이명박 박근혜 정권 10년 동안 국가정보원을 거쳐간 원장 5명 가운데 김성호 전 원장을 제외한 원세훈, 남재준, 이병기, 이병호 등 4명의 전 원장이 사법적 단죄를 받게 됐다. 1961년 창설된 중앙정보부에 뿌리를 둔 국정원의 56년 역사상 가장 치욕스런 10년으로 기록될 만 하다. 이는 한 국가의 정보기관을 국가가 아닌 권력자의 사유물로 만든 이명박, 박근혜 두 대통령의 책임이기도 하다.
5백만표 차이라는 압도적인 득표로 당선된 이명박 대통령에게 국민이 기대한 것은 합리적이고 실용적인 마인드, 그리고 경제를 되살리는 것이었다.
그러나 정부 인수위를 꾸린 뒤 발표된 각종 내각 인선 작업은 국민을 실망하게 만들었다. 발표하는 국무위원 인사마다 땅을 사랑해서 땅을 샀다는 사람을 비롯한 강부자(강남부자)와 고려대와 소망교회, 영남인사를 뜻하는 고소영 인사로 일관했다.
이명박 정부의 인사는 MB의 형 이상득 씨와 박영준 씨가 좌지우지했다. 같은 여당 내에서부터 비판의 목소리가 나오기 시작했다. 그것이 2008년 3월23일 이상득 전 의원의 총선 불출마와 국정관여 금지를 요구하는 한나라당 의원 55명의 기자회견이었다.
그러자 박영준 당시 청와대 기획조정비서관과 국정원 파견 직원 이창화 전 행정관을 중심으로 한 사찰이 시작됐다. 사찰 대상은 정두언, 정태근 의원 등 이상득 의원 반대세력과 박근혜 의원과 김성호 국정원장 등 견제해야할 세력들이었다.
2008년 5월부터 시작돼 6월에 최고조에 달한 미국산 쇠고기 수입반대 촛불집회로 MB에 대한 실망이 전 국민적으로 터져 나오게 됐다. MB의 미국 방문을 하루 앞두고 나온 졸속적인 쇠고기 수입 협상 타결 소식이 성난 민심에 기름을 붓는 계기가 됐다.
이에 대한 MB의 대응은 민간인 사찰이었다.
촛불집회가 마무리될 즈음인 2008년 7월 총리실에 공직윤리지원관실이 만들어진다. 우리가 익히 아는 민간인 사찰 사건을 주도한 곳이다. 이제 사찰대상은 일부 정치인이 아니라 일반시민에까지 확대된다. KB한마음 대표 김종익 씨를 비롯해 각 언론사와 노조, 시민단체가 무차별적으로 사찰을 당하게 된다.
한편으로는 원세훈 행정자치부 장관이 국정원장에 취임하면서 국정원의 업무에도 큰 변화가 생긴다. 국정원의 주요 관심사가 보수세력 옹호, 종북좌파 척결이 된 것이다.
유인태 전 민주당 의원은 “미국산 쇠고기 수입 협상 문제가 그렇게 큰 문제도 아닌데 촛불집회에 저렇게 사람들이 많이 모인 것을 보면 뭔가 배후가 있을 것이다. 그 배후를 친노와 진보좌파로 인식한 것”이라고 지적한다.
정두언 전 새누리당 의원은 “MB는 생각의 준거 틀이 80년대에 가 있는 사람이다. 권위적이고 통제하려고 하고. 일을 잘 하려는 생각을 안 하고 반대하는 사람들을 누르려는 생각을 하니 문제였다”고 말한다.
▲ 촛불집회 후엔 공직윤리지원관실이 설치돼 민간인 사찰이 확대됐고, 공직윤리지원관실 활동이 멈춘 뒤에는 국정원의 심리전 활동이 강화되고 있음을 알 수 있다.
공직윤리지원관실의 민간인 사찰 사건은 2010년 7월 초 검찰의 압수수색으로 수사가 본격화된다. 그 역할의 적임자는 원세훈이었다. 공직윤리지원관실이 와해됐을 바로 그 시점(2008년 7월 9일), 원세훈 국정원장은 ‘심리전단 현안 대응역량 확충 방안’이란 문건에서 “VIP(대통령) 집권 후반기 안정적 국정운영의 원활한 지원 등을 위해서는 심리전 조직역량 확충이 시급하다”며 국정원에 대응을 지시한다.
반대세력을 축출하기 위한 공직윤리지원관실의 민간인 사찰이 국정원의 전방위적인 대응으로 변모한 것이다.
극우매체를 지원하고 MB 반대 세력에 대한 관제 데모를 공작하던 국정원 활동은 2012년 대선에서 절정에 이르게 된다. MB 정권은 국방부 사이버사령부를 통해서도 대선 여론 개입활동을 펼치게 된다.
2012년 대선에서 승리한 박근혜 정권은 MB의 유산을 고스란히 물려받았다. 국정원의 대선개입 수사를 제대로 파헤치기보다는 은폐 축소하고 덮는데 주력했다. 검찰총장을 찍어내고 검찰의 특별수사팀을 와해시켰다. 사이버사령부의 대선개입도 국방부의 셀프수사를 통해 무마했다. 이로써 MB 정권의 적폐는 그대로 박근혜 정부에서도 임기내내 이어지게 된다.
편을 갈라 반대세력은 철저히 응징하는 방식은 MB 정권과 동일한 방식으로 진행됐다. 종북이란 색깔을 씌워 격리했다. 각 분야에 블랙리스트를 만들어 관리했고 국정원이 이를 총괄했다.
민주주의를 훼손한 사람에 대해서는 처벌이 뒤따라야한다. 대통령이라고 예외일 순 없다. 그러나 대통령을 처벌했다고 해서 지난 10년의 적폐가 다시는 벌어지지 않는다고 장담할 수 있을까? 국민이 기대하는 선의를 가지지 않은 권력자가 또다시 등장한다 하더라도 민주주의가 파괴되는 최악의 상황을 막을 방법은 과연 없는 것일까? 왜 10년이라는 긴 세월동안 그 어느 한곳에서도 국정원을 제대로 감시 감독하지 못했던 것일까?
핵심은 국정원 내부의 일을 그 어느 곳에서도 알 수 없을 것이란 지나친 비밀주의에 있다. 이미 70년대 미국에서도 한국과 같은 정보기관의 국기문란 사건을 겪으면서 이에 대한 근본 원인을 정보기관의 지나친 비밀주의로 진단하고, 해법으로 의회의 감시권한을 대폭 강화했다. 미 상원에서 구성된 처치위원회의 15개월에 걸친 조사를 통해 의회가 요구하는 어떤 문서나 자료도 정보기관이 즉각 제공해야한다고 법제화한 것이다.
▲ 미국 정보수사기관에 대한 의회의 획기적인 통제방안을 마련하는 계기가 됐던 미 상원 처치 위원회의 공개청문회 모습
국회의 감시 권한을 강화하는 것과 아울러 불법적인 지시가 내려졌을 때 이를 거부하고 외부로 알릴 수 있도록 내부고발자의 권익을 보장하는 방안도 강화돼야한다는 지적이 많다. 댓글활동에 참여했던 전 국정원 심리전단 직원은 뉴스타파 취재진에게 “현재와 같은 시스템 하에서 회사의 명령을 거부한 다는 것은 절대 불가능하다”며 “먹고 사는데 지장이 없을 정도의 보상이 있어야 회사를 나온다는 용기를 가지고 외부에 알릴 수 있을 것”이라고 전했다.
초대 중앙정보부장 김종필의 지적처럼 국정원이 가지고 있는 수사권도 검찰이나 경찰 같은 형사기관으로 환원할 필요가 있다. 김종필 씨는 중앙일보 기고문에서 “중앙정보부의 수사권은 반혁명세력에 겁을 주기 위해 일시적으로 부여했던 것”이라면서 “수사권을 법무부 검찰국으로 환원하지 못한 것에 책임을 느낀다고”말하고 있다.
▲ 초대 중앙정보부장 김종필의 중앙일보 증언록(2015.4.3)
‘시크릿파일 국정원’의 저자 김당 씨는 “국정원 대공수사요원 7백명이 1년에 잡는 간첩수가 3명 남짓인데 이는 너무나 비효율적인 것으로 정보기관이 수사권을 가지고 있는 것 자체가 비정상적인 것”이라고 지적하고 있다. “또 직파 간첩도 거의 없어졌을 뿐 아니라 탈북자로 위장해 들어오는 간첩도 경찰의 감시 등 제한 요소가 많기 때문에 과거의 간첩들처럼 국가안보에 큰 타격을 준다고 보기 어렵다”고 덧붙였다.
적폐 청산에 대해 언제까지 과거에만 매달릴 거냐는 반론도 솔솔 새어나오고 있다. 국회에서 열린 국정원 개혁 관련 토론회에서 진선미 민주당 의원은 지난 2013년 댓글 논란 때 문제를 제기할 때 너무나 많이 들었던 말이라며 이렇게 말했다.
이건 과거의 일이다, 대선 불복이냐, 미래로 가야 되지 않겠냐, 이런 말씀들을 많이 하셨습니다. 그런데 지금의 현실은 어떻습니까. 이명박 정권 때 박근혜 정권은 미래였습니다. 그 당시 이명박 정권의 국정원의 문제를 제대로 해결했다면 박근혜 정권의 또다른 국정원의 범죄행위가 이루어지지 않았겠죠.
지난해 겨울 서울 광화문 광장에서 또 전국 각지에서 촛불을 들어 무너진 대한민국의 민주주의를 되살려냈던 수많은 시민들 가운데, 지난 10년의 적폐가 미래에 되풀이되기를 바라는 사람은 많지 않을 것이다. 그러기 위해서라도 이제는 바꿔야 할 시간이다.
취재:최기훈
촬영:정형민 최형석 김기철 신영철 오준식
편집:박서영
CG:정동우
국정원감시네트워크는 오늘(7/27) 세계일보 보도를 통해 알려진 국정원의 ‘SNS 선거 영향력 진단 및 고려사항’ 등 국내 정치개입 문건 작성 사건을 적폐청산TF 조사대상에 포함시켜 철저히 조사해줄 것을 요청하는 의견서를 국정원개혁발전위원회(이하 국정원개혁위)에 제출했습니다.
이들 단체는 국정원이 누구의 지시에 의해 어떤 부서에서 이 문건들을 작성했는지, 당시 김효재 정무수석비서관은 이 문건들을 누구에게 보고했는지 등이 규명되어야 한다고 밝혔습니다. 또한 ‘SNS 선거 영향력 진단 및 고려사항’ 문건은 정부·여권의 SNS 장악을 위한 단·중장기 대책을 담고 있는 만큼, 이것이 정부·여권에 의해 어떻게 실행되었는지도 규명되어야 한다고 밝혔습니다.
국정원감시네워크는 지난 6월 21일에 국정원개혁위가 조사해야 할 국정원 적폐리스트 15가지를 선정하여 재조사를 촉구한 바 있으며, 국정원개혁위는 국정원 댓글 사건 등 국정원 정치개입 의혹사건을 포함한 13건에 대한 재조사에 착수했습니다.
*국정원감시네트워크는 민들레_국가폭력피해자와 함께하는 사람들, 민주사회를 위한 변호사모임, 민주주의법학연구회, 진보네트워크센터, 참여연대, 천주교인권위원회로 구성되어 있습니다.
▣ 붙임1 : 국정원의 ‘SNS 선거 영향력 진단 및 고려사항’ 등 국내정치개입 문건 작성 관련 진상조사 요청서
국정원의 ‘SNS 선거 영향력 진단 및 고려사항’ 등 국내정치개입 문건 작성 관련 진상조사 요청서
1. 사건개요
⚫ 세계일보는 국정원이 2011년 10⋅26 재보궐 선거 직후 ‘SNS 선거 영향력 진단 및 고려사항’, ‘10∙26 재보선 선거사범 엄정처벌로 선거질서 확립’, ‘우상호, 좌익 진영의 대선 겨냥 물밑 움직임에 촉각’, ‘2040세대의 대정부 불만 요인 진단 및 고려사항’이라는 문건을 작성해 청와대에 보고했다고 보도하였음.
⚫ 관련하여 지난 7월 11월 국회 정보위원회에 출석한 서훈 국정원장은 국정원이 작성한 문서가 맞다고 시인함.
⚫ ‘SNS 선거 영향력 진단 및 고려사항’이라는 문건은 말머리에 “여권이 야당·좌파에 압도적으로 점령당한 SNS 여론 주도권 확보 작업에 매진, 내년 총·대선 시 허위정보 유통·선동에 의한 민심 왜곡 차단 필요”라고 밝히고 있고, △ SNS 활용여건 및 선거 영향력 진단 △ 정부·여당의 SNS 대응 실태 △ 정부·여권의 SNS 장악을 위한 단·중장기 대책을 담고 있음.
⚫ ‘10·26 재보선 선거사범 엄정 처벌로 선거질서 확립’ 문건 또한 말머리에 “10·26 재보선시 야권·좌파에 의해 자행된 선거법 위반 행위를 철저한 수사·엄단을 통해 경종, 갈수록 악성화되는 선거 불법 차단”이라고 밝히며, 야권·좌파에 대한 검찰과 경찰의 표적수사를 종용하고 있음. 특히 “내년 양대 선거를 앞두고 민심 왜곡을 초래하는 허위사실 유포 등 불법행위를 일벌백계해 야당·좌파의 법치·공권력 경시 풍조 확산을 차단해야 한다”고 적시 하고 있고, 서울시장 보선 관련 주요 수사현황이라는 문서까지 첨부함.
⚫ ‘우상호, 좌익 진영의 대선 겨냥 물밑 움직임에 촉각’ 문건은 우상호 전 더불어민주당 원내대표가 박원순 캠프 대변인으로 활동 후, 서울시장 선거에서 발생한 정치권 지각변동과 선거전략에 대해 언급한 것을 적시한 것으로 사찰문서라 할 수 있음.
⚫ 이 모든 문건 작성과 청와대 보고는 국정원의 정당한 직무범위를 벗어난 것으로 명백히 국정원법 제3조를 위반한 것임. 특히 선거관여 의도를 노골적으로 드러내고 있는 ‘SNS 선거 영향력 진단 및 고려사항’ 문건은 국정원과 공무원의 정치중립 의무를 규정한 국정원법 제9조(정치관여 금지), 공직선거법 제9조(공무원의 중립의무 등), 제85조(공무원 등의 선거관여 등 금지), 제86조(공무원 등의 선거에 영향을 미치는 행위금지)를 위반한 것임. 더욱이 국정원이 정부·여당의 SNS 대응전략을 수립하는 것은 국정원법 제9조 제2항 제4호 “특정 정당이나 특정인의 선거운동을 하거나 선거 관련 대책회의에 관여하는 행위”로서 명백히 위법 행위임.
2. 진상조사 세부과제
① 보고서 작성 지시 및 보고라인에 대한 조사
⚫ 세계일보가 공개한 ‘SNS 선거 영향력 진단 및 고려사항’ 등 국내정치개입 문건들은 국정원에서 작성되어 당시 청와대 김효재 정무수석비서관에게 전달된 것으로 확인됨. 국정원이 누구의 지시에 의해 어떤 부서에서 이러한 문건들을 작성했는지 규명되어야 함. 또한 김효재 정무수석비서관이 이 문건들을 누구에게 보고했는지 규명되어야 함. 즉 이명박 대통령과 여당 지도부에게 보고되었는지 규명되어야 함.
② 보고서 내용의 실행여부
⚫ ‘SNS 선거 영향력 진단 및 고려사항’ 문건은 정부·여권의 SNS 장악을 위한 단·중장기 대책을 담고 있는 만큼, 이것이 정부·여권에 의해 어떻게 실행되었는지 확인이 필요함. 국정원-청와대-여권 간의 지시-실행여부가 규명되어야 보수정권의 유지와 재집권을 위해 정보기관이 활용된 전모를 밝힐 수 있음
③ 청와대에 보고된 그 밖의 700여개 문건의 작성과 보고라인 및 실행여부 규명
⚫ 이번에 확인된 문건은 이명박정부 당시 청와대 정무수석비서관실에서 국정원, 경찰 등으로부터 문건을 수령해 김효재 정무수석비서관에게 전달, 자료폐기 등을 담당했던 행정관이 파쇄하지 않고 외부로 반출한 문건(715건) 중 13건을 세계일보가 입수해 공개한 것임.
⚫ 13건 이외 702건의 문건 역시 국정원의 탈법과 위법행위에 대한 정황과 증거를 담고 있을 가능성이 높음. 따라서 나머지 702건의 문건들에 대해서도 작성을 지시하고 보고받은 라인 그리고 실제 실행되었는지 여부 등이 규명되어야 함.
4대강복원범국민대책위원회(이하 범대위)는 국민의당 이상돈 국회의원과 국회정론관에서 공동기자회견을 개최했다ⓒ환경운동연합[/caption]
이상돈 의원은 "지난 7월 원세훈 전 국가정보원장의 선거개입 재판에서 검찰 측이 공개한 자료에 따르면 이미 국가정보원이 4대강 사업에 조직적으로 개입한 정황이 확인되었으나 적폐청산 TF 조사에 누락된 것은 납득하기 어렵다"며 "문건에 따르면, 국정원은 조직적으로 나서서 이명박 정부의 4대강 사업을 적극 호위해왔다"고 언급했습니다.
[caption id="attachment_183777" align="aligncenter" width="640"]
국가정보원이 4대강사업에
국정원의 4대강사업 개입을 철저히 조사하라고 촉구하는 이상돈 국민의당 의원ⓒ환경운동연합[/caption]
2017.9. 27
국회의원 이상돈, 4대강복원범국민대책위원회
문의 : 물순환팀 02-735-7066
민주사회를 위한 변호사모임, 민주주의법학연구회, 인권운동사랑방, 진보네트워크센터, 참여연대, 천주교인권위원회는 오늘(10/10) 지난 9월 1일 국가정보원(이하 국정원)이 입법예고 한 「국가 사이버안보 기본법」 제정(안)에 대한 반대 의견서를 국정원에 제출했다.
이들 단체는 「국가 사이버안보 기본법」은 기존에 의원입법으로 발의되었던 사이버테러방지 관련 법안이 정부입법으로 재추진 된 것으로 기존 사이버테러방지법과 마찬가지로, ‘안보’를 명분으로 ‘사이버 보안’에 관한 국정원의 권한을 민간으로 확대하는 것이라고 밝혔다. 이들은 국정원의 권한을 국가 안보를 넘어 민간 영역의 일상적인 사이버보안까지 확장하는 것은 국정원의 기본 직무 범위를 벗어날 뿐만 아니라 민간에 대한 국가 감시의 우려를 초래할 수 있다고 지적했다. 또한 사이버보안 위협은 천재지변, 인재, 정보유출 등 다양한 요인에 의해 발생할 수 있으나 사이버공격에 대한 보안만을 언급하고 있어 기본법이라고 하기에는 개념도 협소하고, 타 법령과의 관계도 모호하다고 지적했다
입법예고 된 「국가 사이버안보 기본법」 제정(안)은 국정원이 국가사이버안보 실무위원회를 공동 운영하고 사이버안보 기본계획을 수립, 시행하도록 함으로써 컨트롤타워로서 핵심적인 역할을 하고, ‘국가안보를 위협하는 사이버공격’에 대한 사고조사까지 진행할 수 있다. 이들 단체는 비밀정보기관인 국정원이 침해사고 조사를 명분으로 공공기관 및 민간업체의 정보통신망에 접근 할 수 있다며, 국정원에 대한 사법부나 입법부의 감독 체제가 효과적으로 작동하지 않는 현실에서 국정원에 민간 영역을 포괄하는 사이버 보안에 대한 실질적 권한을 부여하는 것은 국정원의 사이버 사찰 의혹을 부추길 것이라고 지적했다.
또한 이들 단체는 대통령 훈령에 불과한 ‘국가사이버안전관리규정’에 따라 국정원이 현재 공공 영역의 정보통신망에 대한 사이버 보안을 책임지고 있는 것도 문제라고 지적하고, 사이버보안와 관련한 국정원의 기존 권한도 다른 기관으로 이양해야 한다고 주장했다. 이들은 공공이든 민간이든 각 기관/업체가 자신이 관리하고 있는 정보통신망에 대한 사이버보안을 책임지되, 국가정보통신망의 사이버보안에 대한 조율과 지원이 필요하다면, 비밀정보기관이 아니라 투명하게 감독을 받을 수 있는 별도의 정부부처에서 담당하는 것이 적절하다고 밝혔다.
이들은 「국가 사이버안보 기본법」 제정 반대 의견을 국회 정보위원회 소속 의원들에게도 전달 할 예정이다.
▣ 별첨자료
국가 사이버안보 기본법 제정(안)에 대한 의견서
1. 국내 사이버 보안 체제의 문제점
(1) 국내 사이버 보안 체제
현재 국내에는 민간 영역의 사이버 보안을 규율하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, 국가기반시설의 사이버 보안을 위한 ‘정보통신기반보호법’, 공공 영역의 사이버 보안을 규율하는 ‘국가사이버안전관리규정’에 따라 사이버 보안을 위한 대응 체제가 갖추어져 있음.
관할 영역
관할 부처
정보통신망법
민간 정보통신망 일반
미래창조과학부
정보통신기반보호법
민간 기반시설
미래창조과학부
공공 기반시설
국가정보원
국가사이버안전관리규정
공공 정보통신망
국가정보원
(2) 국내 사이버 보안의 가장 큰 문제점 - 국가정보원
국가정보원은 ‘국가사이버안전관리규정’에 근거하여, 국가 및 공공기관망에 대한 관리 권한과 함께, ‘국가사이버안전센터’를 통해 ‘민․관․군 사이버위협 합동대응팀’을 이끌고 있음. 또한, 정보보호시스템에 대한 인증(IT보안인증사무국), 암호 인증 등의 업무를 수행하면서, 국내 보안 업계에도 막강한 영향력을 행사하고 있음. 한편, ‘정보통신기반보호법’에서도 국가정보원에 주요정보통신기반시설 지정권고, 보호대책 이행여부 확인, 보호계획의 수립, 침해사고 등의 지원 권한을 부여하고 있음.
이는 사이버보안(Cyber Security)의 특성에 대한 이해 없이 국가 안보(National Security) 관점으로 접근한 것에 기인함. 사이버 공간은 그 특성 상 국경의 구분이나 민간/공공의 경계가 모호한 공간이며, 주요 정보통신망 인프라는 주로 민간에 의해 운용되고 있음. 국가 안보에 영향을 미치는 사이버 위협이 있을 수 있으나, 대다수 사이버 위협은 그 규모나 목적의 측면에서 국가 안보와는 무관함. 또한 사이버 보안에는 정보통신망의 안정성과 무결성의 유지뿐만 아니라, 개인 기기의 데이터와 개인정보의 보호 역시 포함됨. 암호 역시 과거의 군사적 의미에서 벗어나 이미 온라인 상의 이용자 보호를 위해서도 필수적인 수단이 되고 있음.
사이버 보안의 이러한 특성을 고려할 때 비밀정보기관인 국가정보원이 사이버보안와 관련된 광범한 권한을 갖는 것은 적절하지 않음.
• 이는 국가정보원법 제3조에서 규정하고 있는 국정원의 기본 직무 범위를 벗어난 것임.
• 국정원에 대한 사법부나 입법부의 감독 체제가 효과적으로 작동하지 않는 현실에서, 국정원에 민간 영역을 포괄하는 사이버 보안에 대한 실질적 권한을 부여하는 것은 국정원의 사이버 사찰 의혹을 부추길 뿐임.
주요 선진국들은 정부 주도의 사이버 보안 정책보다는 민, 관 협력적인 거버넌스 모델을 추구하고 있음. 비밀정보기관인 국가정보원이 사이버 보안 거버넌스에서 중추적인 역할을 할 경우, 원활한 민, 관 협력 거버너스가 이루어질 수 있을지 의문임. 국가정보원도 인정했다시피, 국가정보원은 2012년부터 이탈리아 업체인 해킹팀이 개발한 해킹 도구인 RCS를 이용해온 바 있음. 그 목적이 무엇이든 간에 RCS는 악성코드를 이용하여 기기의 보안을 해제하거나 소프트웨어의 취약점을 이용하는 방식으로, 이용자의 정보 인권뿐만 아니라 사이버 보안에 해를 끼치는 도구임. 이를 운용했던 국정원이 사이버 보안을 위한 핵심적인 역할을 담당한다는 것은 어불성설임.
어떠한 국가도 비밀정보기관이 국가 사이버 보안의 컨트롤타워를 담당하도록 하고 있지 않음. 예를 들어, 미국의 경우 백악관 하에 사이버 보안국(Cybersecurity Directorate)과 사이버보안조정관(Cybersecurity Coordinator)을 두어 컨트롤타워 역할을 하고 있고, 국방부, 국무부, 국토안보부, 법무부, 상무부 등 각 부처가 관련 업무를 수행하고 있음. 예컨대, 국방과 관련된 사이버보안 이슈의 경우는 국방부가, 사이버 범죄에 관련 있다면 법무부(및 FBI)가 관장하며, 상무부의 국립표준기술원(NIST)에서 보안기술 표준과 관련한 업무를 맡고 있음.
현행 국가 사이버보안 체제는 마치 CIA 혹은 NSA가 미국 사이버안보 정책의 실무 총괄 역할을 하는 것이나 마찬가지임.
2. 국가 사이버안보 기본법(안)의 문제점
(1) 법 제정의 필요성 없음
법 제정 필요성으로 “북한의 사이버 공격이 크게 증가하고 있으나”, “공공.민간 부문이 제각각 분리, 독립적으로 대응하고 있어 광범위한 사이버공격 위협에 효율적인 대처가 불가”하다고 함.
그러나 지금까지 정부는 수차례 사이버 안보 종합대책을 세웠으며, 그에 따라 효율적인 대처를 해 왔다고 자랑한 바 있음. 기존 정부 발표와 달리, 민관을 포함한 사이버 보안 체제에 문제가 있었다면, 지금까지 법률 미비로 발생한 문제가 무엇이었는지에 대한 구체적인 분석이 필요함.
2014.11.17 미래창조과학부 보도자료 '「국가 사이버안보 종합대책」으로 사이버 안심국가 초석 다져'
우선,「국가 사이버안보 종합대책」을 통해 범국가 차원의 사이버 위기 대응을 위한 대응 체계를 정립하였다.
○ 이를 위해 청와대를 컨트롤타워로 민(미래부).관(국정원).군(국방부) 등 분야별 책임기관 체제를 확립하여, 관계기관 간 사이버위협 정보 공유를 강화하고, 사이버공격 발생시 유기적인 협력이 가능한 확고한 대응체계를 구축하였다.
○ 특히,「사이버위협 정보분석ᆞ공유시스템*(C-TAS)」을 본격 가동(‘14.8월) 하여, 주요 통신사 및 포털, 백신업체, 보안업체 등과 사이버위협 정보의 공유ᆞ연계를 강화하고, 사이버 위협정보 분석시간을 단축 (6시간→30분)하는 등 대응 시스템을 고도화 하였다.
“민간 부문은 사이버공격 예방 및 대응을 위한 법률 미흡으로 사이버공격 징후를 실시간 탐지, 차단하거나 신속한 사고 대응에 한계”가 있다고 하나, 이는 사실이 아님. ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, ‘’정보통신기반보호법’ 등 다수의 법률에서 이미 민간 영역의 사이버 보안을 규율하고 있음.
기존 법률을 통해 이미 수행되고 있음에도 불구하고, 법률안에서 중복 규정한 부분도 있음. 예를 들어, 법률안 제18조 연구개발은 이미 국가보안기술연구소를 통해 국정원이 하고 있으며, ‘정보보호산업의 진흥에 관한 법률’에 따라 미래창조과학부도 수행하고 있음. 제19조 산업육성, 제20조 인력양성과 관련해서는, 이미 같은 목적으로 2015년에 ‘정보보호산업의 진흥에 관한 법률’을 제정한 바 있음. 제21조 국제협력도 굳이 동 법안이 없더라도 이미 여러 법률에 규정되어 있고, 해당 정부 부처에서 이미 하고 있는 내용임.
민간 부문의 보안과 관련하여 오히려 경직되고 중복적인 규제 문제가 제기되고, 기존 법제의 개념 정의조차 통일되어 있지 않은 상황에서, 또 하나의 새로운 법률을 제정하는 것은 오히려 중복으로 인한 비효율과 혼란을 가중시킬 것임. 기존 법적 체제에 대한 종합적인 검토와 평가에 기반하여, 기존 법률의 재개정을 포함하여 국내 사이버 보안을 위한 체계적인 법제 정비가 필요함.
(2) 사이버 ‘안보’를 명분으로 국정원의 ‘사이버 보안’ 권한 강화
‘추진 경과’에 나타나 있듯이, 이 법률안은 기존에 발의되었던 사이버테러 방지 관련 법률안이 재추진된 것임. 기존 사이버테러방지법과 마찬가지로, 이 법률안도 ‘안보’를 명분으로 ‘사이버 보안’에 관한 국정원의 권한을 민간으로 확대하려는 것임. 그러나 ‘사이버 보안’은 ‘국가 안보’보다 훨씬 넓은 개념이며, 그 특성도 다름.
실제로 ‘사이버공격’의 개념에서부터, 2장 국가 사이버안보 수행체계와 3장 국가 사이버안보 활동 등 사이버보안 일반에 대한 대응 체계와 활동을 포괄하고 있음. 이는 법률안에서 사이버보안 컨트롤타워의 실질적 역할을 맡고 있는 국가정보원의 권한을 국가 안보를 넘어 민간 영역의 일상적인 사이버보안까지 확장하는 것으로, 국가정보원의 기본 직무 범위를 벗어날 뿐만 아니라 민간에 대한 국가 감시의 우려를 초래할 수 있음.
반면, 법률안은 사이버보안에 대한 기본법이라고 하기에는 개념도 협소하고, 타 법령과의 관계도 모호함. 사이버보안에 대한 위협은 비단 사이버공격에 의해서만 발생하는 것은 아니며, 지진 등 천재지변, 화재 등 인재, 내부자에 의한 중요 정보의 유출 등 다양한 요인에 의해서 발생할 수 있으나, 법률안은 사이버공격으로 인한 보안만을 언급하고 있음. 또한, 사이버보안은 ‘국가의 안전과 이익’ 뿐만 아니라 이용자(국민)의 기기와 정보의 보안을 포괄하는 개념이지만, 이 법률안에서는 제외되어 있음.
해외 입법사례로 들고 있는 미국의 <사이버안보법> (이는 <사이버안보법>이 아니라, ‘사이버보안정보공유법안’임. Cybersecurity Information Sharing Act of 2015), 일본의 <사이버시큐리티기본법>, 독일의 <IT-보안법> 역시 ‘사이버테러 방지 관련 법률’이 아니라 각 국의 ‘사이버보안’ 일반과 관련된 법률로서, 이번 법률안과는 별로 관계가 없음.
(3) 국정원의 민간 사찰과 감시 확대
법률안에서 국가정보원은 사이버보안과 관련한 컨트롤타워로서 핵심적인 역할을 맡고 있음.
법안에서 국가정보원의 역할
- 지원기관에 사실상 국정원 영향 하에 있는 국가보안기술연구소 포함 (제2조 7호)
- 국가사이버안보 실무위원회 공동 운영 (제5조 3항)
- 사이버안보 기본계획 수립․시행 권한 (제7조 1항)
- 사이버안보 실태 평가 권한 (제8조)
- 국가 차원의 일원화된 신고 및 조사 체계 운영 (제12조 1항)
- ‘국가 안보를 위협하는 사이버 공격’의 신고 접수 (제12조 2항)
- ‘국가안보를 위협하는 사이버공격’에 대한 사고조사 (제12조 4항)
- 사이버위기대책본부의 구성 관여 (제15조 2항)
국가사이버안보위원회 위원장은 국가안보실장이 맡는다고 하지만, 법률안은 국정원이 국가사이버안보실무위원회를 공동 운영하고 사이버안보 기본계획을 수립, 시행하도록 함으로써 컨트롤타워로서의 실질적인 역할을 하도록 하고 있음. 비밀정보기관이 한 국가의 사이버보안 컨트롤타워 역할을 하는 것은 적절하지 않으며, 국제적인 흐름에도 부합하지 않음.
국가사이버안보위원회는 책임기관 및 지원기관에게 사이버 보안 관련하여 ‘필요한 자료’ 제출을 요청할 권한이 있으며, 실무위원회를 맡고 있는 국가정보원은 이 자료에 접근 가능할 것임. 국가정보원은 공공기관들(구체적인 대상은 시행령에 위임)에 대한 실태 평가를 할 수 있어, 시행령이 어떻게 제정되느냐에 따라 행정기관뿐만 아니라, 법원, 국회, 헌법재판소, 선관위 등의 사이버 보안 관련 정보와 시설에 접근할 수 있음. 비밀정보기관인 국가정보원이 국회, 법원 등의 사이버보안을 관할하는 것은 헌법기관의 독립성을 침해할 우려가 있음.
국가정보원은 공공기관 및 민간업체의 사이버 침해 사고 신고를 접수 받고 사고조사를 통해 개입할 수 있음. ‘국가 안보를 위협하는 사이버 공격’으로 제한한다고 하지만, ‘국가 안보를 위협하는 사이버 공격’의 정의를 보면, 주요 책임기관의 정보통신망에 대한 일상적인 침해 사고에도 자의적으로 개입할 수 있는 여지를 열어놓고 있음.
제2조(정의)
3. “국가안보를 위협하는 사이버공격”이란 다음 각 목에 해당하는 행위를 말한다.
가. 대한민국의 통치권이 사실상 미치지 아니하는 한반도 내의 집단이 자행하는 사이버공격
나. 전자정부와 국가기반시설 등 국가적으로 중요한 사이버공간을 교란, 마비, 파괴하는 사이버공격
다. 국가 기밀이나 핵심 산업기술 등 국가적으로 중요한 정보를 절취, 훼손하는 사이버 공격
제2조(정의) 3호 (가)의 경우 북한을 지칭하는 것인데, 사고 조사를 통해 공격자를 밝히기 전까지 특정한 사이버 침해사고가 북한의 공격임을 어떻게 알 수 있는지 의문임. 또한, (나)와 (다)의 경우에는 책임기관으로 지정되어 있는 국가 및 공공기관, 주요 정보통신기반사업자 (나 항) 그리고 국가 핵심기술을 보유한 기업체나 연구기관, 방위산업체 및 전문연구기관 (다 항)등의 정보통신망에 대한 사이버 공격이 모두 ‘국가 안보를 위협하는 사이버 공격’으로 자의적으로 규정될 수 있어서, 사실상 이 법률안이 책임기관으로 규정하고 있는 공공기관 및 민간업체의 정보통신망에 침해사고 조사를 명분으로 접근할 수 있음.
침해사고 조사는 일종의 수사와 유사한 과정으로 볼 수 있는데, 비밀정보기관인 국정원이 침해사고 조사를 명분으로 책임기관의 정보통신망에 관여할 수 있다면 기관이나 민간업체의 민감한 정보에 접근할 가능성이 있으며, 이를 통한 기관과 업체에 대한 감시나 통제를 하게 될 우려가 있음.
19대 국회에 발의되었던 사이버테러 관련 법안과 달리, 법률안은 포털 등 인터넷서비스 사업자들을 명시적으로 포함하고 있지는 않지만, 국가사이버안보위원회가 의결을 통해 ‘책임기관’을 지정할 수 있도록 하고 있어, 포털, 언론 등으로 법률안의 규율 대상이 확대될 가능성이 존재함.
법률안은 사고가 발생할 경우 상급 책임기관 혹은 국가정보원에 신고하도록 하고, 상급 책임기관 혹은 국가정보원이 사고 조사를 하도록 하고 있음. 그러나 크고 작은 수준의 사이버 보안 사고는 무수히 발생함을 고려할 때, 이와 같이 일률적으로 규정하는 것은 침해에 대한 대응이나 사고 조사의 효율성도 저해할 우려가 있으며, 책임 소재도 모호해질 수 있음.
국가사이버안전관리규정은 국가정보원이 ‘국가사이버안전센터'를 운영하도록 하고 있으며, 국가사이버안전센터는 국가사이버안전정책수립, 사이버위협 관련 정보의 수집ㆍ분석ㆍ전파, 국가정보통신망의 안전성 확인 등의 역할을 수행하도록 하고 있음. 또한, 국가사이버안전센터에 ‘민ㆍ관ㆍ군 합동대응반’을 설치할 수 있도록 하고 있음. 한편, 19대 국회에 발의되었던 사이버테러 관련 법안(예를 들어, 서상기 의원 발의 ‘국가 사이버테러 방지 등에 관한 법률안(2016. 2. 22.))은 국가사이버안전센터를 법률로 규정하고 그 권한을 민간으로 확대하며, 민ㆍ관ㆍ군 합동대응팀 설치, 운영을 규정하고 있음. 그러나 법률안에서는 국가사이버안전센터 및 민ㆍ관ㆍ군합동대응팀 설치에 대한 규정이 없는데, 테러방지법에서 시행령을 통해 테러정보통합센터, 대테러합동조사팀, 지역 테러대책협의회, 공항·항만 테러대책협의회 등 각종 테러관련 전담조직을 구성하고 또 관계기관들을 주도하도록 한 것과 마찬가지로, 국가 사이버안보 기본법 역시 시행령을 통해 국가정보원에 사이버 보안에 대한 막강한 권한을 부여할 것이 우려됨.
3. 20대 국회에 제안하는 국내 사이버 보안 체제 개선 방안
(1) 사이버 보안을 위한 원칙 확립
유엔 및 유럽연합 등 세계 각 국은 사이버 보안을 위한 원칙으로 개방적인 인터넷의 보존, 프라이버시와 인권 존중, 공공과 민간의 협력 등을 강조하고 있음. 국내 사이버 보안 체제도 이와 같은 원칙에 기반하여 수립될 필요가 있음.
비밀정보기관인 국정원이 사이버 보안과 관련한 컨트롤 타워의 역할을 수행할 경우, 인권 보호를 위한 사회적 감독이 이루어지기 힘들며, 민간과의 원활한 협력도 불가능함.
(2) 국정원의 사이버 보안 권한 이양과 국정원 개혁
국가정보원이 사이버보안 업무를 맡는 것에 대한 근본적인 우려는 국정원에 대한 불신에 기반하고 있음. 이는 단지 과거 국정원의 민간인 사찰과 정치 개입의 역사 때문이 아니라, 여전히 국정원에 대한 사회적인 (사법부 및 입법부의) 감독체제가 부재하기 때문임. RCS 사태와 관련해서도, 국정원이 RCS를 사용해왔음을 인정했음에도 불구하고, 실제 어떠한 목적으로 어떻게 사용해왔는지 국회가 검증하는데 실패함으로써 이러한 감독 체제가 부재하다는 것을 보여주었음. 따라서 국가정보원의 구조개혁과 사회적 감독체제를 마련하는 것이 국정원이 신뢰를 회복할 수 있는 방도임.
대통령 훈령에 불과한 ‘국가사이버안전관리규정’에 따라 국가정보원이 공공 영역의 정보통신망에 대한 사이버 보안을 책임지고 있는 것은 큰 문제임. 국가 정보통신망의 사이버보안에 대한 책임, 정보보호시스템에 대한 인증, 암호 인증 등 사이버보안와 관련한 기존 국정원의 권한도 다른 기관으로 이양되어야 함. 공공이든 민간이든 각 기관/업체가 자신이 관리하고 있는 정보통신망에 대한 사이버보안을 책임지되, 국가정보통신망의 사이버보안에 대한 조율과 지원이 필요하다면, 비밀정보기관이 아니라 투명하게 감독을 받을 수 있는 별도의 정부부처에서 담당하는 것이 적절함.
(3) 국내 사이버보안 관련 법제에 대한 종합적인 평가
국가 차원의 사이버보안과 관련한 기본법 제정을 논의하기 이전에, 기존 사이버보안 체제에 대한 종합적인 평가에 기반하여, 사이버 보안을 위한 기본 원칙과 국가적 기본 체계에 대한 사회적 합의가 먼저 도출되어야 하며, ‘사이버보안’ 관련 개념부터 기존 법률들도 일관성 있게 개편할 필요가 있음.
서로 다른 법률에서 개념 정의의 혼란
정보통신기반보호법은 ‘전자적 침해행위’를 “정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논리·메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위”로 규정하고 있으나, 국가사이버안전규정 및 법률안은 ‘사이버공격’이라고 하고 있음. 정보통신망법은 ‘전자적 침해행위'나 ‘사이버공격'에 대한 정의규정 없이, 전자적 침해행위로 발생한 사태를 ‘침해사고’로 정의하고 있음.
국가사이버안전관리규정은 '사이버안전'을 "사이버공격으로부터 국가정보통신망을 보호함으로써 국가정보통신망과 정보의 기밀성·무결성·가용성 등 안전성을 유지하는 상태"로 정의하고 있으나, 법률안은 '사이버안보'라는 용어를 사용하고 있고, "사이버공격과 사이버공격으로 인한 사이버위기로부터 사이버공간을 보호함으로써 국가의 안전과 이익을 수호하는 활동"으로 규정하고 있음.
사이버 보안은 네트워크 및 정보의 보안, 사이버 범죄, 국가 안보, 개인의 보안과 인권 등의 이슈와 상호 중첩되어 있으며, 따라서 사이버 보안과 관련된 국가적 기본 체계는 기존에 이를 담당했던 제반 정부 부처 및 민간과의 협력과 조정을 어떻게 할 것인지에 대한 정비가 필요함.
시민들의 의견
댓글 달기