카톡·포털 서버까지 영장없이 보겠다는 국정원
테러방지법 통과되자마자, 이번엔 사이버테러법 여론몰이
통신·포털·쇼핑몰·SNS 등 민간 인터넷망 틀어쥐고, 영장없이 24시 감청도 가능
* 민주화운동정신계승국민연대·평화어머니회 등이 참여한 ‘백만명 1인 등불 국민운동’ 회원들이 8일 낮 테러방지법에 반대하는 펼침막을 들고 서울 세종로 광화문네거리에서 인사동 방향으로 행진하고 있다. 이들은 국회를 통과한 테러방지법이 국가정보원의 권한을 지나치게 비대하게 만들고 표현의 자유를 심각하게 침해할 것이라고 주장했다. 김명진 기자 littleprince@hani.co.kr
국민의 절반 이상이 반대하는 테러방지법을 힘으로 밀어붙인 정부·여당이, 이번엔 북한의 해킹 우려 등을 내세워 사이버테러방지법의 국회 처리를 전방위로 압박하고 있다. 국가정보원이 개인의 신상·통신·금융 정보 수집에 이어, 메신저·이메일 등 인터넷 영역까지 언제든 들여다볼 수 있도록 제도화하겠다는 것이다.
전문가들은 사이버테러방지법이 실제 사이버테러 예방에는 실효성이 없이, 국정원이 온라인상에서도 무소불위의 정보 접근권을 갖게 돼, 국민의 사생활과 기본권을 심각하게 침해할 우려가 크다고 지적하고 있다.
국가정보원은 8일 긴급 국가사이버안전대책회의를 열어, 북한에 의한 국내 주요 인사의 스마트폰 해킹 사실을 공개했다. 원유철 새누리당 원내대표는 이날 원내대책회의에서 “온라인 테러를 막을 방패도 준비해야 한다”며, 정의화 국회의장에게 사이버테러방지법의 직권상정을 요구했다.
박근혜 대통령이 전날 수석비서관회의에서 “국회에 계류 중인 사이버테러방지법이 통과될 수 있도록 적극 나서주길 바란다”고 말한 뒤 당정청이 일사불란하게 움직이는 모양새다.
전문가들은 당정청이 추진하고 있는 사이버테러방지법안(서상기 새누리당 의원 대표 발의)이 실제로는 사이버테러를 예방하는 데 도움이 되기보다는, 사이버테러 위협에 취약한 보안 생태계를 구축하게 만드는 역효과를 낼 뿐만 아니라, 국민의 사생활의 자유를 심각하게 침해할 것이라는 우려를 내놓고 있다.
사이버테러방지법의 가장 큰 문제점은 국정원을 감시·통제할 수단이 없다는 점이다. 정보인권연구소의 이은우 변호사는 “국회에 계류된 법대로 국정원이 포털이나 통신사 같은 주요 전산망을 통제하게 되면, 국정원이 이곳을 경유하는 수많은 불특정 다수의 민감한 개인정보를 직접 수집할 수 있게 되는데, 국정원이 어떤 정보를 수집해 어떻게 활용하는지 통제할 방법에 대해선 현재 법안에 전혀 담겨 있지 않다”며, “구체적인 내용은 결국 정부와 국정원의 의도대로 만들어진 시행령과 시행규칙으로 정해지게 될 것”이라고 지적했다.
현재 국회에 계류 중인 사이버테러방지법안은 ‘사이버테러’를 “외국이나 대한민국의 통치권이 사실상 미치지 아니하는 한반도 내의 집단, 해킹·범죄조직 및 이들과 연계되거나 후원을 받는 자 등”이 “국가 안보 또는 공공의 안전을 위태롭게 할 목적”으로 “해킹·컴퓨터바이러스·서비스방해·전자기파 등 전자적 수단에 의하여 정보통신망을 공격하는 행위”로 정의하고 있다.
문제는 사이버공격의 특성상 누가, 어떤 목적을 갖고 공격을 했는지 파악하기 어려워, 사이버공격이 발생했을 때, 단박에 ‘테러’인지 여부를 파악하기 어렵다는 것이다. 한 보안전문가는 “이 때문에 어노니머스 같은 고급 해커들은 자신들(누가)이 왜(목적) 해킹을 했는지 의도적으로 모습을 나타낸다”고 설명했다.
전문가들은 일상적으로 일어나는 사이버공격에 대해, 국정원이 사이버테러라고 규정만 하면, 민간 인터넷 영역의 다양한 정보를 언제든 들여다볼 수 있게 될 거라고 우려하고 있다.
사이버테러방지법이 통과되면 국정원은 민간 영역의 보안관리까지 통제할 수 있게 된다. ‘정보통신기반보호법’상 정보통신기반시설 관리자와 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’상 주요 정보통신서비스 제공자 등이 ‘책임기관’에 포함돼 국정원의 지휘를 받게 된다. 여기에는 케이티(KT), 에스케이티(SKT) 같은 통신사와 네이버나 다음 같은 포털은 물론, 카카오톡 같은 에스엔에스(SNS), 대형 쇼핑몰과 금융사, 언론사 등이 포함된다.
사이버공격 등의 사고가 발생하면 국정원은 이들 책임기관의 조사 결과를 통보받거나 직접 조사할 수 있으며, 책임기관은 국정원이 필요한 조치를 요청하면 따라야 한다. 일상적으로 일어나는 바이러스나 디도스 공격을 빌미로 국정원이 영장 없이 서버 등을 조사할 수 있게 된다는 의미다.
한 보안전문가는 “무수히 일어나는 디도스 공격을 조사하겠다며 포털에 서버 기록을 요구해도 따를 수밖에 없게 될 것”이라고 말했다.
국정원이 영장 없이 24시간 상시적으로 인터넷을 감시하는 길이 열릴 것이란 우려도 나온다. 국정원장 소속으로 설치되는 국가사이버안전센터가 “사이버테러 관련 정보의 수집·분석·전파” 업무를 수행하게 되는데, 각각의 책임기관들은 보안관제센터를 구축하거나, 공공기관 또는 전문업체에 보안관제센터를 위탁·운영해야 한다. 또한 책임기관은 전산망이나 소프트웨어의 취약점 정보 등을 국정원과 공유해야 한다. 이 경우, 각각의 전산망이 거점 보안관제센터를 중심으로 통합되게 된다.
국정원 사정을 잘 아는 한 보안전문가는 “결국 국정원이 민간 인터넷망에 대한 루트 권한(최고관리자 권한)을 갖겠다는 것”이라며, “미국 국가안보국(NSA)이 ‘프리즘’을 운영하며 해외는 물론 자국민의 정보를 무단으로 수집했던 것처럼, 국정원도 똑같이 하겠다는 것과 다르지 않다”고 말했다.
특히 국정원 중심으로 중앙집권화되는 보안관제센터의 설립을 놓고서는 역효과가 더 크다는 지적도 나온다. 보안전문가 이준행씨는 “보안관제센터를 만든다는 것은 결국 백도어(뒷문)를 만든다는 것인데, 거점 보안관제센터의 관제 서버가 뚫린다면, 그 업체가 관리하는 모든 전산망이 뚫리게 된다. 매우 위험한 발상”이라고 지적했다.
허승 기자 raison@hani.co.kr
***************************************************************************************************
‘사이버 사찰법’까지 밀어붙이려는가
새누리당이 8일 ‘국가 사이버테러 방지 등에 관한 법률’(사이버테러방지법)의 국회 통과를 위해 정의화 국회의장이 직권상정을 해야 한다는 주장을 하고 나섰다.
박근혜 대통령이 전날 “사이버테러가 발생하면 사회 혼란과 국가 안보를 위협하는 심각한 상황이 발생할 수 있다”며 사이버테러방지법의 국회 통과를 촉구하자 곧바로 ‘지시 사항 이행’에 들어간 것이다.
때맞추어 국가정보원은 북한이 최근 정부 주요 인사 수십명의 스마트폰을 해킹했다는 등의 ‘믿거나 말거나 식’ 발표를 해서 ‘바람 잡기’에 나섰다.
사이버테러방지법이 국민의 기본권을 침해할 위험성은 테러방지법을 능가한다.
이 법은 국정원에 포털·메신저 등 민간 정보통신서비스 제공자들을 일상적으로 지휘하고, 인력 및 장비 파견을 요청할 수 있는 막강한 권한을 부여한다.
국정원은 국가사이버안전센터를 설치해 사이버 범죄에 대한 정책 수립과 집행권한도 갖는다. 또 ‘취약점 보고 의무’ 조항이라는 것도 있어서, 국정원은 사이버테러 정보와 정보통신망·소프트웨어의 취약점 등의 정보를 보고받게 된다.
국정원에 이처럼 막강한 권한을 주면서도 민주적으로 통제할 수단은 전혀 없는 것이 이 법의 문제점이다.
이런 독소조항이 즐비한 법이 통과되면, 국정원은 정보통신망에 대한 총체적이고 상시적인 감시업무를 수행할 수 있는 기구로 등장하게 된다.
사이버테러 방지를 핑계로 포털, 통신사, 은행, 언론사 등을 훤히 들여다보고 약점을 잡을 수 있는 길도 열린다.
정보통신망의 안전 도모를 구실로 국정원이 법원의 제어를 받지 않고 광범위한 민간 사찰을 자행해도 통제할 방법이 없다.
테러방지법 통과만으로도 인권 보호에 빨간불이 켜졌는데, 사이버테러방지법까지 통과되면 우리 국민은 한순간도 국정원이라는 ‘빅 브러더’의 감시에서 벗어날 수 없게 된다.
사이버테러 방지는 물론 중요하다. 그러나 정보통신망법과 정보통신기반보호법 등 현행 법률과 규율 체계만으로도 얼마든지 사이버안전을 유지할 수 있다는 게 많은 전문가의 견해다.
새누리당은 직권상정 운운하고 있으나 지금이 ‘전시나 사변 또는 이에 준하는 국가비상사태’가 아니라는 것은 삼척동자도 아는 일이다.
정의화 의장이 새누리당 지도부의 직권상정 요구를 거부한 것은 그런 점에서 너무 당연하다.
청와대와 새누리당은 국정원을 더 큰 ‘괴물’로 만들려는 시도를 즉각 중단해야 한다.
[ 2016. 3. 9 한겨레 사설 ]
*******************************************************************************************************
애플은 독재와 싸우고 있다
애플은 테러범이 사용한 아이폰의 잠금 해제를 도와줄 의무가 있는가?
애플과 미국 연방수사국(FBI)이 여러 건의 소송에서 맞붙고 있는 쟁점이다. 지난주 뉴욕 브루클린 연방지방법원은 애플의 손을 들어줬다.
그런데 이번 판결은 애플에 그런 의무가 있는지를 판단한 게 아니었다. 이 사안의 법적 본질은 연방수사국이 애플을 압박하기 위해 227년이나 된 낡고 모호한 법에 의존하고 있다는 점이었다.
그 법의 간략한 역사는 이렇다.
미국이란 나라가 막 틀을 갖춰가던 시절, 사법부도 새로 창설됐다. 하지만 새로운 사법체계의 작동에 필요한 각종 권한과 제도를 미리 예상해 일일이 법률에 나열하기는 어려웠다. 그래서 1789년 ‘모든 명령 법’(All Writs Act)이란 걸 만들었다. 사법부는 역할 수행을 위해 ‘필요하고 적절한’ 명령을 내릴 수 있다는 포괄적 규정을 뒀다.
그로부터 200여년이 지났으니 사법체계도 잘 다듬어졌을 테고 이 법은 용도를 다했다고 할 수 있다.
그런데 1970년대에 느닷없이 이 법이 호출됐다. 연방수사국은 새로운 감청 장비인 ‘펜 레지스터’를 활용하고 싶었다.
전화회사는 (아마도 지금의 애플과 비슷한 이유로) 기술적 협조를 거부했다. 그러자 ‘모든 명령 법’을 꺼내 들었다. 펜 레지스터 설치에 협조하라는 법원 명령을 받아내 전화회사를 강제했다.
의회가 전화회사 등의 감청 협조를 법으로 규정한 것은 한참 뒤였다. 연방수사국과 법원이 의회의 법 제정에 앞서 국민의 권리를 제약할 수 있었던 셈이다.
그로부터 다시 몇십년이 흐른 지금, ‘모든 명령 법’이 또 유령처럼 나타났다. 아이폰이라는 새로운 물건 때문이다. 잠금 해제를 해야 하는데 열쇠를 쥔 애플을 강제할 법적 방도가 없다. 그렇다면 의회 논의를 거쳐 새로운 법을 만드는 게 민주적 절차일 것이다. 보안기능을 무력화하는 건 애플과 아이폰 이용자들의 권리를 제약할 뿐 아니라 여러 가지 새로운 문제로 이어질 수 있기 때문이다. 하지만 연방수사국은 이번에도 ‘모든 명령 법’부터 꺼내 들었다.
요약하면, 새로운 테크놀로지의 출현으로 새로운 원칙이 필요한 상황에서 연방수사국은 매번 ‘원시시대’의 법을 들이대고 있는 꼴이다. “이는 미국 건국자들이 1789년 당시에 이미 (아이폰에 저장된 민감 정보를 어느 정도로 보호해야 하는지에 대해) 토론하고 결론을 냈다고 주장하는 것이나 마찬가지다.”(브루클린 연방지방법원 오런스타인 판사)
여기에서 법과 권력의 속성을 생각하게 된다. 200년도 더 된 법을 끌어대서라도 권한을 확대하고 싶은 게 권력기관의 속성이다. 그들 손에 쥐어진 모호한 법은 애초 취지를 벗어나 황당무계하게 남용될 수 있다.
미국판 테러방지법인 ‘애국자 법’(Patriot Act)도 그랬다. 연방수사국은 법원의 허가조차 없이 개인정보를 수집할 권한을 부여받았다. 2003~2006년 19만2499차례나 이 권한을 행사했다. 그러나 이로써 테러 혐의를 입증한 것은 단 1건뿐이었다. 나머지는 다 어디에 쓰인 걸까?
우리의 테러방지법이 위험한 것도 그래서다. 포괄적이고 모호한 규정이 곳곳에 널려 있다. 국가정보원은 ‘남용 방지’를 약속했다. 하지만 대통령선거에 불법 개입하고 간첩 증거를 조작하고도 아무 반성이 없는 국정원 아닌가.
오런스타인 판사는 ‘모든 명령 법’을 남용해 정부의 권한을 확장하게 되면 독재로부터 민주주의를 지킬 방어막이 허물어진다고 지적했다.
법의 모호함 속에 독재가 숨어 있다. 하물며 그런 테러방지법을 여야 합의도 없이 통과시켰으니, 민주주의의 방어막은 이미 뭉텅 허물어진 것이다.
박용현 논설위원 piao@hani.co.kr
