사이버테러 위협에 대응하기 위해 민간회사들까지 국가정보원에 사이버위협정보를 공유하는 것을 핵심으로 하는 사이버테러방지법안에 대한 논란이 뜨겁다. 사이버테러에 빠르게 대응한다는 취지와는 다르게 국정원이라는 비밀조직이 권한을 오남용할 수 있고, 정보가 공유되기보다는 오히려 국정원으로 집중될 수 있다는 우려가 있다.
해당 법안은 당장 국회의장이 직권상정을 하지 않는 한 19대 국회에서 통과되기는 어렵다. 또 사이버테러를 포함한 각종 보안 위협에 대해 비밀조직이 직접 사이버 위협 관련 민간영역에 대해서까지 정보를 제공하도록 하고, 이를 따르지 않았을 경우 형사처벌까지 이뤄질 수 있다는 점, 사이버테러 방지를 명목으로 민간 기업에 과도한 조사가 이뤄질 수도 있다는 점에 대해 반대 여론이 만만치 않다.
■사이버테러방지법안 추진 배경은?
서상기 의원(새누리당)이 지난달 22일 대표발의한 '국가 사이버테러 방지 등에 관한 법률안(사이버테러방지법)'은 정부와 민간이 참여한 가운데 국가 차원에서 종합적인 대응 체계를 구축하는 것이 골자다. 이를 통해 위기 발생 시 국가 역량을 결집해 신속하게 대응하겠다는 것이다.
법안은 과거에 대통령 훈령으로 시행돼왔던 국가사이버안전규정을 대부분 포함하고 있다. 쉽게 말하면 이전까지 규범이었던 것을 반드시 지키지 않으면 처벌받을 수 있는 법으로 제정한다는 뜻이다. 이를 통해 민관 정보 공유가 확대한다는 설명이다.
국내 보안업계, 학계에서는 사이버위협에 대한 정보 공유의 중요성을 강조한다. 공격자가 악용한 악성코드나 IP주소, C&C서버 등이 빠르게 공유돼야 피해를 최소화할 수 있기 때문이다. 그러나 현재 민관 정보 공유는 원활하지 못하다는 지적이다. 민간 분야 침해사고를 대응하고 있는 한국인터넷진흥원(KISA) 신대규 침해사고대응단장은 "어떤 사고가 발생하면 그쪽에서 알아서 조사를 해 조치를 취하겠다고 하다가도 또 다시 같은 공격에 당하는 경우가 많다"고 말한다. 민간 분야에서 사이버테러 수준의 공격이 발생하거나 일어날 조짐이 보인다고 하더라도 긴밀한 공조체계가 갖춰지지 못하고 있다는 설명이다.
고려대 정보보호학과 김승주 교수는 "공공과 달리 민간에서는 보안사고가 나면 쉬쉬하고 덮으려는 경우가 많다"며 "사이버테러방지법안의 취지는 이러한 사각지대를 없애려는 것"이라고 밝혔다. 때문에 김 교수는 "법 이름도 악성코드 확산 방지법으로 바꿔야 오해가 없었을 것으로 본다"고 덧붙였다.
사이버테러방지법에 담긴 사이버위협정보를 공유해야한다는 명분에 대해서는 공감대가 있다. 그러나 그것을 반드시 국정원이 관리해야하는가에 대해서는 보안전문가들 사이에서도 의견이 갈린다.
■독소조항 놓고 논란
민주주의법학연구회, 진보네트워크센터, 참여연대 등 시민단체들은 공동성명서를 통해 사이버테러방지법안에 대해 크게 3가지 독소조항을 지적한다.
가장 심각하게 문제가 제기되는 것은 민간 회사들이 인터넷망, 소프트웨어에 대한 취약점을 관할 주무부처를 거쳐 국정원에 공유하지 않으면 형사처벌을 받을 수도 있다는 점이다. 민간 회사들 간에 활발하게 취약점 정보가 공유되지 못하는 것은 문제이지만 취약점에 대한 정보를 비밀리에 운영되는 정보기관에 신고하지 않으면 법적 처벌을 받을 수도 있다고 규정한 것은 벼룩을 잡으려다 초가삼간을 태울 수도 있는 위험한 발상이라는 지적이다.
국정원 댓글사건, 지난해 이탈리아 해킹팀으로부터 도감청에 쓰이는 해킹툴인 RCS 구입 내역 등이 공개되면서 국민들 사이에 누가 언제 도감청 당할 수도 있다는 우려가 나오고 있는 상황이기 때문이다.
사이버테러방지법안 제14조(벌칙)는 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하 벌금에 처한다고 밝히고 있다.
이중 시민단체들이 대표적인 독소조항으로 꼽는 것은 다음과 같다.
"책임기관의 장은 제1항에 따른 사이버테러 정보와 정보통신망, 소프트웨어의 취약점 등의 정보(사이버위협정보)를 관계 중앙행정기관의 장 및 국가정보원장과 공유해야 한다.(제8조 제2항)"
이와 함께 민간 회사들을 책임지고 있는 기관들이 국정원의 직접적인 지휘를 받게 된다는 점에도 우려를 나타냈다. 기존에 미래창조과학부, 금융위원회 등 부처의 산하기관이 관리해 왔던 보안관리체계를 사이버테러에 대응한다는 이유로 포털, 쇼핑몰 등까지 보안사고에 대한 조사권한을 가져가기 때문이다.
사이버테러에 해킹, 바이러스 등을 모두 포함하고 있어 사이버테러라고 보기 어려운 개인정보, 금융정보나 기업정보 탈취까지 국정원이 조사할 수 있는 권한을 가질 수 있게 된다는 점도 문제로 꼽힌다. 진보네트워크센터 오병일 활동가는 "해당 법안은 모든 형태의 해킹이나 바이러스, 분산서비스거부(DDoS) 등 공격에 대해 국정원이 언제든지 개입할 수 있도록 정보를 제공하는 내용을 담고 있다"며 "관련 정보를 공유하지 않으면 형사처벌할 수 있도록 강제하고 있다"고 밝혔다.
그는 "민관할 것 없이 대규모 사이버공격에 대한 취약점 정보 등을 공유해 긴급 대응이 필요한 것은 맞지만 그것이 반드시 국정원이 될 필요는 없다"고 강조했다. 이어 "원활한 사이버위협정보 공유를 통해 사이버테러에 대응해야한다는 취지와는 다르게 (국정원은) 한번 정보가 들어가면 나오지 않는 권위적이고, 비밀주의적인 조직이라는 점도 문제"라고 덧붙였다.
국내 보안 전문가들 사이에서도 국정원이 정보를 가져가기만 할 뿐 대응에 필요한 정보를 공유해주는 경우는 거의 없다는 목소리가 들린다. 협업 파트너로서는 부담스러울 수 있다는 얘기다.
■"견제 장치도 필요"
국정원의 경우 사회적인 견제 장치가 많지 않다는 것도 국정원 권한 강화를 골자로하는 사이버테러방지법을 반대하는 이유 중 하나다.
오병일 활동가는 "어떤 형태의 보안이든 절대적으로 옳은 하나의 방법이 있는 것은 아니겠지만 지금은 (국정원에 대한) 신뢰가 없어 통제장치에 대해 우려할 수밖에 없는 상황"이라고 말했다. "과거 국정원이 어떻게 했다는 문제만으로 보기는 어렵고, 국정원이 제대로 활동을 하고 있는가, 권한을 남용하지는 않는가에 대해 감독할 수 있는 사회구조적인 장치가 없다는 것이 문제"라는 설명이다.
관련기사
- 정부인사들, 왜 스미싱수준 공격에 당했나2016.03.16
- "北, 南 정부 인사 스마트폰 수십개 해킹"2016.03.16
- "소니픽쳐스 해킹-3.20 사이버테러 '동일범'"2016.03.16
- “북한발 해킹메일 주의해야”2016.03.16
익명을 요구한 국내 인터넷 기업 보안담당자는 "국정원은 비밀리에 첩보를 수행해야하는 조직인데 지금은 사이버보안까지 같이 담당한다고 하니깐 (국민들이) 무서워 하는 것"이라며 "오히려 사이버위협정보를 공유해 사이버테러에 빠르게 대응하는 것이 목표라면 국정원 보다는 국민들이 믿을 수 있도록 사이버테러에 대한 정보를 수집, 관리하는 별도의 컨트롤타워를 구성하는 것도 방법 중 하나"라고 밝혔다.
기업들이 공격 당한 사실을 숨기고, 축소하려고 하다가 문제를 키울 수도 있지 않냐는 물음에 그는 "기업들이 (침해사고 사실을) 숨기다가 사고가 난다기 보다는 (공격에 당한지도) 모를 정도로 제대로 투자를 안 하다가 사고가 나는 것"이라고 답했다.