국정원 권한 키우고 국민 사찰? 논란 휩싸인 사이버안보법

서울 강릉시 내곡동의 국가정보원 전경. 이종근 기자 root2@hani.co.kr

대규모 사이버 공격에 대한 체계적 대응을 위해 김병기 더불어민주당 의원이 지난 4일 발의한 ‘국가사이버안보법’(제정안)이 국정원의 사이버 사찰 논란에 휩싸였다. 정보기관 권한 확대와 그에 따른 사생활 침해 우려가 예상되기 때문이다. 특히 긴급한 사이버 보안 위험이 발생했을 땐 국정원이 법원 허락 없이도 민간기관은 물론 개인의 컴퓨터나 휴대전화를 들여다볼 수 있도록 한 대목은 대표 독소조항으로 꼽힌다. 참여연대·민주사회를 위한 변호사모임·진보네트워크센터 등 정보인권단체들은 법안 폐기를 주장한다.

■주요 내용 이 법안은 우선 국가정보원을 국내 사이버 안보의 컨트롤타워로 설정한 게 특징이다. 구체적으로 사이버안보 관련 중요사항을 심의하는 ‘사이버안보위원회’를 국정원장 소속으로 두고, 국정원장에게 사이버안보 기본계획 수립 권한은 물론 사이버안보 위기 경보 발령권을 줬다. 위원장은 국정원장이 맡고, 국방부·과학기술정보통신부·금융위원회 등 사이버 안보 관련 유관부처 차관급이 당연직 위원으로 위원회에 참여한다. 이는 2017년 1월 박근혜 정권 당시 발의된 정부안이나 지난해 6월 조태용 국민의힘 의원 발의안보다 국정원 권한을 대폭 강화한 것이다. 앞선 두 법률안은 국가 사이버 대응의 총괄 책임자를 대통령이나 국가안보실장으로 설정한 바 있다.

국정원의 디지털 정보 수집 권한 강화도 이 법안의 또다른 핵심이다. 국정원은 법원 허가를 얻어 ‘국내 디지털 정보 보관자’로부터 관련 정보를 열람·취득할 수 있다. 디지털 정보 보관자는 해당 정보를 저장한 매체의 “소유자, 소지자 또는 보관자”로 광범위하게 규정됐다. 또한 “긴급한 사유가 있는 때”에는 법원 허가 없이도 국정원의 정보수집을 허용한다.

이 법안은 지난해 하반기 이후 대우조선해양, 원자력연구원, 한국항공우주산업 등에 대한 해킹 공격 대응 과정에서 국정원이 관련 활동을 하기 위한 구체적인 직무 수단·절차가 부족한 점과 기업에 대한 사이버 공격에 대한 통합적 규범이 없어 효율적 대응에 한계가 있다는 점을 고려해 마련했다는 게 김 의원이 밝힌 법안 ‘제안 이유’다.

■청부 입법? 이 법안의 대표 발의한 김 의원은 국정원 출신이다. 인사처장 등을 지낸 뒤 20대 국회 때 정치권에 입성한 재선 의원이다. 20대와 21대 모두 국정원을 관할하는 국회 정보위원회에서 활동하고 있다. 이번 법안이 사실상 국정원 ‘청부 입법’이라는 뒷말이 나오는 까닭이다. 의원 입법은 부처 간 이해 조정 과정인 차관회의-국무회의 등의 절차를 거칠 필요가 없는 터라 신속한 입법이 필요하거나 부처 간 이해 충돌 가능성이 있을 때 개별 부처가 활용하는 수단이다. 현 정부 출범 이후 국내 정보담당관(IO) 제도 폐지 등으로 조직의 규모와 기능이 축소된 국정원으로선 ‘사이버 안보 강화’를 앞세워 조직을 재구축·강화하려는 유인도 있다.

사이버 안보 대응을 명분으로 한 법안들은 지난 2006년 당시 한나라당 소속 공성진 의원을 시작으로 15년 남짓 꾸준히 추진됐다. 그러나 소관 기관 등에 대한 이견과 반발 여론 등이 불거지며 자동 폐기돼 왔다.

■사이버사찰 논란 2라운드? 정보인권단체들은 지난 21일 공동 성명을 내어 법안에 공개 반대했다. 이들은 정보기관이 국가 사이버 정책 총괄 컨트롤타워 구실을 맡는 것부터 세계적으로 유례없다고 주장한다. 실제 지난달 국회 입법조사처에서 내놓은 ‘사이버위협 대응체계 현황과 개선과제’ 보고서를 보면, 미국은 2001년 9·11 테러 이후 신설된 행정부처인 국토안보부(DHS)에 사이버 안보를 관리하는 권한과 책임을 부여하면서도, 대통령 직속기구를 설치해 범정부 차원의 사이버 안보 정책을 추진했다. 바이든 정부 출범 이후엔 대통령 직속 국가사이버실(ONCD)이 사이버 안보 정책을 총괄하고 있다. 영국은 부처별로 공공 및 민간분야의 사이버보안 정책을 수립·운영하며, 개별 영역의 책임은 내무부·외무부·국방부 등에 부여한다.

특히 이 법안에서 정의한 국내 디지털 정보 보관자는 정보 저장 매체의 “소유자, 소지자 또는 보관자”인 만큼 국내 민간 기업은 물론 개인까지도 포함된다는 점이 논란이다. 앞서 지난해 말 개정된 국가정보원법에선 ‘국제 및 국가 배후 해킹조직 등 사이버안보 정보’의 수집 등을 국정원 직무 범위에 포함하면서, 정부 등 공공기관에 한해 국정원의 대응을 인정했다. 김 의원안은 여기서 한 발 나아간 것이다. 국정원이 사이버 공간에서의 ‘빅 브라더’가 될 길을 열어두고 있는 셈이다. 앞서 국정원은 지난 2012∼2015년 민간의 컴퓨터와 휴대전화를 실시간 도·감청했다는 의혹이 불거지며 ‘사이버 사찰’ 논란에 휩싸인 바 있다.

이들은 이번 법안이 현 정부의 대선 공약으로 꼽힌 ‘국정원 개혁’ 방향과도 거리가 있다고 말한다. 문재인 대통령은 지난 2017년 선거공약으로 “(국정원과) 독자적인 사이버 보안전략 컨트롤타워를 설치하겠다”고 밝힌 바 있다. 사이버 공격 등에 대한 대응을 위해 전담기구를 설치하되, 그 역할을 국정원에 맡기진 않는다는 취지였다. 국정원 개혁 방향과 어긋난다는 지적에 대해 김 의원 쪽은 <한겨레>에 “국회 예산안 심의가 끝난 뒤 법안 공청회 열어 관련 입장을 내겠다”고 밝혔다.

선담은 기자 sun@hani.co.kr