하고 국민의 표현의 자유를 보다 중시하기 위함이라면, 언론, 표현의 자유를 심각하게 위축시킬 수 있는 언론중재법 및 정보통신망법 개정안의 통과를 그 조건으로 삼아서는 안 될 것이다.

2021년 9월 13일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, 010-5109-6846, [email protected]

[관련 글]

[입법정책의견] 사실적시 명예훼손죄 폐지 법률안(김용민, 2111649)에 대한 찬성의견 제출 (2021.08.12.)

[입법정책의견] 사실적시 명예훼손죄 개정안(최강욱, 2108530)에 대한 찬성의견 제출 (2021.03.17.)

[입법정책의견] 형법상 모욕죄 폐지하는 형법 개정안(최강욱, 2109360)에 대한 찬성의견 제출 (2021.04.21.)

[논평] 사실적시 명예훼손죄 합헌 결정 유감 (2021.02.25.)

[논평] 오픈넷, 사실적시 명예훼손죄 위헌확인 헌법소원 청구 (2021.01.22.)

[논평] 헌법재판소의 모욕죄(형법 제311조) 합헌 결정에 유감을 표한다 (2020.12.30.)

더불어민주당이 언론에 이어 일반 인터넷 이용자들의 불법정보 유포에도 엄중 대응하는 정책을 적극 추진할 것이라 밝혔다. 논란이 되고 있는 언론중재법 개정안과 유사하게 일반 인터넷 이용자들에게도 징벌적 손해배상제를 적용하고 입증책임도 전환시키는 내용의 정보통신망법 개정안(윤영찬 의원 대표발의, 의안번호: 2102291)이 현재 국회 과학기술정보방송통신위원회(이하 ‘과방위’) 법안소위에 회부되어 있다. 또한 국민의힘 박대출 의원이 대표발의한 일명 ‘인터넷 준실명제법’(의안번호: 2106387) 역시 과방위 법안소위를 통과하여 전체회의에 상정되어 있다.

그러나 이렇듯 표현행위에 대한 책임성 강화를 명분으로 일반 국민의 표현행위에 부담을 가중시키는 내용의 법안들은 국민의 표현행위를 두렵게 만들고 자기검열을 심화시켜 표현의 자유를 심각하게 위축시키는 위헌적 법안들로 폐기되어야 한다. 

윤영찬 의원이 대표발의한 정보통신망법 개정안은 ① 정보통신망 이용자가 고의 또는 중대한 과실로 거짓의 사실을 드러내어 타인의 명예를 훼손하는 내용의 정보 또는 불법정보를 생산·유통하여 손해가 발생한 경우 손해배상을 청구할 수 있도록 하면서 그 위반행위자로 하여금 고의·중과실이 없음을 입증하도록 하는 한편 (입증책임의 전환), ② 손해배상액은 그 손해액의 3배를 넘지 않는 범위 내에서 결정할 수 있도록 하고 있다(징벌적 손해배상). ‘1인 미디어’ 규제라고 알려져 있지만, 사실 1인 미디어를 구분하는 기준은 없기 때문에 모든 인터넷 이용자가 그 대상이며, 커뮤니티 게시글이나 댓글까지도 규제 대상이다. 또한 허위사실 명예훼손 정보뿐만 아니라, ‘모든 불법정보’ 유포의 경우에 적용되어 사실적시 명예훼손, 모욕, 저작권 침해 등의 정보까지 규제 대상이 되고, 이는 결국 모든 인터넷상의 표현행위를 둘러싼 민사 분쟁에 있어 입증책임의 전환 및 징벌적 손해배상제를 적용하겠다는 것과 다름없다. 언론을 대상으로 한 언론중재법 개정안도 위헌성이 높지만, 본 개정안은 사회적, 보도 윤리적 책임을 가진다고 보기 어려운 일반 대중에게도 높은 주의의무를 부담시키고, 거액의 손해배상책임의 위험과 더불어 입증책임까지 가중된 송사적 부담을 떠안게 하여 일반 국민의 인터넷상 표현의 자유를 전반적으로 위축시킨다는 점에서 위헌성이 훨씬 높다.

박대출 의원이 대표발의한 정보통신망법 개정안은 인터넷 사업자들이 이용자의 아이디 정보 및 IP 주소를 수집 및 공개하도록 강제하고 있다. 본 개정안에서 공개 의무가 있는 ‘아이디’란 ‘정보통신망의 정당한 이용자임을 알아보기 위한 이용자 식별부호’라고 규정하고 있는데, 이는 인터넷 이용자가 정당한 이용자임을 증명하기 위해 자신의 신원정보를 직·간접적으로 정보통신서비스 제공자에게 밝히지 않을 수 없도록 함으로써 익명표현의 자유를 필연적으로 제한하는 것이다. 헌법재판소가 설시했듯, 익명표현의 자유를 제한하는 규제는 일반 국민으로 하여금 보복의 우려 등으로 자기검열 아래 비판적 표현을 자제하게 만들고, 이는 곧 인터넷이 형성한 사상의 자유시장에서의 다양한 의견 교환을 억제하고 국민의 의사표현 자체를 위축시키며, 민주주의의 근간을 이루는 자유로운 여론 형성을 방해하는 것으로써 위헌이다.

언론개혁을 명분으로 언론을 ‘징벌’의 대상으로 규정한 언론중재법 개정안 논의가 위험한 것은, 이렇듯 표현물을 거대 위험물로 취급하고 표현행위에 책임과 위험부담을 가중시키는 기조가 결국 모든 국민의 ‘표현의 자유’를 옥죄는 규제로 이어질 수밖에 없기 때문이다. 국회는 민주주의 사회에서의 표현의 자유 보장 정신을 되새기고 민주주의 공론장을 위축시키는 언론중재법 및 정보통신망법 개정안의 추진을 즉각 중단하여야 한다. 

 2021년 9월 17일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련글] 
[논평] 민주당 미디어특위는 언론개혁 명분으로 한 언론 위축 정책의 강행 추진을 중단하라 (2021.07.13.)
[논평] 위헌적 인터넷 준실명제 법안 의결한 국회 과방위 법안소위를 규탄한다 (2021.04.29.)
[논평] 여당은 언론개혁 명분으로 한 ‘공인 보호 위한 언론 자유 위축법’ 추진을 즉각 중단하라 (2021.02.09.)
[논평] 언론 타깃한 징벌적 손해배상제는 철회되어야 하며 일반적 징벌적 손배의 대언론 적용도 신중해야 한다 (2020.11.19.)
[입법정책의견] ‘인터넷 준실명제’ 규정한 정보통신망법 개정안(박대출, 2106387)에 대한 반대의견 제출 (2020.12.18.) 

논평] 정보기관의 존재 의미는 국민의 안위 – 정치개입, 도감청 자행한 국가정보원, 존재의미 재검토해야Wycliff Luke 기자 모사드 문장 (출처: 위키피디아) 이스라엘 정보기관 모사드는 정보력과 조직의 잔혹성에서 세계 최고 수준을 자랑한다. 이스라엘의 정보력은 구약 시절까지 거슬러 올라간다. 이집트를 떠나온 이스라엘 족속은 가나안을 목전에 두고 부족별로 12명의 정탐꾼을 선발해 40일 동안 현지의 동태를 살피게 했다. 이는 현대적 의미에서 ...

-국정원 2차장 산하 국내파트 사용 의혹
-목표물(target) 20개 모니터링 화면 포착

국정원이 이탈리아의 ‘해킹팀’으로부터 구입한 인터넷 감시프로그램을 주로 통신 도·감청에 활용했음을 뒷받침하는 자료가 확인됐다. 또 국정원은 이미 2012년부터 이 프로그램을 실제 사용했으며 동시에 모니터할 수 있는 목표물을 최초 10개에서 20개로 늘려 운영한 것으로 나타났다.

이 같은 사실은 뉴스타파가 인터넷을 통해 공개된 ‘해킹팀’ 유출자료를 분석한 결과 드러났다. 국정원이 만약 이 스파이웨어를 통해 국내 스마트폰 사용자를 대상으로 통화 도·감청을 했다면 통신비밀보호법 위반 논란이 불가피할 것으로 보인다.

국정원의 협력업체 역할을 한 국내 보안업체 ‘나나테크’가 해킹팀과 주고받은 메일을 보면 국정원은 지난 2010년부터 감시프로그램 구입을 추진했다.

국정원, 음성 통화 감시 기능 요구

해킹팀에게 자신들의 고객이 한국의 정부기관임을 이미 밝혔던 나나테크는 2010년 9월 보낸 이메일에서 “고객이 해당 제품이 휴대전화 상에서의 음성 대화를 모니터링하는 기능이 있는지 알고 싶어한다”면서 고객이 그런 기능을 원한다고 전하고 있다.

또 2012년 5월 해킹팀이 나나테크에 보낸 메일에는 원격감시프로그램인 RCS를 업데이트하면서 목표물이 아무리 많더라도 모니터링 기능을 한국 전체로 확장할 수 있는 기능과 알려지지 않은 통화자의 목소리를 서로 구분할 수 있는 기능을 옵션으로 제공한다 설명하고 있다.

이 같은 메일을 받은 국정원은 한 달 뒤인 2012년 6월, 10개의 목표물을 추가로 관리할 수 있는 계약을 요청해서 이후 모두 20개의 목표물을 감시할 수 있는 시스템을 갖춘 것으로 보인다.

국정원의 RCS 작동 화면에 그대로 드러난 운영 현황

아래 사진은 2013년 7월 27일 운용하던 감시프로그램에 문제가 생기자 국정원 측 관리자가 해킹팀에 보낸 국정원 RCS 콘솔의 실제 캡쳐화면이다. 국정원 관리자는 문제가 생겼다며 어떻게 해야 고칠 수 있는지 질문하며 이 사진을 첨부해 보냈다.

화면 중앙에 표시된 Agent 17/20 은 현재 20개 가운데 17개가 작동하고 있음을 의미하는 것으로 보인다. Agent는 해킹을 위해 목표물에 심어놓는 스파이웨어를 말한다.

아랫부분에는 데스크톱과 모바일로 나뉘어 작동하는 플랫폼이 표시돼 있다. 윈도우와 안드로이드, IOS 등 어떤 운영체제에도 침투할 수 있다는 것을 보여준다. 해킹팀으로부터 유출된 이 같은 자료들은 국정원의 감시프로그램이 한국 내에서 목표물의 데스크톱과 모바일을 실시간으로 감시, 분석하고 통화 등을 도·감청하는데 사용되고 있음을 입증한다.

현재 우리나라 통신비밀보호법 제5조에 따르면 통신제한조치(감청)는 “계획 또는 실행하고 있거나 실행하였다고 의심할 만한 충분한 이유가 있고 다른 방법으로는 그 범죄의 실행을 저지하거나 범인의 체포 또는 증거의 수집이 어려운 경우에 한해” 허가되며 기간도 최대한 2개월로 제한하고 있다.

이렇게 국가보안법 위반 사건이든 형법 위반 사건이든 통신 감청에는 엄격한 제한이 있기 때문에 국정원이 법원의 허가 없이 감시프로그램을 이용해 감청했다면 통신비밀보호법 위반에 해당한다.

감시프로그램 운용 부서는 2차장 산하 국내정치파트?

불법 감청의 의혹이 생기는 근거는 또 있다. 2014년 1월 14일 협력사인 나나테크는 “고객(국정원)의 내부 상황 때문에 의회가 예산을 삭감해 매우 제한된 예산만 사용할 수 있다. 이번에는 유지관리 계약만 하길 원한다”는 이메일을 해킹팀에 보냈다.

내부 상황이라는 것은 2013년 내내 뜨거운 이슈였던 국정원의 대선개입 댓글사건을 의미하는 것으로 보인다.

그런데 당시 2014년 국정원 전체 예산은 삭감된 것이 아니라 동결됐다. 삭감된 곳은 2차장 산하 국내파트 뿐이었고, 3차장 소관인 대북정보파트와 1차장 소관인 산업스파이 파트 예산은 오히려 늘어났다. 국내 정치 개입에 대한 우려 때문이었다. 감시프로그램을 구입하고 활용한 국정원 부서가 국내파트인 2차장 산하가 아닌지 의심 가는 대목이다.

이 밖에도 국정원이 휴대전화 감시에 해킹팀의 프로그램을 활용한 증거는 곳곳에 포착된다. 지난 2014년 1월 29일 이메일에는 국정원의 또 다른 부서에서 아이폰의 운영체제만 지원하는 RCS(원격조정시스템)을 원하고 있다고 전하면서 가격에 대해 문의하는 내용이 나온다.

또 해킹팀의 기술지원팀 직원들끼리 ‘SKA(South Korean Army-해킹팀 내부에서 국정원을 지칭한 용어)’가 까다로운 것을 요구하고 있다면서 취약점 발굴이 필요한 삼성 스마트폰의 모델에 대한 정보를 교환하고 있는 내용도 포착됐다.

아직 국정원이 누구의 PC와 스마트폰을 도·감청했는지는 구체적으로 확인되지 않고 있지만, 국정원이 해킹팀의 감시프로그램을 이용해 2012년부터 통화 도·감청 등을 활발하게 실시하고 있으며, 기종과 운영체제를 가리지 않았다는 사실이 여실히 드러나고 있다.

뉴욕타임스, 국가정보원 직원 자살 유서 보도 – 45세의 해킹 전문가 임 씨, 내국인 사찰은 없었다고 유서에 남겨– 야당, 내국인 감시 의혹 배제할 수 없어– 전직 국정원장, 2012년 대선 불법 개입 혐의로 재판 중뉴욕타임스는 19일 자살한 국가정보원 직원이 내국인을 상대로 한 휴대전화와 온라인 대화 감청은 없었다는 내용의 유서를 남겼다고 보도했다.기사는 국정원 소속 해킹 전문가인 임 씨가 죽은 ...

1.국정원을 위한 타파스 플레인 – 해킹.감청 똑바로 하기

제대로 공작하는 법을 1도 모르는 것 같은 요원님들을 위해 타파스가 준비한 ‘올바른 해킹·감청 가이드’
▶ 더 자세한 내용이 알고싶다면?
박경신 사단법인 오픈넷 이사가 쓴 “국정원의 해킹팀 스캔들 평가”

2.타파스 극장 : 삼권분립 대서사시

어느 나라 얘기 같아 보이는건 기분탓일 겁니다. 아마도…

3.타파스 클립 : 당신은 학부모가 아니다

집에서는 아버지, 학교에서는 남남?
아버지로 인정받을 수 없었던 아버지의 싸움
그런데 이런 아버지들, 참 많습니다.

이란 프레스 TV, 국정원 해킹…한국인들 스마트 폰 습관 바꿔– 한국 정부의 사찰은 단순 도청 수준 넘어– 이용자들, 국외 서비스망 사용하고 직접 만나는 방법 취해– 해킹 추문으로 나라 꼴 엉망진창 – 국정원, 2012년 야당 대선 후보 비방글 유포 혐의로 기소돼이란의 프레스 TV는 25일 ‘한국 해킹 스캔들 드러나다’라는 영상 보도에서 정부의 감시를 피하려는 한국인들이 스마트 폰 사용 ...

-3년 간 시스템 도입 및 유지비로 한화 8억 원 지급
-10월엔 해킹팀 관계자 직접 한국 방문 교육 예정
-뉴스타파 확보 이메일에 ‘2016년 유지비용은 67,700유로’

이탈리아의 인터넷 감시프로그램 제작 및 서비스 업체인 ‘해킹팀’(Hacking Team)의 내부 정보가 해킹으로 인터넷에 유출돼 전세계적인 파장을 불러일으키고 있는 가운데 국가정보원도 2012년 이 업체의 감시프로그램을 구매해 현재도 사용하고 있는 것으로 뉴스타파 취재결과 드러났다.

해킹팀의 프로그램을 구입한 국가들은 대부분 인권 탄압이 심하다고 지목된 나라들인데다 실제 이 감시프로그램을 반정부 단체나 인물을 감시하는데 사용한 것으로 확인되고 있어 국정원이 어떤 목적으로 이 감시프로그램을 사용하고 있는지에 대해 의문이 제기되고 있다.

지난 7월5일(미국현지시각) 해킹돼 인터넷에 공개된 해킹팀의 내부정보는 400기가바이트(GB) 분량이다. 여기에는 각 국 고객과의 계약사항과 주고받은 이메일, 해킹팀의 직원정보, 감시프로그램에 대한 설명 등이 포함돼 있다.

계약서와 요금청구서의 결제정보 자료에는 ‘한국 정부의 5163부대(The 5163 Army division)’라는 고객 이름이 나오는데 이 ‘5163부대’는 국정원이 외부와 업무연락을 할 때 사용하는 명칭이다. 5163부대와 맺은 계약서에 찍힌 주소도 국정원이 사용하는 사서함 주소(P.O. Box 200)와 일치하는 것으로 확인됐다.

이 자료를 보면 국정원은 2012년 1월 27만3천 유로를 지불하고 원격감시시스템을 구입했으며 1년에 두번 정도 유지비용을 냈고, 가장 최근인 지난 1월에도 약 3만3천850유로를 유지비용으로 지불한 것으로 나타났다. 감시시스템 첫 구입 후 지금까지 지금한 총 금액은 68만6천410 유로, 우리 돈으로 모두 8억 6천만 원에 이른다.

국정원이 구입한 감시프로그램은 RCS(Remote Control System)로 불리는 원격감시프로그램이다. 자료에 따르면 국정원은 2014년 업그레이드 버전인 ‘다빈치’(Da Vinci)도 구입해 지금까지 유지보수 비용을 지불하고 있는 상태다.

RCS는 스파이웨어를 원하는 목표물에 설치해 정보를 빼가는 방법을 사용하는데 컴퓨터와 스마트폰을 감청하는 것은 물론이고 단말기의 카메라와 녹음기까지 원격조정할 수 있는 막강한 감시프로그램이다. 이때문에 해킹팀은 전세계의 민간 정보보호단체들과 시민기구로부터 ‘인터넷의 적’이란 표현을 얻을 만큼 많은 비난을 받고 있다.

해킹팀의 프리젠테이션 자료에는 감시 대상 목표물이 문서나 웹페이지를 열 때 감시프로그램이 작동하도록 용량이 작은 스파이웨어를 심거나 SMS을 이용한다는 등의 설명이 들어있으며 기존 백신으로는 추적이 불가능하다고 적혀있다.

캐나다의 연구팀 ‘시티즌랩’이 지난해 2월 해킹팀의 감시프로그램을 추적해 확보한 IP(인터넷주소)를 공개한 적이 있다. 아래 표처럼 당시 발견된 21개 국가 가운데 한국의 IP도 포함이 돼 있어서 한국에서도 해킹팀의 감시프로그램이 사용되고 있는 것이 아니냐는 의혹이 일었는데 이번 자료유출은 그 사용자가 국정원이었을 가능성이 높다는 것을 보여준다.

국정원은 ‘나나테크’라는 국내 보안업체를 통해 해킹팀과 감시시스템 구입 및 운용 계약을 했다. 아래는 뉴스타파가 확보한 나나테크의 대표와 해킹팀의 담당자가 주고받은 이메일이다. 불과 9일 전 작성된 이 이메일을 보면 국정원은 지금도 이 감시프로그램을 사용하고 있다는 것을 알 수 있다.

지난 7월 1일자 이메일에서 나나테크 관계자는 해킹팀이 제안한 고객 교육에 대해 ‘10월에 교육이 이뤄지길 고객이 희망’하며 ‘2차 송금은 고객이 8월말까지 할 것’이라고 회신했다.(올해 유지 비용에 대한 1차 송금은 1월에 이뤄졌다. 1, 2차 각각 33,850 유로씩이다.) 이후 이메일에서는 양측이 해킹팀 교육관계자의 10월 한국 방문 계획을 확정한다. 유출자료를 보면 해킹팀은 감시프로그램 첫 구매 계약 직후인 2012년 1월에도 우리나라를 방문한 적이 있었던 것으로 확인된다. 이들은 서울 강남구의 한 호텔에 숙박했던 것으로 나타났다.

나나테크는 지난 2003년 3월 설립된 정보통신서비스업체로 서울 공덕동에 위치해 있다. 공시된 기업정보에 따르면 대표는 허손구 씨(60세) 등 2명이고, 직원 수는 6명이다. 2012년도 매출액은 5억7천만 원, 영업이익은 6천9백만 원이었다. 뉴스타파는 국정원과의 연관성을 확인하기 위해 9일 나나테크를 찾아갔으나 업무시간임에도 불구하고 사무실은 굳게 닫혀진 상태였다.

이번 내부 정보 유출 사고가 없었다면 국정원과 해킹팀과의 관계는 내년에도 계속 이어졌을 것으로 보인다. 나나테크와 해킹팀이 주고받은 이메일을 보면 국정원이 직접 송금하던 유지 비용을 내년 1월부터는 나나테크를 통해 지불하겠다는 내용이 나온다. 국정원이 이 감시프로그램을 2016년에도 계속 사용하겠다는 뜻이다.

문제는 국정원이 이렇게 구입한 감시프로그램을 어떤 용도로 운용하고 있는가이다. 북한이나 중국의 해킹 조직과 싸우는 데 사용하는 것이 아니라 혹시라도 국내에서 자국민을 상대로 사용하고 있다면 또다시 정보기관의 사찰 문제와 개인의 사생활 보호 같은 인권 문제가 불거질 수 밖에 없다. 국정원 측은 감시프로그램 구입과 사용여부, 목적 등에 대한 질문에 “어떤 질문에도 확인해줄 수 있는 것이 없다. 이해해달라”는 말만 되풀이했다.

그런데 해킹팀으로부터 감시프로그램을 도입한 것으로 드러난 멕시코와 모로코, 이집트, 수단,이디오피아 등의 국가들은 대부분 모두 언론이나 시민단체를 사찰하거나 인권을 탄압해 문제가 불거졌던 나라들이다.

모로코의 경우 이번에 유출된 자료로 2010년 이전부터 지금까지 모로코 정부가 해킹팀으로부터 감시프로그램을 구입해 사용한 사실이 확인됐다. 이에따라 지난 2012년 정부에 비판적인 언론인을 상대로 했던 해킹사건도 정부 소행이 아니냐는 의혹이 커지고 있다.

또 에티오피아의 경우도 지난해 발생한 언론인에 대한 해킹 사건에 정보기관이 관여했음을 보여주는 자료가 이번에 유출됐다.

우리의 경우 국정원이 감시프로그램을 처음 구입한 2012년 1월은 대선을 앞두고 심리전단이 SNS 전담조직을 확대했던 시기와도 일치하고 있어서 국정원이 왜 이 프로그램을 당시에 구입했는지 의문이 제기되고 있다.

배경

에드워드 스노든은 국가안보국(NSA)의 전 직원으로서, 2013년 미국 NSA의 대규모 감시 프로그램을 사회에 폭로했다. 그는 NSA가 PRISM이라는 프로그램을 통해 미국인 수백만 명의 이메일을 수집하고 전화를 엿듣고 있음을 알렸고, 당시 NSA가 각국 정상들까지 도청하고 있음이 밝혀지면서 전 세계적인 파장이 일어났다. 당시 스노든과 함께 안보라는 이름으로 자행되는 국가기관의 무차별적인 정보 수집의 문제와 민간인의 사생활 침해를 폭로한 가디언과 워싱턴 포스트는 퓰리처상을 수상했다.
그런데 최근 스노든의 문제가 또다시 화제에 올랐다. 러시아 망명 중인 스노든이 오바마 대통령에게 사면을 요구하자, 그와 함께 했던 워싱턴포스트가 사설을 통해 돌연 스노든을 사면해서는 안 된다고 반박한 것이다.
취재원이었던 스노든을 보호하기는 커녕, 사면을 반대하는 워싱턴포스트의 주장은 다음과 같다.

• NSA의 PRISM 프로그램은 ‘해외’ 감시 프로그램으로, 이는 미국 국내법상 합법적이다.
• NSA의 NSA ‘해외’ 감시활동은 미국 자국민들의 사생활 침해와는 무관하다.
• 스노든의 폭로는 국가 안보에 막대한 피해를 끼쳤다.

국제앰네스티는 에드워드 스노든의 사면을 촉구하며, 워싱턴포스트의 위와 같은 주장에 다음과 같이 반박한다.

조슈아 프랑코(Joshua Franco), 기술과 인권 조사관 및 자문위원

3년 전, 에드워드 스노든(Edward Snowden) 미국 정부의 불법 집단감시 프로그램 관련 보도의 제보자임이 처음 밝혀졌을 당시 “대중의 관심이 내게 쏠리기를 원하지 않는다. 나에 대한 이야기보다는 미국 정부가 벌이고 있는 일이 더 화제가 되기를 바란다”고 밝혔다.

그로부터 3년이 지나고 미국시민자유연합(ACLU), 휴먼라이츠워치(Human Rights Watch), 국제앰네스티 등의 시민사회단체가 스노든 사면 캠페인을 벌이고 있는 지금, 스노든이 우려한 대로 될 위험은 그 어느 때보다 높아 보인다. 워싱턴포스트는 최근 사설을 통해(또한 잭 골드스미스 하버드대 교수 역시 유사한 글을 통해) 스노든의 사면 반대를 주장했다. 공익제보자의 사면을 반대함으로써 이들은 위험하면서 또한 잘못되게도 스노든이 폭로한 인권침해의 심각성을 축소시키는 것도 무릅쓰고 있다.

이들의 주장은 일부 잘못된 전제를 바탕으로 한 것으로, 이에 대한 정정이 필요하다.

전제 1: 미국 외의 사람들에게는 사생활이 없나?

이들의 주장은 미국 외의 사람들에게는 사생활의 권리가 없다는 전제를 바탕으로 하고 있다. 이는 잘못된 것이다.

워싱턴포스트는 (사생활 침해 우려가 제기될 가능성에 대해 마지못해 인정했으나) 미국 애국법(PATRIOT ACT) 215항에 따른 휴대전화 메타데이터 수집 프로그램 등은 PRISM과 같은 “해외” 프로그램과 구별하고, 이러한 ‘해외’ 프로그램은 “명백히 합법이며 사생활에 대한 확실한 위협은 아니다”라고 주장했다.

골드스미스 교수 역시 이러한 견해에 찬성하며 다음과 같이 인용했다. “문제는 [스노든이] 폭로한 것이 [애국법 215항 감시 프로그램] 그 이상의 방대한 내용으로, 미국인이 아닌 해외의 외국인들에 대한 정보까지 포함되어 있다. 이러한 프로그램은 대체로 변화가 없었고, 미국인들은 이에 별 관심이 없다.” 골드스미스 교수는 국내 감시 프로그램에는 개선과 투명성 강화가 필요하다고 주장하면서도 해외 감시 프로그램은 “명백한 합법”이라고 거듭 언급하며, 두 프로그램에 분명한 차이가 존재한다고 보는 듯했다.

미국의 감시 프로그램에 반대하는 입장이 보편적인 다른 국가들의 입장에서, 이러한 전제는 받아들이기 어렵다. 이러한 감시 프로그램이 미국 국내법에 따라(현재 진행중인 소송과 관련이 있다고 보기 어려운 조항이지만) “명백한 합법”이라 하더라도, 그 법률이 국제법상 의무를 다하고 있는가에 대한 해답은 될 수 없다. 미국이 당사국인 수많은 국제인권조약 중에서도 국가의 인권적 의무를 물리적인 국경 내로 한한다는 내용의 면책조항은 존재하지 않는다. 유엔 인권고등판무관과 인권 및 대테러에 관한 특별조사관이 밝힌 바와 마찬가지로, 국가는 자국내에서와 마찬가지로 해외에서도 감시 활동을 수행하는 과정에서 인권을 존중해야 할 의무가 있다. 이러한 논의가 생경하게 느껴진다면, 외국 정부가 당신의 개인적인 통신기록을 송두리째 가져간다고 할 때 어떤 기분일지 생각해 보라.

전제 2: ‘해외’ 감시 활동은 미국인들과는 무관한 일인가?

워싱턴포스트와 골드스미스 교수는 ‘해외’ 감시활동은 미국인에게 영향을 미치지 않는다고 봤다. 이 역시 잘못된 전제다.

골드스미스 교수는 미국 헌법이 해외 감시활동 폭로를 정당화하는 데 사용된 것에 당혹감을 표했다. 예를 들어, 골드스미스 교수는 (아마도 수사적인 표현으로) “[스노든의] 헌법 선서만으로 국가보안국(NSA)의 사이버 공격에 자동으로 대응하는 몬스터마인드(MonsterMind) 개발을 폭로한 것을 정당화할 수 있는가[?]”라며 의문을 표했다. 이러한 질문에 대해 스노든은 “[몬스터마인드는] 수정헌법 제4조를 위반하며 정당한 사유 또는 부정행위 의혹조차 없이도 영장 없이 개인의 통신기록을 수집한다. 그 대상과 시기에도 예외가 없다”고 답변했는데, 골드스미스 교수가 이를 인정하지 않은 것은 이상한 일이다.

스노든이 폭로한, 또는 골드스미스 교수가 인용한 모든 프로그램의 기술적인 세부사항을 논하지 않더라도, 이러한 반응은 숙고해볼 만하다. 인터넷의 세계적이고 상호 연결된 속성을 고려했을 때, 많은 경우 국내와 해외 감시활동을 분리하는 것이 전혀 불가능하다는 것을 분명히 보여주고 있다.

215항 휴대전화 메타데이터 수집 프로그램이 NSA의 프로그램 중 미국인에게 영향을 미치는 유일한 프로그램이며, 그 외에는 “오직” 다른 국가들만을 대상으로 한다고 생각하는 것이 마음은 편할지 모르나, 이러한 구별이 법적으로 의미가 있다고 하더라도 전혀 사실이 아니다.

수정 해외정보감시법(FISA) 702항을 보자. 프리즘(PRISM), 업스트림(UPSTREM)과 같이 사기업 서버와 광케이블에서 막대한 데이터를 수집하는 집단감시 프로그램의 법적 근거로 이용되는 조항이다. 이 프로그램들은 단 한 번의 조작으로 수만 명의 정보를 수집할 수 있어 대상을 전혀 “특정”하지 않으며, 미국인들 역시 영향을 받는다. 뉴욕대 법대 브레넌센터 역시 다음과 같이 지적했다.

“[미국] 정부는 FISA 702항이 해외 외국인만을 대상으로 하고 있다고 거듭 주장하고 있다. 이러한 발언은 외국인들의 통신 기록만을 감시하거나 수집한다는 잘못된 인식을 조장한다. 실제로 그 대상과 대화하거나 대상에 대해 대화한 사람은 누구나 감시 대상이 된다.”

또한, 행정명령 12333으로 승인된 수많은, 대체로 알려지지 않은 프로그램들 역시 해외에서만 사용될 목적으로 개발되었지만 미국인들의 사생활에도 막대한 영향을 끼치고 있다.

이러한 프로그램이 미국인들의 일부 정보 역시 수집하도록 허용하고 있기 때문이기도 하지만, 인터넷의 성질 때문이기도 하다. 외국을 경유하는 웹사이트에 로그인하거나, 해외 서비스일 수도 있는 “클라우드”에 정보를 저장할 경우 당신이 미국 한복판의 소파에서 꼼짝도 하지 않았더라도 이러한 “해외” 통신 감시의 대상이 될 수 있다. 오늘날처럼 상호 연결된 세계에서 미국인만을 제외하고 집단 감시를 한다는 것은 절대 불가능한 일이다.

전제 3: 정보 유출로 인한 국가 안보의 피해가 막대하다

스노든이 미국으로 돌아와 재판을 받아야 한다고 주장하는 사람들은 미국 간첩법(Espionage Act)이 공익 보호에 관한 내용을 전혀 다루고 있지 않다는 점의 심각성을 축소하려는 경향이 있다. 달리 말해, 정보유출이 인권침해 폭로로 정당화될 수 있느냐는 질문은 누설자가 감옥에서 수십 년을 보낼 것인지의 여부와는 전혀 관련이 없다는 것이다. 첼시 매닝에게 가해진 잔혹한 대우를 고려했을 때, 법적으로 이러한 내용이 누락된 것은 정부의 부정행위를 알고 있더라도 이를 나서서 폭로하기 매우 어렵도록 하는 것이나 다름없다.

워싱턴포스트는 이러한 법적 결함을 인정하면서도, 공익 보호에 대해서는 “법적으로 이를 인정하면서 정보누설자들이 빠져나갈 거대한 허점이 생겨나지 않게 할 방법이 분명치 않다”며 반대하는 주장을 펼쳤다.

이러한 주장은 미국 국경 밖 세계에 관심이 전무함을 또 다시 드러내는 것이다. 실제로 다수의 국가가 바로 이러한 공익 보호를 허용하고 있으며, 처음부터 공익제보자를 처벌하기 위한 근거로 피해 사실의 증명을 요구하는 국가는 더욱 많다. 그렇다고 해서 국가안보에 참담한 결과를 일으켰던 사례는 없는 듯하다. 이보다 더 분명한 확신이 필요하다면, 각국 대표자들이 참여해 세계적인 논의를 거친 후 채택된 ‘국가안보와 정보 접근권에 관한 츠와니 원칙’에서 공익의 보호에 관해 명시한 부분을 참고해 봐도 좋을 것이다. 유럽위원회 의회는 스노든 사건과 관련, 공익제보자 보호를 고려해 츠와니 원칙을 공개적으로 지지하고 나서기도 했다.

워싱턴포스트와 골드스미스 교수 모두 상당한 지면을 할애하며 스노든의 폭로가 국가안보에 끼친 해악이 막대하고, 따라서 사면되어서는 안 된다고 주장했다. 그러나 공익 보호는 정보 유출로 인한 피해가 없다는 것이 아니라, 그로 인해 얻는 긍정적인 효과가 더 클 수 있다는 것이다.

그리고 이 점은 미국법상 공익제보자를 보호하는 조항이 없다는 중요한 문제를 흐리고 있다. 워싱턴포스트와 골드스미스 교수는 스노든의 정보유출로 인한 상대적인 손실과 이익을 자체적으로 평가하고 이를 근거로 사면을 반대하고 있으나, 이러한 논쟁이야말로 법원에서 절대 이루어져서는 안 되는 것이다. 인권침해에 대한 선의의 폭로가 기소의 원인이 되어서도 안 되지만, 만약 기소되었다 하더라도 이러한 보호가 이루어질 수 있어야 하는 것이 무엇보다 중요하다. 그렇지 않을 경우 우리는 “아무런 증거도 공개할 수 없지만 우리를 신뢰하라”는 정부의 주장에 의존할 수밖에 없는 처지에 놓이게 된다. 이에 관해서는 반사적으로 정부를 믿고 싶은 사람들도 있겠지만, 스노든의 폭로가 우리에게 남긴 교훈이 있다면, 그것은 정부의 주장을 입증할 역량이 필요하다는 점일 것이다.

영어전문 보기

Pardon Snowden: A Response to the Washington Post

Joshua Franco (@joshyrama) is a Researcher/Advisor on Technology and Human Rights

Three years ago, when Edward Snowden was first revealed to be the source of news reports about unlawful mass surveillance programs by the US government, he said, “I don’t want public attention because I don’t want the story to be about me. I want it to be about what the US government is doing.”

Now, three years later, in the midst of a campaign by the ACLU, Human Rights Watch, Amnesty International and others to pardon Snowden, that risk appears to be greater than ever. A recent editorial by the Washington Post (and at least one other similar piece by Harvard professor Jack Goldsmith) are arguing against a pardon for Snowden. In doing so, they risk dangerously – and incorrectly – minimizing the gravity of the human rights abuses he revealed in an effort to deny a pardon to the whistleblower himself.

These arguments are based on a few flawed premises that need to be corrected.

Premise 1: There is no privacy overseas
The arguments are based on the premise that people outside the USA have no privacy rights. This is wrong.

The Washington Post distinguishes programs such as the cell phone metadata collection program under Section 215 of the PATRIOT ACT (which it grudgingly admits may have raised privacy concerns) and “overseas” programs such as PRISM, which it contends are “clearly legal, and not clearly threatening to privacy.”

Goldsmith likewise cites approvingly the idea that: “The problem is [Snowden] disclosed vastly more than [Section 215 surveillance], involving foreign intelligence not of Americans but of individuals who aren’t American citizens in other countries. No changes were generally made in those programs and Americans don’t really care.” Indeed, Goldsmith seems to believe there is a clear distinction to be made between domestic spying programs, which he concedes were in need of reform and greater transparency, and overseas spying, which he repeatedly states are “obviously lawful.”

For the rest of the world, where opposition to US spying is widespread, this is a difficult premise to accept. Even if these programs are “obviously lawful” under US law (a proposition that is hard to square with ongoing litigation), that says nothing about the question of whether US law comports with its international legal obligations. Nowhere in the numerous international human rights treaties to which the United States is party is there a get-out clause saying that a state’s human rights obligations end at their physical borders. As the United Nations High Commissioner for Human Rights and the Special Rapporteur on Human Rights and Counter-Terrorism have noted, states have an obligation to respect human rights in their surveillance operations overseas as well as at home. If that argument seems far-fetched to you, think how you would feel about foreign governments scooping up all of your personal communications.

Premise 2: “Overseas” surveillance does not affect Americans

The Post and Prof. Goldsmith believe “overseas” surveillance does not affect Americans. This is also incorrect.

Professor Goldsmith expresses bafflement at how the US Constitution could justify revelations of overseas spying. For example, he asks – presumably rhetorically – “why did [Snowden’s] oath to the Constitution justify disclosure that NSA had developed MonsterMind, a program to respond to cyberattacks automatically [?]” It is odd that he did not see fit to acknowledge Snowden’s answer to this question: “[MonsterMind] means violating the Fourth Amendment, seizing private communications without a warrant, without probable cause or even a suspicion of wrongdoing. For everyone, all the time.”

Without discussing the technical details of all the programs Snowden revealed, or those which Goldsmith cites, I think this response merits some reflection. It illustrates how, given the global and interconnected nature of the internet, there simply is no way to separate domestic and overseas spying in many cases.

It is comforting for people to believe that the Section 215 cell phone metadata program was the only NSA program affecting Americans, and that the other programs affect “only” the rest of the world, but even if this distinction were legally decisive, it is simply not true.

Consider section 702 of the FISA Amendment Act, the law used to justify mass surveillance programs such as PRISM and UPSTREAM that collect massive amounts of data from private company servers and fiber optic cables. These programs are not “targeted” in any meaningful sense – allowing tens of thousands of targets under a single order – and also impact Americans. As the Brennan Center for Justice has pointed out:
“The [US] administration routinely asserts that Section 702 of FISA targets only foreigners overseas. These statements create a false impression that only foreigners’ communications are sought or acquired. In fact, anyone who talks to or about a target is subject to surveillance.”

Moreover, the many – and largely unknown – programs authorized under Executive Order 12333 – also meant to be used only abroad – likely have massive impacts on Americans’ privacy.
Some of this is because the law allows collection of some types of information about Americans under these programs, but it is also due to the nature of the internet. When you log into a website that routes through foreign countries, when you store your information in “cloud” services that may be overseas, you may be subject to the surveillance of these “overseas” communications even without leaving your couch in the middle of the USA. In this interconnected world, it is just not possible to do mass surveillance in a way that leaves Americans unaffected.

Premise 3: A public interest defense would be a blank check for leakers

Those who argue that Snowden should come home to answer for his deeds in court tend to downplay the significance of the fact that the US Espionage Act contains no public interest defense. In other words, the question of whether the leaks were justified as revealing human rights abuses is simply immaterial to whether a leaker spends decades in prison or not. Given the cruel treatment meted out against Chelsea Manning, this omission in law all but guarantees that those who know of government wrongdoing are very unlikely to come forward about it.
The Washington Post admits this legal shortcoming but argue against a public interest defense by saying that “it’s not clear how the law could allow that without creating a huge loophole for leakers.”

This argument again betrays a lack of curiosity about the legal world beyond U.S. borders. Indeed, several countries allow this very defense, and many more require a showing of harm to justify penalizing whistleblowers in the first place, seemingly without disastrous consequences for their national security. And if further clarity is needed, the Washington Post could do worse than to consult the Tshwane Principles on National Security and the Right to Information, drafted after a global consultation that included government representatives, and which explicitly lay out the terms for a public interest defense. The Parliamentary Assembly of the Council of Europeendorsed the Tshwane Principles after considering whistleblower protections in relation to the Snowden case.

Both the Washington Post and Professor Goldsmith devote a good deal of space to arguing that the harm Snowden’s revelations did to national security was significant, and that he should thus not be pardoned. But the public interest defense is not about arguing that a leak did no harm, but rather that it could be outweighed by its good.

And this belies the very problem with the lack of whistleblower protections in US law. The Post and Goldsmith base their opposition to a pardon on their own assessment of the relative harm and benefit of Snowden’s leaks, but this is exactly the debate that a US court would not be allowed to have. Good faith revelations of human rights abuses should not lead to prosecution, but if they do, it is essential that this defense be available. In its absence, we are left having to depend on the government’s argument of “trust us, but we can’t show you any evidence.” Some people may instinctively want to trust the government on this, but if Snowden’s leaks havetaught us anything, it should be that we need to be able to verify the government’s claims.

---