리셋! 국가정보원

2017년 3월 8일(수) 오전10시, 국회 의원회관 9간담회실

사회

홍익표 국회의원(더불어민주당)

발제

1. 국가정보원의 과거와 오늘 / 김당 기자(시크릿파일 국정원 저자)

2. 국가정보원 개혁법안 / 장유식 변호사(참여연대 행정감시센터 소장)

토론

이재승 건국대 법학전문대학원 교수

이석범 변호사(전 국정원 법제관)

최승호 뉴스타파 앵커(영화 '자백' 감독)

김용민 변호사(유우성사건 변호인)

김종훈 국회의원(무소속)

박주민 국회의원(더불어민주당)

주최

진선미 의원실(더불어민주당), 국정원감시네트워크(민주사회를 위한 변호사모임, 진보네트워크센터, 참여연대, 천주교인권위원회, 한국진보연대, 민주주의법학연구회)

주관

국회시민정치포럼, 더블어민주당 민주주의 회복 TF

국회, 헌법재판소에 대한 국정원 사찰 진상규명해야

국정원 개혁 이유 분명해져 

국정원의 국내정보 수집기능 폐지 등 국정원 개혁 서둘러야 

국가정보원(이하 국정원)이 탄핵심판을 진행 중인 헌법재판소의 동향 정보를 수집해 왔다는 전직 국정원 고위 간부의 주장이 나왔다. 대통령 탄핵심판이라는 민감하고 중차대한 시점에 헌재를 상대로 한 정보 수집은 가히 충격적이다. 만약 이것이 사실이라면 국가정보원법(이하 국정원법) 위반을 넘어, 국정원이 본연의 임무를 망각한 채 헌정질서를 유린하고, 국정을 농단해 국민으로부터 탄핵당한 대통령과 현 정권의 유지를 위해 활동한 것으로 결코 묵과할 수 없다. 국회는 국정조사 등 모든 수단을 강구해 진상을 밝혀야 할 것이다. 해당 정보의 수집 경위와 보고라인 등 진상을 신속히 밝히고 관련자에게 반드시 책임을 물어야 한다. 

언론보도에 따르면, 과거 오랫동안 사법부 정보 수집을 담당했던 국정원의 한 4급간부가 박근혜대통령 탄핵심판을 진행 중인 헌법재판소를 전담해 올해 초부터 동향정보를 수집해왔다고 한다. 지난해 국회 국정조사 청문회에서 양승태 대법원장 등에 대한 국정원의 사찰 문건이 공개되어, 사회적 비판이 제기되었지만 또 다시 국정원은 동향보고라는 이름으로 위법행위를 버젓이 자행했다. 이는 국가정보원법 제3조에서 정한 직무범위를 벗어난 명백한 위법행위로‘동향정보’라는 이름으로 헌법재판소의 정보를 수집할 어떠한 근거도 없다.
        
국정원은 사실무근이라며, 언론중재위원회에 해당 기사를 제소하겠다고 하나 그간 국정원이 자신의 권한을 넘어 다른 기관과 민간인 등을 사찰하고 국내정치에 개입해온 사실이 어제오늘의 아니다. 이번 사건으로 국정원을 개혁해야 할 이유가 다시 명확해 졌다. 또 다시 국정원의 초법적 행태를 묵인 한다면 2012년 국정원 대선 개입 사건은 재현 될 수밖에 없다. 따라서 국회는 이번 사건에 대한 진상조사와 더불어 국정원의 국내정보 수집기능을 폐지하고, 직무범위를 벗어날 경우 처벌규정을 마련하는 등 국정원 개혁을 서둘러야 한다. 또한 각 정당과 대선 후보들도 국정원 개혁에 대한 분명한 입장과 의지를 밝히고, 차기정권에서 이를 실행해야 한다.  끝. 

6개 시민단체, 국가정보원의 ‘사이버 보안’ 권한 강화한

「국가 사이버안보 기본법」 제정(안) 반대 의견서 제출 

민주사회를 위한 변호사모임, 민주주의법학연구회, 인권운동사랑방, 진보네트워크센터, 참여연대, 천주교인권위원회는 오늘(10/10) 지난 9월 1일 국가정보원(이하 국정원)이 입법예고 한 「국가 사이버안보 기본법」 제정(안)에 대한 반대 의견서를 국정원에 제출했다. 

이들 단체는 「국가 사이버안보 기본법」은 기존에 의원입법으로 발의되었던 사이버테러방지 관련 법안이 정부입법으로 재추진 된 것으로 기존 사이버테러방지법과 마찬가지로, ‘안보’를 명분으로 ‘사이버 보안’에 관한 국정원의 권한을 민간으로 확대하는 것이라고 밝혔다. 이들은 국정원의 권한을 국가 안보를 넘어 민간 영역의 일상적인 사이버보안까지 확장하는 것은 국정원의 기본 직무 범위를 벗어날 뿐만 아니라 민간에 대한 국가 감시의 우려를 초래할 수 있다고 지적했다. 또한 사이버보안 위협은 천재지변, 인재, 정보유출 등 다양한 요인에 의해 발생할 수 있으나 사이버공격에 대한 보안만을 언급하고 있어 기본법이라고 하기에는 개념도 협소하고, 타 법령과의 관계도 모호하다고 지적했다

입법예고 된 「국가 사이버안보 기본법」 제정(안)은 국정원이 국가사이버안보 실무위원회를 공동 운영하고 사이버안보 기본계획을 수립, 시행하도록 함으로써 컨트롤타워로서 핵심적인 역할을 하고, ‘국가안보를 위협하는 사이버공격’에 대한 사고조사까지 진행할 수 있다. 이들 단체는 비밀정보기관인 국정원이 침해사고 조사를 명분으로 공공기관 및 민간업체의 정보통신망에 접근 할 수 있다며, 국정원에 대한 사법부나 입법부의 감독 체제가 효과적으로 작동하지 않는 현실에서 국정원에 민간 영역을 포괄하는 사이버 보안에 대한 실질적 권한을 부여하는 것은 국정원의 사이버 사찰 의혹을 부추길 것이라고 지적했다.

또한 이들 단체는 대통령 훈령에 불과한 ‘국가사이버안전관리규정’에 따라 국정원이 현재 공공 영역의 정보통신망에 대한 사이버 보안을 책임지고 있는 것도 문제라고 지적하고, 사이버보안와 관련한 국정원의 기존 권한도 다른 기관으로 이양해야 한다고 주장했다. 이들은 공공이든 민간이든 각 기관/업체가 자신이 관리하고 있는 정보통신망에 대한 사이버보안을 책임지되, 국가정보통신망의 사이버보안에 대한 조율과 지원이 필요하다면, 비밀정보기관이 아니라 투명하게 감독을 받을 수 있는 별도의 정부부처에서 담당하는 것이 적절하다고 밝혔다.

이들은 「국가 사이버안보 기본법」 제정 반대 의견을 국회 정보위원회 소속 의원들에게도 전달 할 예정이다.

▣ 별첨자료

 

국가 사이버안보 기본법 제정(안)에 대한 의견서

 

1. 국내 사이버 보안 체제의 문제점 

(1) 국내 사이버 보안 체제  

현재 국내에는 민간 영역의 사이버 보안을 규율하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, 국가기반시설의 사이버 보안을 위한 ‘정보통신기반보호법’, 공공 영역의 사이버 보안을 규율하는 ‘국가사이버안전관리규정’에 따라 사이버 보안을 위한 대응 체제가 갖추어져 있음. 

 

	관할 영역	관할 부처
정보통신망법	민간 정보통신망 일반	미래창조과학부
정보통신기반보호법	민간 기반시설	미래창조과학부
	공공 기반시설	국가정보원
국가사이버안전관리규정	공공 정보통신망	국가정보원

 

 

(2) 국내 사이버 보안의 가장 큰 문제점 - 국가정보원  

국가정보원은 ‘국가사이버안전관리규정’에 근거하여, 국가 및 공공기관망에 대한 관리 권한과 함께, ‘국가사이버안전센터’를 통해 ‘민․관․군 사이버위협 합동대응팀’을 이끌고 있음.  또한, 정보보호시스템에 대한 인증(IT보안인증사무국), 암호 인증 등의 업무를 수행하면서, 국내 보안 업계에도 막강한 영향력을 행사하고 있음. 한편, ‘정보통신기반보호법’에서도 국가정보원에 주요정보통신기반시설 지정권고, 보호대책 이행여부 확인, 보호계획의 수립, 침해사고 등의 지원 권한을 부여하고 있음. 
 
이는 사이버보안(Cyber Security)의 특성에 대한 이해 없이 국가 안보(National Security) 관점으로 접근한 것에 기인함. 사이버 공간은 그 특성 상 국경의 구분이나 민간/공공의 경계가 모호한 공간이며, 주요 정보통신망 인프라는 주로 민간에 의해 운용되고 있음. 국가 안보에 영향을 미치는 사이버 위협이 있을 수 있으나, 대다수 사이버 위협은 그 규모나 목적의 측면에서 국가 안보와는 무관함. 또한 사이버 보안에는 정보통신망의 안정성과 무결성의 유지뿐만 아니라, 개인 기기의 데이터와 개인정보의 보호 역시 포함됨. 암호 역시 과거의 군사적 의미에서 벗어나 이미 온라인 상의 이용자 보호를 위해서도 필수적인 수단이 되고 있음. 
 
사이버 보안의 이러한 특성을 고려할 때 비밀정보기관인 국가정보원이 사이버보안와 관련된 광범한 권한을 갖는 것은 적절하지 않음. 
• 이는 국가정보원법 제3조에서 규정하고 있는 국정원의 기본 직무 범위를 벗어난 것임. 
• 국정원에 대한 사법부나 입법부의 감독 체제가 효과적으로 작동하지 않는 현실에서, 국정원에 민간 영역을 포괄하는 사이버 보안에 대한 실질적 권한을 부여하는 것은 국정원의 사이버 사찰 의혹을 부추길 뿐임.
 
주요 선진국들은 정부 주도의 사이버 보안 정책보다는 민, 관 협력적인 거버넌스 모델을 추구하고 있음. 비밀정보기관인 국가정보원이 사이버 보안 거버넌스에서 중추적인 역할을 할 경우,  원활한 민, 관 협력 거버너스가 이루어질 수 있을지 의문임. 국가정보원도 인정했다시피, 국가정보원은 2012년부터 이탈리아 업체인 해킹팀이 개발한 해킹 도구인 RCS를 이용해온 바 있음. 그 목적이 무엇이든 간에 RCS는 악성코드를 이용하여 기기의 보안을 해제하거나 소프트웨어의 취약점을 이용하는 방식으로, 이용자의 정보 인권뿐만 아니라 사이버 보안에 해를 끼치는 도구임. 이를 운용했던 국정원이 사이버 보안을 위한 핵심적인 역할을 담당한다는 것은 어불성설임.
 
어떠한 국가도 비밀정보기관이 국가 사이버 보안의 컨트롤타워를 담당하도록 하고 있지 않음. 예를 들어, 미국의 경우 백악관 하에 사이버 보안국(Cybersecurity Directorate)과 사이버보안조정관(Cybersecurity Coordinator)을 두어 컨트롤타워 역할을 하고 있고, 국방부, 국무부, 국토안보부, 법무부, 상무부 등 각 부처가 관련 업무를 수행하고 있음. 예컨대, 국방과 관련된 사이버보안 이슈의 경우는 국방부가, 사이버 범죄에 관련 있다면 법무부(및 FBI)가 관장하며, 상무부의 국립표준기술원(NIST)에서 보안기술 표준과 관련한 업무를 맡고 있음. 
현행 국가 사이버보안 체제는 마치 CIA 혹은 NSA가 미국 사이버안보 정책의 실무 총괄 역할을 하는 것이나 마찬가지임.

 

 
2. 국가 사이버안보 기본법(안)의 문제점 

 
(1) 법 제정의 필요성 없음

법 제정 필요성으로 “북한의 사이버 공격이 크게 증가하고 있으나”, “공공.민간 부문이 제각각 분리, 독립적으로 대응하고 있어 광범위한 사이버공격 위협에 효율적인 대처가 불가”하다고 함. 
 
그러나 지금까지 정부는 수차례 사이버 안보 종합대책을 세웠으며, 그에 따라 효율적인 대처를 해 왔다고 자랑한 바 있음. 기존 정부 발표와 달리, 민관을 포함한 사이버 보안 체제에 문제가 있었다면, 지금까지 법률 미비로 발생한 문제가 무엇이었는지에 대한 구체적인 분석이 필요함. 

 

2014.11.17 미래창조과학부 보도자료 '「국가 사이버안보 종합대책」으로 사이버 안심국가 초석 다져'   우선,「국가 사이버안보 종합대책」을 통해 범국가 차원의 사이버 위기 대응을 위한 대응 체계를 정립하였다.   ○ 이를 위해 청와대를 컨트롤타워로 민(미래부).관(국정원).군(국방부) 등 분야별 책임기관 체제를 확립하여, 관계기관 간 사이버위협 정보 공유를 강화하고, 사이버공격 발생시 유기적인 협력이 가능한 확고한 대응체계를 구축하였다.   ○ 특히,「사이버위협 정보분석ᆞ공유시스템*(C-TAS)」을 본격 가동(‘14.8월) 하여, 주요 통신사 및 포털, 백신업체, 보안업체 등과 사이버위협 정보의 공유ᆞ연계를 강화하고, 사이버 위협정보 분석시간을 단축 (6시간→30분)하는 등 대응 시스템을 고도화 하였다.

 

 

“민간 부문은 사이버공격 예방 및 대응을 위한 법률 미흡으로 사이버공격 징후를 실시간 탐지, 차단하거나 신속한 사고 대응에 한계”가 있다고 하나, 이는 사실이 아님. ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, ‘’정보통신기반보호법’ 등 다수의 법률에서 이미 민간 영역의 사이버 보안을 규율하고 있음. 
 
기존 법률을 통해 이미 수행되고 있음에도 불구하고, 법률안에서 중복 규정한 부분도 있음. 예를 들어, 법률안 제18조 연구개발은 이미 국가보안기술연구소를 통해 국정원이 하고 있으며, ‘정보보호산업의 진흥에 관한 법률’에 따라 미래창조과학부도 수행하고 있음. 제19조 산업육성, 제20조 인력양성과 관련해서는, 이미 같은 목적으로 2015년에 ‘정보보호산업의 진흥에 관한 법률’을 제정한 바 있음. 제21조 국제협력도 굳이 동 법안이 없더라도 이미 여러 법률에 규정되어 있고, 해당 정부 부처에서 이미 하고 있는 내용임.
 
민간 부문의 보안과 관련하여 오히려 경직되고 중복적인 규제 문제가 제기되고, 기존 법제의 개념 정의조차 통일되어 있지 않은 상황에서, 또 하나의 새로운 법률을 제정하는 것은 오히려 중복으로 인한 비효율과 혼란을 가중시킬 것임. 기존 법적 체제에 대한 종합적인 검토와 평가에 기반하여, 기존 법률의 재개정을 포함하여 국내 사이버 보안을 위한 체계적인 법제 정비가 필요함. 

 

 

(2) 사이버 ‘안보’를 명분으로 국정원의 ‘사이버 보안’ 권한 강화
 

‘추진 경과’에 나타나 있듯이, 이 법률안은 기존에 발의되었던 사이버테러 방지 관련 법률안이 재추진된 것임. 기존 사이버테러방지법과 마찬가지로, 이 법률안도 ‘안보’를 명분으로 ‘사이버 보안’에 관한 국정원의 권한을 민간으로 확대하려는 것임. 그러나 ‘사이버 보안’은 ‘국가 안보’보다 훨씬 넓은 개념이며, 그 특성도 다름. 
 
실제로  ‘사이버공격’의 개념에서부터, 2장 국가 사이버안보 수행체계와 3장 국가 사이버안보 활동 등 사이버보안 일반에 대한 대응 체계와 활동을 포괄하고 있음. 이는 법률안에서 사이버보안 컨트롤타워의 실질적 역할을 맡고 있는 국가정보원의 권한을 국가 안보를 넘어 민간 영역의 일상적인 사이버보안까지 확장하는 것으로, 국가정보원의 기본 직무 범위를 벗어날 뿐만 아니라 민간에 대한 국가 감시의 우려를 초래할 수 있음. 
 
반면, 법률안은 사이버보안에 대한 기본법이라고 하기에는 개념도 협소하고, 타 법령과의 관계도 모호함. 사이버보안에 대한 위협은 비단 사이버공격에 의해서만 발생하는 것은 아니며, 지진 등 천재지변, 화재 등 인재, 내부자에 의한 중요 정보의 유출 등 다양한 요인에 의해서 발생할 수 있으나, 법률안은 사이버공격으로 인한 보안만을 언급하고 있음. 또한, 사이버보안은 ‘국가의 안전과 이익’ 뿐만 아니라 이용자(국민)의 기기와 정보의 보안을 포괄하는 개념이지만, 이 법률안에서는 제외되어 있음. 
 
해외 입법사례로 들고 있는 미국의 <사이버안보법> (이는 <사이버안보법>이 아니라, ‘사이버보안정보공유법안’임. Cybersecurity Information Sharing Act of 2015), 일본의 <사이버시큐리티기본법>, 독일의 <IT-보안법> 역시 ‘사이버테러 방지 관련 법률’이 아니라 각 국의 ‘사이버보안’ 일반과 관련된 법률로서, 이번 법률안과는 별로 관계가 없음. 
 

(3) 국정원의 민간 사찰과 감시 확대

법률안에서 국가정보원은 사이버보안과 관련한 컨트롤타워로서 핵심적인 역할을 맡고 있음. 
 

법안에서 국가정보원의 역할   - 지원기관에 사실상 국정원 영향 하에 있는 국가보안기술연구소 포함 (제2조 7호) - 국가사이버안보 실무위원회 공동 운영 (제5조 3항) - 사이버안보 기본계획 수립․시행 권한 (제7조 1항) - 사이버안보 실태 평가 권한 (제8조) - 국가 차원의 일원화된 신고 및 조사 체계 운영 (제12조 1항) - ‘국가 안보를 위협하는 사이버 공격’의 신고 접수 (제12조 2항) - ‘국가안보를 위협하는 사이버공격’에 대한 사고조사 (제12조 4항) - 사이버위기대책본부의 구성 관여 (제15조 2항)

 

국가사이버안보위원회 위원장은 국가안보실장이 맡는다고 하지만, 법률안은 국정원이 국가사이버안보실무위원회를 공동 운영하고 사이버안보 기본계획을 수립, 시행하도록 함으로써 컨트롤타워로서의 실질적인 역할을 하도록 하고 있음. 비밀정보기관이 한 국가의 사이버보안 컨트롤타워 역할을 하는 것은 적절하지 않으며, 국제적인 흐름에도 부합하지 않음. 
 
국가사이버안보위원회는 책임기관 및 지원기관에게 사이버 보안 관련하여 ‘필요한 자료’ 제출을 요청할 권한이 있으며, 실무위원회를 맡고 있는 국가정보원은 이 자료에 접근 가능할 것임. 국가정보원은 공공기관들(구체적인 대상은 시행령에 위임)에 대한 실태 평가를 할 수 있어, 시행령이 어떻게 제정되느냐에 따라 행정기관뿐만 아니라, 법원, 국회, 헌법재판소, 선관위 등의 사이버 보안 관련 정보와 시설에 접근할 수 있음. 비밀정보기관인 국가정보원이 국회, 법원 등의 사이버보안을 관할하는 것은 헌법기관의 독립성을 침해할 우려가 있음. 
 
국가정보원은 공공기관 및 민간업체의 사이버 침해 사고 신고를 접수 받고 사고조사를 통해 개입할 수 있음. ‘국가 안보를 위협하는 사이버 공격’으로 제한한다고 하지만, ‘국가 안보를 위협하는 사이버 공격’의 정의를 보면, 주요 책임기관의 정보통신망에 대한 일상적인 침해 사고에도 자의적으로 개입할 수 있는 여지를 열어놓고 있음. 

 

제2조(정의) 3. “국가안보를 위협하는 사이버공격”이란 다음 각 목에 해당하는 행위를 말한다. 가. 대한민국의 통치권이 사실상 미치지 아니하는 한반도 내의 집단이 자행하는 사이버공격 나. 전자정부와 국가기반시설 등 국가적으로 중요한 사이버공간을 교란, 마비, 파괴하는 사이버공격 다. 국가 기밀이나 핵심 산업기술 등 국가적으로 중요한 정보를 절취, 훼손하는 사이버 공격

 

제2조(정의) 3호 (가)의 경우 북한을 지칭하는 것인데, 사고 조사를 통해 공격자를 밝히기 전까지 특정한 사이버 침해사고가 북한의 공격임을 어떻게 알 수 있는지 의문임. 또한, (나)와 (다)의 경우에는 책임기관으로 지정되어 있는 국가 및 공공기관, 주요 정보통신기반사업자 (나 항) 그리고 국가 핵심기술을 보유한 기업체나 연구기관, 방위산업체 및 전문연구기관 (다 항)등의 정보통신망에 대한 사이버 공격이 모두 ‘국가 안보를 위협하는 사이버 공격’으로 자의적으로 규정될 수 있어서, 사실상 이 법률안이 책임기관으로 규정하고 있는 공공기관 및 민간업체의 정보통신망에 침해사고 조사를 명분으로 접근할 수 있음. 
 
침해사고 조사는 일종의 수사와 유사한 과정으로 볼 수 있는데, 비밀정보기관인 국정원이 침해사고 조사를 명분으로 책임기관의 정보통신망에 관여할 수 있다면 기관이나 민간업체의 민감한 정보에 접근할 가능성이 있으며, 이를 통한 기관과 업체에 대한 감시나 통제를 하게 될 우려가 있음. 
 
19대 국회에 발의되었던 사이버테러 관련 법안과 달리, 법률안은 포털 등 인터넷서비스 사업자들을 명시적으로 포함하고 있지는 않지만, 국가사이버안보위원회가 의결을 통해 ‘책임기관’을 지정할 수 있도록 하고 있어, 포털, 언론 등으로 법률안의 규율 대상이 확대될 가능성이 존재함. 
 
법률안은 사고가 발생할 경우 상급 책임기관 혹은 국가정보원에 신고하도록 하고, 상급 책임기관 혹은 국가정보원이 사고 조사를 하도록 하고 있음. 그러나 크고 작은 수준의 사이버 보안 사고는 무수히 발생함을 고려할 때, 이와 같이 일률적으로 규정하는 것은 침해에 대한 대응이나 사고 조사의 효율성도 저해할 우려가 있으며, 책임 소재도 모호해질 수 있음. 
 
국가사이버안전관리규정은 국가정보원이 ‘국가사이버안전센터'를 운영하도록 하고 있으며, 국가사이버안전센터는 국가사이버안전정책수립, 사이버위협 관련 정보의 수집ㆍ분석ㆍ전파, 국가정보통신망의 안전성 확인 등의 역할을 수행하도록 하고 있음. 또한, 국가사이버안전센터에 ‘민ㆍ관ㆍ군 합동대응반’을 설치할 수 있도록 하고 있음. 한편, 19대 국회에 발의되었던 사이버테러 관련 법안(예를 들어, 서상기 의원 발의 ‘국가 사이버테러 방지 등에 관한 법률안(2016. 2. 22.))은 국가사이버안전센터를 법률로 규정하고 그 권한을 민간으로 확대하며, 민ㆍ관ㆍ군 합동대응팀 설치, 운영을 규정하고 있음. 그러나 법률안에서는 국가사이버안전센터 및 민ㆍ관ㆍ군합동대응팀 설치에 대한 규정이 없는데, 테러방지법에서 시행령을 통해 테러정보통합센터, 대테러합동조사팀, 지역 테러대책협의회, 공항·항만 테러대책협의회 등 각종 테러관련 전담조직을 구성하고 또 관계기관들을 주도하도록 한 것과 마찬가지로, 국가 사이버안보 기본법 역시 시행령을 통해 국가정보원에 사이버 보안에 대한 막강한 권한을 부여할 것이 우려됨. 

 

 

3. 20대 국회에 제안하는 국내 사이버 보안 체제 개선 방안

(1) 사이버 보안을 위한 원칙 확립  

유엔 및 유럽연합 등 세계 각 국은 사이버 보안을 위한 원칙으로 개방적인 인터넷의 보존, 프라이버시와 인권 존중, 공공과 민간의 협력 등을 강조하고 있음. 국내 사이버 보안 체제도 이와 같은 원칙에 기반하여 수립될 필요가 있음. 
 
비밀정보기관인 국정원이 사이버 보안과 관련한 컨트롤 타워의 역할을 수행할 경우, 인권 보호를 위한 사회적 감독이 이루어지기 힘들며, 민간과의 원활한 협력도 불가능함. 

 

(2) 국정원의 사이버 보안 권한 이양과 국정원 개혁 

 국가정보원이 사이버보안 업무를 맡는 것에 대한 근본적인 우려는 국정원에 대한 불신에 기반하고 있음. 이는 단지 과거 국정원의 민간인 사찰과 정치 개입의 역사 때문이 아니라, 여전히 국정원에 대한 사회적인 (사법부 및 입법부의) 감독체제가 부재하기 때문임. RCS 사태와 관련해서도, 국정원이 RCS를 사용해왔음을 인정했음에도 불구하고, 실제 어떠한 목적으로 어떻게 사용해왔는지 국회가 검증하는데 실패함으로써 이러한 감독 체제가 부재하다는 것을 보여주었음. 따라서 국가정보원의 구조개혁과 사회적 감독체제를 마련하는 것이 국정원이 신뢰를 회복할 수 있는 방도임.  
 
대통령 훈령에 불과한 ‘국가사이버안전관리규정’에 따라 국가정보원이 공공 영역의 정보통신망에 대한 사이버 보안을 책임지고 있는 것은 큰 문제임. 국가 정보통신망의 사이버보안에 대한 책임, 정보보호시스템에 대한 인증, 암호 인증 등 사이버보안와 관련한 기존 국정원의 권한도 다른 기관으로 이양되어야 함. 공공이든 민간이든 각 기관/업체가 자신이 관리하고 있는 정보통신망에 대한 사이버보안을 책임지되, 국가정보통신망의 사이버보안에 대한 조율과 지원이 필요하다면, 비밀정보기관이 아니라 투명하게 감독을 받을 수 있는 별도의 정부부처에서 담당하는 것이 적절함. 

 

(3) 국내 사이버보안 관련 법제에 대한 종합적인 평가  

국가 차원의 사이버보안과 관련한 기본법 제정을 논의하기 이전에, 기존 사이버보안 체제에 대한 종합적인 평가에 기반하여, 사이버 보안을 위한 기본 원칙과 국가적 기본 체계에 대한 사회적 합의가 먼저 도출되어야 하며, ‘사이버보안’ 관련 개념부터 기존 법률들도 일관성 있게 개편할 필요가 있음. 

 

서로 다른 법률에서 개념 정의의 혼란   정보통신기반보호법은 ‘전자적 침해행위’를 “정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논리·메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위”로 규정하고 있으나, 국가사이버안전규정 및 법률안은 ‘사이버공격’이라고 하고 있음. 정보통신망법은 ‘전자적 침해행위'나 ‘사이버공격'에 대한 정의규정 없이, 전자적 침해행위로 발생한 사태를 ‘침해사고’로 정의하고 있음.   국가사이버안전관리규정은 '사이버안전'을 "사이버공격으로부터 국가정보통신망을 보호함으로써 국가정보통신망과 정보의 기밀성·무결성·가용성 등 안전성을 유지하는 상태"로 정의하고 있으나, 법률안은 '사이버안보'라는 용어를 사용하고 있고, "사이버공격과 사이버공격으로 인한 사이버위기로부터 사이버공간을 보호함으로써 국가의 안전과 이익을 수호하는 활동"으로 규정하고 있음.

 

사이버 보안은 네트워크 및 정보의 보안, 사이버 범죄, 국가 안보, 개인의 보안과 인권 등의 이슈와 상호 중첩되어 있으며, 따라서 사이버 보안과 관련된 국가적 기본 체계는 기존에 이를 담당했던 제반 정부 부처 및 민간과의 협력과 조정을 어떻게 할 것인지에 대한 정비가 필요함.

 

국정원 전횡, 인권침해 비판 무시한 정부

20대 국회에서 테러방지법 폐기 운동 나설 것

어제(5/24) 테러방지법 시행령(안)이 국무회의를 통과했다. 입법예고된 테러방지법 시행령(안)과 대테러센터 직제(안)에 대해 시민사회는 물론 정치권과 국가인권위원회마저 많은 우려와 반대의견을 제시했으나, 이를 무시하고 정부는 기존 입장을 그대로 유지했다. 우리는 오만하고 독선적인 정부의 태도를 비판하지 않을 수 없다. 

지난 3월 제정된 테러방지법은 국정원이 자의적으로 ‘테러위험인물’을 지정하고, 테러위험인물에 대한 금융·통신정보는 물론 민간정보를 포함한 개인정보 및 위치정보를 수집하고, 테러위험인물을 조사하고 추적할 수 있도록 해 국정원의 권한남용과 인권침해에 대한 비판이 제기되었다. 그런 만큼 정부는 시행령을 통해서라도 이를 해소하려고 노력해야 함이 마땅하다. 그러나 시행령은 모법의 범위를 넘어서 국정원의 권한을 더욱 확대했다. 테러방지법 상 핵심 실무조직이라 할 수 있는 대테러센터를 국정원이 장악할 수 있도록 했다. 또한 헌법상의 포괄위임 원칙을 위배하여 시행령에서 대테러센터를 지원하고, 테러대응 활동을 수행할 무려 10개의 전담조직을 신설하도록 하고 이 중 테러정보통합센터, 대테러합동조사팀, 지역 및 항공․항만테러대책협의회 등 4개 조직을 국정원이 주도 할 수 있도록 했다. 외부에 활동이 공개되지 않은 정보수집기관인 국정원에게 정부기관은 물론 지역행정조직까지 컨트롤 할 수 있는 권한을 부여하면서 이를 통제할 수 있는 장치는 끝내 마련하지 않았다.

또한 테러대책본부장의 요청만으로 사실상 군부대에 해당하는 군 대테러특공대를 민간시설에 투입하는 것은 위헌으로 헌법 제77조와 계업법 등 관련 법률에 준하는 엄격한 통제 장치를 마련해야 한다는 인권위의 권고를 비롯해 각층의 요구도 전혀 수용하지 않았다. 이는 군부대는 자국민을 상대로 발동할 수 없으며, 만약 군부대를 민간시설에 투입할 경우 입법부 등의 견제를 받도록 한 헌법 가치를 정면으로 위반한 것이다. 다만 정부는 인권보호관의 민원처리방법과 절차가 없다는 비판만을 수용해 시행령에 민원처리 기간을 2개월 내로 규정하였지만 자료제출요구권 등을 보장하지 않은 채 민원처리 기한 등을 규정하였다고 인권보호관의 실효성이 확보될 수는 없다. 

국정원은 그간 조직, 예산, 활동이 공개되지 않은 비밀조직이라는 권한을 이용해 국내정치개입은 물론 사찰 등 전횡을 일삼아 왔다. 이러한 상황에서 아무런 통제 장치 없이 국정원의 권한을 강화한 테레방지법과 시행령은 국정원에게 무소불위 권한을 부여하며, 그 피해는 고스란히 국민들에게 돌아갈 것이다. 우리 단체들은 이후 ‘테러방지법’의 오남용을 감시하고, 20대 국회에서 테러방지법을 폐기하기 위해 노력할 것이다. 또한 국정원의 예산 및 활동 등에 관한 국회 통제장치를 마련하기 위해 노력할 것이다. 

민주사회를위한변호사모임, 민주주의법학연구회, 인권운동공간 ‘활’, 인권운동사랑방,

진보네트워크센터, 참여연대

대법관들, 의혹 부인이 아니라 대국민 사과부터 하라

법관 사찰로 무너진 사법부 신뢰, 명확한 실체 규명과 책임자 처벌로 신뢰 회복해야  

법관에 대한 광범위한 사찰이 이뤄졌다는 사법부 추가조사위원회 조사 발표에 법관은 물론 시민들은 경악을 넘어 참담함을 이루 감출 수 없는 상황이다. 그런 와중에 대법원장을 제외한 대법관 13명 전원은 어제, ‘추가조사위원회의 조사 결과에 대하여’라는 입장문을 발표했다. 그러나 추가조사위 발표 후 첫 법원의 입장인 대법관들의 입장문에는 원세훈 전 국정원장 재판과 관련하여 제기된 의혹을 부인하는 내용만 있을 뿐, 법관 사찰 등 사법 농단 사태에 대해 책임 통감이나 일말의 사과조차 찾을 수 없었다. 사법부 신뢰의 근간이 무너진 상황에 대법관들이 국민 앞에 나서 말하고 싶었던 것이 단지 그것뿐인지 눈과 귀를 의심하지 않을 수 없었다. 법관들의 수장 격인 대법관들에게 시민이 기대하는 것은 의혹 부인이 아니라 사법 농단 사태에 대한 대국민 사과이다. 

법관 블랙리스트, 법관 사찰 등 사법 농단에 대한 의혹이 제기된지 1년이나 흘렀다. 그러나 법원이 실시한 두 번의 조사로는 여전히 그 실체가 불투명하고, 문건에 담긴 대응방안 등이 실제로 실행되었는지 확인할 수 없다. 이러한 상황에서 대법관들이 제기된 의혹을 부인한다 한들 의혹과 의구심은 사라지지 않는다. 사법부의 신뢰를 회복하고 근간을 바로세우는 길은 명확한 실체를 밝히고 관련자들이 처벌받고 책임을 지는 것임을 김명수 대법원장을 비롯한 법관들이 명심하길 촉구한다. 

'카톡 탈출' 아니라 투표해야 국정원 바뀐다

[우리는 희망에 투표한다 1] 무소불위 국정원 개혁, 테러방지법 폐지부터

16.03.09 17:26l최종 업데이트 16.03.09 17:26l 글: 장유식(pspd1994)

▲  [20대 총선 정책제안] 우리는 희망에 투표한다

ⓒ 고정미

2016년 3월, 소위 '테러방지법'이 통과되었다. 한마디로 테러를 빙자한 '국민사찰법'이다. 이제 국가정보원은 금융거래정보, 민감정보를 포함한 개인정보, 위치정보, 통신비밀에 더욱 쉽게 접근할 수 있게 되었고, 무슨 의미인지도 모호한 '추적권'도 갖게 되었다. 시민들은 언제든지 '테러위험인물'이 될 수 있고, 국정원은 '빅브라더'가 되고 말았다.  

국정원은 테러방지법 없이도 이미 비대한 권한을 갖고 있다. 세계적으로 유례가 없는 비정상적인 정보기관이다. 수사권도 갖고 있고, 국내정보도 수집할 수 있으며, 예산과 직무에 대한 국회의 통제도 거의 받지 않고 있다. 

급선무는 입법 권력 교체
 

▲ 테러방지법 국회 본회의 통과 지난 2일 국회 본회의에서 더불어민주당 의원들이 퇴장한 가운데 주호영 의원 외 156인이 발의한 테러방지법이 재석 157인 중 찬성 156인, 반대 1인으로 가결됐다. 본회의장 전광판에 찬반 의원들이 표시되고 있다.
ⓒ 남소연

먼저, 국정원은 수사권을 내려놓아야 한다. 비밀정보기관이 수사권을 갖게 되면 필연적으로 비밀경찰이 되고 만다. 밀행적(密行的)으로 취득한 정보를 수사에 활용하게 되면 통제는 불가능해지고 인권은 침해될 수밖에 없다. 

나치의 게슈타포(나치 독일 시대의 비밀 정치 경찰)가 대표적인 예이다. 그동안 국정원이 수없이 간첩조작사건을 주도한 것도 따지고 보면 수사권을 갖고 있기 때문이다. 당연하게도 미국의 CIA, 영국의 MI-6, 독일의 BND, 이스라엘의 모사드 등 주요 국가의 정보기관은 수사권을 보유하고 있지 않다. 수사권의 폐지(분리)는 국정원 '탈권력화'의 필수전제이다. 

다음으로, 국정원은 국내정보의 수집권한을 포기해야 한다. 미국의 경우 해외정보는 CIA, 국내정보는 FBI로 양분되어 있다. 영국, 프랑스, 독일, 이스라엘, 일본, 심지어 소련 해체 후 러시아도 해외정보와 국내정보는 다른 기관에서 담당한다. 정보의 분산과 견제가 '정보의 실패'를 막을 수 있다고 보기 때문이다. 대한민국의 국정원만이 '정보의 집중'을 고집하고 있으며, 결국 해외정보와 국내정보를 모두 다루고 있는 국정원은 불법적인 정치개입의 유혹에서 자유로울 수가 없다. 

예산과 직무에 대한 국회의 통제도 강화되어야 한다. 국정원의 예산은 '국가기밀'이라는 이유로 예산 편성 단계에서부터 결산에 이르기까지 각종 특례로 싸여 있다. 특례를 폐지해야 한다. 

직무에 대한 국회의 통제도 강화돼야 한다. 미국의 경우 이란 콘트라게이트 등의 경험을 통해 '국가정보기관의 장은 정보관련 문제에 대해 국회에 완전하게 그 내용을 통보해야 한다'는 원칙이 확립되어 있다. 독일의 경우도 의회가 'Need to know'(필지사항) 정보에 대해서는 제한 없는 보고가 이루어지고 있다. 국정원은 대통령만을 위한 기관이 아니고, 국가와 국민을 위한 기관이기 때문이다.

2년여 전, 국정원의 대선개입이 드러나고, 서울시공무원 간첩조작사건이 불거졌을 때만 해도 국회는 특위까지 만들어서 국정원 개혁을 추진하는 듯했다. 그러나 결과는 '셀프개혁'이었다. 집권세력, 특히 대통령의 의지 없이는 국정원개혁은 공염불이 되고 만다는 것을 증명된 것이다. 

단계적인 접근이 필요할 것이다. 다가오는 4·13 총선을 통해 입법권력의 교체를 이루는 것이 급선무이다. 입법권력의 교체만으로도 테러방지법의 우선적 폐지와 국회의 통제강화를 이룰 수 있다. 

다음으로 2017년 대선이다. 국정원을 정상적인 정보기관으로 재탄생시키고자 하는 강한 의지를 가진 대통령이 나와야 한다. 국정원을 '활용'하려는 유혹과 국정원의 '저항', 그리고 분단된 대한민국의 이른바 '안보 신화'를 이겨낼 그런 대통령 말이다.

참여연대가 제안하는 정책과제는 크게 3대 분야 52개로 서민 생존권과 경제민주화를 위한 정책과제, 한반도 평화와 미래를 위한 정책과제, 민주주의와 인권을 위한 정책과제로 구성되어 있습니다. 해당 정책제안은 참여연대 홈페이지에서 보실 수 있습니다. 

저작권자(c) 오마이뉴스(시민기자), 무단 전재 및 재배포 금지

덧붙이는 글 | 글쓴이는 변호사이자 참여연대 행정감시센터 소장입니다.

위기에 처한 국정원 해킹사찰 의혹 검증

국정원은 객관적이고 충분한 검증을 거부하지 말아야해
국정원에 대한 외부감독체계 개선 필요성 다시 드러난 것

국정원의 해킹사찰 의혹 사건에 대한 국회차원의 조사와 검증이 위기에 처했다. 청문회와 국정조사는 고사하고, 내일(6일)로 예정된 국정원-전문가 기술간담회도 무산될 예정이다. 이렇게 된 것은 두 가지 때문이다. 하나는 아무런 근거자료도 없이 국정원의 말을 무조건 믿고 이번 의혹은 아무런 근거없다고 결론내려버린 집권여당인 새누리당때문이고, 다른 하나는 자료제출을 요구해도 기밀이라며 거부하고 있는 국정원때문이다. 
무엇을 근거로 이번 국정원의 해킹사찰 사건이 불법적 요소가 전혀 없는 것이고, 특히 우리 국민에 대해 해킹프로그램을 사용한 바 없다고 새누리당이 믿는지 되묻지 않을 수 없다. 국정원의 설명이라면 무조건 다 믿어야 한다고 생각하는 것이 아니라면 객관적인 검증을 거쳐야 하는 것 아닌가?
객관적이고 충분한 검증에 응하지 않고 있는 국정원의 태도는 더 나쁘다. 불법의 징후가 발견되었다면, 객관적인 자료를 통해 사실을 밝히고 의구심을 해소해야 한다. 정보기관 활동의 특성상 조사된 내용의 일반공개의 범위와 구체성은 사안에 따라 제한될 수 있을지라도, 국회나 독립적인 수사기관에 의한 객관적이고 충분한 검증과 조사 자체를 제한해서는 안 된다.
공안기구감시네트워크 소속 우리 5개 단체들(참여연대, 민주사회를 위한 변호사모임, 진보네트워크센터, 천주교인권위원회, 한국진보연대)은 국정원이 국민을 상대로 어떤 불법행위도 안했는지를 비롯해 이번 해킹사찰프로그램 사용과 관련한 여러 의혹을 제대로 규명해야 한다고 본다. 근거자료를 제시하지 않고 ‘우리 말을 믿으라’는 식으로 넘어가서는, 국가안보를 위해 존재한다는 국가정보기관에 대한 국민적 신뢰는 계속 침식당할 것이다. 이는 국정원의 발전을 위해서도 바람직하지 않다.

한편 이번 사건은 국정원의 행동을 독립적이고 객관적인 입장에서 감독하고 조사할 수 있는 권한을 행사할 수 있는 곳이 없다는 것을 다시 드러냈다.
사이버심리전단 규모를 점점 확대시키고 정치 및 선거 불법개입 행위까지 하고 있는지도 국정원 바깥에서는 수년동안 아무도 몰랐다. 해킹프로그램을 구매하고 있었는지도 국정원 내부자말고는 아무도 몰랐다. 일반에게 공표될 내용은 아니라고 하더라도 국정원의 상황을 국정원말고는 아무도 모르는, 즉 국정원이 외부감독과 통제 사각지대에 있었기 때문에 빚어진 일들이다. 
게다가 불법의 징후가 드러났음에도 객관적이고 독립적인 조사는 벽에 부딪혔고 지금도 그렇다. 대선개입 사건 때에도 국정원 직원의 체포를 국정원장에게 사전 통지하지 않았다고 검찰이 다시 풀어주어야했고, 국정원에 대한 압수수색도 국정원이 협조하지 않았기 때문에 제한적인 범위에 그쳤다.
국정원의 불법정치 및 18대 대선개입 사건이 드러났을 때 국정원에 대한 외부감독체계 강화를 이루어야 했다. 그 때 실패했기에 지금도 국정원이 입을 다물고 자료를 안 내놓겠다고 하면 속수무책일 수 밖에 없다. 이번 불법해킹사찰 의혹사건이 진상규명에만 머물지 않고 국정원에 대한 독립적이고 객관적인 외부감독체계 마련의 계기가 되어야 한다.