지금 대한민국의 정보통신망에 사이버테러방지법이라는 미명으로 거대한 감시 프로그램이 설치되고, 국정원이 감시 조직으로 활동을 시작하려 하고 있다. 국회와 국민들은 테러라는 말에 놀라서 사이버테러방지법을 설치해 주려고 하고 있다. 그러나 설치 전에 먼저 깨알같이 쓰인 약관을 잘 읽어보아야 한다.
누구나 컴퓨터나 스마트폰에 한두 개쯤 백신 프로그램을 깔아 놓고 사용한다. 백신 회사에게 사이버 안전을 지킬 책임과 권한을 부여한 것이다. 쇼핑몰 사업자, 은행, 언론사도 마찬가지다. 백신 프로그램은 내 컴퓨터나 스마트폰에 프로그램이나 앱이 설치될 때 위험한 것인지 알아내고, 위험한 것이면 차단을 하거나 치료를 한다. 은행과 계약한 보안업체는 은행 전산망의 로그기록을 분석하고 수상한 접속이 있는지 조사한다.
그런데, 만약 그 백신 회사가 국가나 국정원이라면? 당신은 국가나 국정원에게 내 스마트폰이나 은행 전산망 관제를 맡기겠는가? 맡길 수도 없고, 맡겨서도 안 된다. 정보수집, 보안사고 방지 활동은 사찰이나 감시가 될 수 있고, 보안사고 조사는 법원의 통제를 벗어난 수사가 될 수 있기 때문이다. 그런데 지금 국회에서 통과시키려 하고 국민에 설치를 강요하는 사이버테러방지법은 바로 국정원이 백신 회사의 역할을 하도록 하는 법률이다. 차이라면 국정원은 백신 회사와 달리 사고가 나도 책임을 지지는 않는다.
사이버테러방지법안을 보면 정보통신망 침해를 사이버테러라고 정의하는데, 이런 정보통신망 침해를 예방, 방지하기 위해 정보 수집, 분석, 안전 조치, 침해 방지 활동, 침해가 발생할 때 조사할 권한 등을 모두 국정원에 부여한다. 국정원은 정보통신망 침해 방지를 위한 정책을 수립할 권한도 가지고, 민관군 합동대책반을 운영할 수도 있다. 국정원에게 침해 사고 조사는 물론이고 예방 활동까지 할 수 있는 권한이 있으니, 국정원은 수사권보다도 훨씬 더 넓은 권한을 갖는 것이다. 이렇게 되면 국정원이 포털, 통신사, 언론기관을 해킹 사건을 매개로 훤히 들여다볼 수 있고 약점을 잡을 수도 있다.
원래 범죄 혐의가 있어야 수사를 개시할 수 있는데, 이때는 형사소송법의 엄격한 원칙을 지켜야 한다. 경찰권도 위험이 다다른 경우에만 행사할 수 있다. 이는 민주국가의 기본 원칙이다. 그런데 이 원칙이 사이버 공간에서는 사이버테러방지법안에 의해 깨지는 것이다. 세계적으로도 유례가 없다.
좀 찜찜하긴 해도, 국가 기능을 마비시키거나 공공안전에 중대한 위해를 가할 수도 있는 사이버테러를 막기 위해서는 국정원에 그 정도 권한은 줘야 하지 않을까 생각할 수도 있다. 안이한 생각이다. 경찰청 사이버안전국이 발표한 통계에 의하면 2013년에만 국내에서 적발된 사이버 범죄가 무려 1만 407건이라고 한다. 그 중 국가 기능을 마비시키거나 공공안전에 해를 끼칠 사이버테러만을 미리 골라 대응한다는 것은 불가능하다. 또한 국정원이 권한을 남용할 위험이 너무 크다. 정보통신망의 침해 예방 활동이라는 것이 본질적으로 백신회사의 관제 활동처럼 광범위하기 때문이다. 국회의 통제권을 아무리 강화해도 국정원이 광범위한 권한을 남용하지 못하게 통제한다는 것은 불가능하다. 설치된 보안 프로그램이 악용되면 가장 무서운 감시 프로그램이 되는 법이다.
그래도 사이버테러방지법이 없으면 국가 안전을 위협하는 정보통신망 침해를 막을 수 없지 않을까 걱정하는 사람이 있을 수 있다. 그렇지 않다. 지금도 정보통신망법과 정보통신기반보호법에서 해킹 등 정보통신망 침해 대응 방안을 규정하고 있다.
국가의 존립을 위태롭게 하는 정보통신망 침해는 정말 막아야 한다. 하지만 그 활동은 각 민간업체나 국가기관이 법의 테두리 안에서 해야지, 사이버테러방지법안처럼 포괄적 권한을 국가나 국정원에 맡기는 식이어서는 안 된다. 민주주의의 보루인 국회는 사이버테러방지법안 통과를 막아야 한다.
이은우 법무법인 지향 변호사ㆍ정보인권연구소 이사
기사 URL이 복사되었습니다.
댓글0