귀사의 전부를 감시하겠습니다

영장 없이 국정원이 모든 기업의 통신망 조사 가능하게 하는 사이버테러방지법… 기업의 기밀은 물론 국가 정보통신망의 안전과 보안이 국정원 손에 넘어가

‘파리 테러’를 계기로 사이버테러방지법 논의가 급물살을 타고 있다. 정부와 여당이 테러방지법과 더불어 이 법안을 강하게 밀어붙이고 있다. 야당도 여당과 합의해 처리할 태세다. 내년 1월8일까지 열리는 임시 국회에서 법안 통과가 점쳐진다. 이은우 변호사가 이 법이 생기면 한국 기업에 어떤 영향을 미칠지 분석한 글을 보내왔다. _편집자

미군이 된다는 것의 의미와 미군으로 복무한다는 것의 가치를 설명하는 미 육군의 홍보 사진. 미 육군 누리집 갈무리

사이버테러방지법은 우리 기업에 어떤 영향을 줄까. 결론부터 말하면 회복이 쉽지 않을 정도로 심각한 타격을 입을 것이다. ‘설마, 우리 기업은 테러랑 아무 상관도 없는데 무슨 말이야.’

흔히 사이버테러방지법은 테러리스트 관련 법이리라 짐작한다. 그러나 이 법은 ‘사이버테러방지법’이 아니다. 제대로 법이름을 만든다면 ‘사이버안전법’이나 ‘사이버보안관제법’이 맞다. 정보통신을 활용하는 기업이라면 반드시 이 법을 꼼꼼히 읽어보길 권한다. 이 글을 덮고 법안만 봐도 되지만(법안은 국회 의안정보시스템에서 ‘사이버테러’를 검색하면 나온다 ▶바로가기 링크), 이 글을 읽으면 법안을 이해하기 쉬울 것이다. 필자의 말이 과장인지 아닌지 금방 판단할 수 있다.

기업에 알리지 않고 조사 가능

사이버테러방지법은 전산망에 침해 사고가 발생할 경우 국가정보원이 조사할 수 있게 돼 있다(제15조 2항). 공공기관에 정보통신망 침해가 있을 때뿐만 아니라 민간기업의 정보통신망 침해도 국정원이 직접 조사하게 되는 것이다.

경찰청 통계를 보면, 2013년 1년 동안 정보통신망 침해 사고는 1만407건 발생했다. 이 많은 사고를 국정원이 조사할 수 있게 된다는 의미다. 더구나 ‘사고 조사’는 ‘수사’가 아니기에, ‘영장주의’(강제처분은 법원이 발부한 영장에 의해야 한다) 같은 형사소송법의 절차 규정도 적용하지 않는다. 어느 날 국정원 직원이 영장도 없이 우리 기업을 방문해 ‘조사할 게 있다’고 말할 수도 있다.

예를 들어보자. 네이버·다음·카카오톡 등 정보통신 서비스 제공업체나 통신사·금융기관·언론사·정당 등 어디서나 전산망·전자우편·홈페이지 게시판에 바이러스가 퍼지거나 해킹으로 개인정보가 유출될 수 있다. 지금까지 이러한 침해 사고에 국정원은 수사든, 조사든 관여할 수 없었다. ‘간첩이 관여했다’는 상당한 증거가 있어서 법원에서 영장을 발부받아 수사를 하는 게 아니라면 말이다.

그러나 사이버테러방지법이 제정된다면? 국정원이 그 상황을 ‘국가안보나 이익에 중대한 영향을 미치는 상황’으로 판단하면 그만이다. 언제든 민간기업을 조사할 수 있다. 기업들은 국정원의 조사를 막을 어떤 법적 근거도, 방법도 없을 것이다. 사이버테러방지법은 국정원이 사고 조사를 한다고 하면, 조사를 완료할 때까지 민간기업이 정보통신망 침해와 관련된 자료를 임의로 삭제·훼손·변조하지도 못하게 해놓았다(제15조 6항).

심지어 국정원은 그 기업에 알리지 않고 그 기업의 보안관제 서비스를 담당하는 보안서비스 업체를 조사할 수도 있다. 이런 식으로 국정원은 무엇을 얼마나 알게 될까. 아마도 그 기업의 보안서비스 담당 업체가 알고 있는 정보를 포함해 그 기업의 전산화된 정보를 모두 알 수도 있다.

최근 보안관제 솔루션의 눈부신 발전을 감안하면 충분히 가능하다. 모든 정보, 즉 전수 트래픽 데이터를 보관하는 것은 보통이고, 보안관제 서비스 담당자를 통해 은밀히 기업 데이터로 접근하는 것도 가능하니 말이다.

그러니 국정원은 ‘어떤 공정거래법을 위반했는지’ ‘세법을 위반했는지’ 내부 자료를 은밀히 조사하거나 엿볼 수 있고, 법무법인·회계법인과 주고받은 의견서는 물론 내부 경영 전략 등 기밀 자료까지 다 조사하거나 엿볼 수 있다. 고객의 모든 정보도 마찬가지다. 사이버테러방지법은 기업 입장에서는 심장을 콩알만 하게 만드는 법이다.

민간기업 활동에 치명타

사이버테러방지법은 여기서 그치지 않는다. 국정원에 우리나라 정보통신망의 안전과 보안을 책임질 수 있도록 사실상 모든 권한을 준다(제7조, 제10조). 국정원은 앞으로 우리나라 정보통신망 보안산업 정책을 결정하고, 시행령과 고시를 만들 것이다. 보안 표준을 정하는 것도 국정원이고, 보안관제 서비스의 기준, 보안관제 센터의 기준, 보안관제 프로그램의 조건도 국정원이 결정할 것이다. 국정원 산하에 둘 사이버안전센터, 보안관제센터는 그 집행기관이 될 것이다(제10조, 제14조).

이미 국정원과 국가보안기술연구소는 우리나라 보안관제 솔루션 인증을 통해서 소스코드까지 제공받고, 솔루션의 모든 기능을 파악하고 있다. 그 보안관제 솔루션은 대부분 정보통신망의 모든 트래픽을 별도의 공간에 저장해놓도록 하고 있고 실시간으로는 트래픽의 특정 정보를 추출할 수 있는 기능을 가지고 있다. 다른 말로 하면 ‘도청 기능’이다.

사이버테러방지법이 제정되면 국정원은 시행령이나 고시로 민간기업의 중요 통신망에 특정한 기능을 갖춘 보안장비 설치 의무를 부여할 수도 있다. 정보통신망의 안정성과 신뢰성을 보장하기 위해 영장 없는 도청이 이루어지는 것이 보안관제인데, 심지어 사이버테러방지법에서는 국정원이 직접 보안관제센터를 세워 전문 보안관제 서비스를 위탁으로 직접 제공하겠다고 한다(제14조 1항).

공공기관(정부나 지방자치단체, 공기업, 심지어 모든 초·중·고나 대학교도 포함된다)에 대해 국정원이 정보통신망 보호와 보안관제센터 역할을 담당하고 있어 ‘은밀한 감시’라는 논란이 있어왔다. 사이버테러방지법은 국정원의 이 역할을 민간기업에까지 확장하겠다는 속셈이다.

사이버테러방지법은 테러를 막자는 것이니, 테러 정보에 대해서만 대응하는 것이겠지라고 생각할지 모른다. 아니다. 사이버테러방지법의 사이버테러는 그냥 정보통신망 침해를 말한다. 게다가 테러 정보와 일반 정보를 미리 구별하기도 어렵다. 이건 마치 교통수단을 이용해서 테러가 일어날 수도 있으니, 교통망을 국정원이 관할하겠다는 것이나 다름없다.

사이버테러를 방지하려면 어쩔 수 없는 건 아닐까. 결코 그렇지 않다. 실제 해외에서도 유례가 없다. 국가정보기관이 수사권보다 더 무서운 조사권을 가지고, 정보통신망 침해를 예방·대응할 권한을 갖고 보안관제까지 맡게 되는데, 민간기업이 괜찮을 리 있겠는가. 민간기업은 항상 국정원으로부터 뒷조사를 당할 걱정은 물론이고, 이중삼중의 과도한 중복 규제에 시달릴 것이다.

그러면서도 이용자들로부터는 이용자의 개인정보를 국정원에 팔아넘긴 것이 아니냐는 오해를 살 것이 분명하다. 국정원이 정보통신망 침해 사고 조사를 할 수 있다는 사실이 이용자들에게 알려지면, 이용자들은 국정원으로부터 안전한 ‘구글’이나 ‘텔레그램’ ‘페이스북’ 같은 해외 사업자의 서비스로 썰물처럼 빠져나갈 것이 불을 보듯 뻔한 일이다.

이념 논쟁의 문제가 아니다

국가정보기관이 정보통신망을 관장할 경우 활력 있는 산업 발전이 이루어질 수 없다는 것도 두말할 필요 없다. 민간의 정보통신망 침해나 그 정책에 대해서는 국정원이 아닌 미래창조과학부 장관이나 한국인터넷진흥원, 개인정보보호위원회가 업무를 맡는 것이 바람직하다. 국정원의 과욕은 우리나라 정보통신망에 찬바람을 몰고 올 것이다. 국정원이 은밀하게 기업들을 조사할 수 있는 상황에서 어떻게 기업들이 안심하고 사업을 할 수 있겠는가.

국정원은 지금 ‘테러 방지’라는 명목으로 사이버테러방지법을 이념 논쟁의 구도로 보이게 만들어 규제 영토를 확장하려 한다. 그 대가로 우리는 영영 정보통신 후진국으로 전락할 수 있다. 법안을 읽어보면, 민간의 자율성을 옹호하는 모든 언론과 기업, 민간 영역에서 함께 나서서 반대해야 할 일이다.

이은우 변호사·법무법인 지향