"분산형 보안관리 체계로는 신속 대응 어렵다" vs "국가권력 빅브라더 현실화"
여당이 재입법을 추진하는 '국가사이버위기관리법(일명 사이버테러방지법)'을 둘러싼 논란이 뜨겁다.
새누리당은 3.20 전산망 대란을 계기로 신속한 사이버테러 대응체계 구축을 이유로 국가정보원에 지휘권한을 대폭 부여하는 '국가사이버위기관리법' 입법을 추진키로 했다. 이에 대해 민주통합당 등 야당은 국정원이 과도한 사이버 통제 권한을 갖게되면서 '빅브라더'가 될 수 있다며 반발하고 있다.
◇재입법추진 왜?…'국정원 민간 관할권'이 최대쟁점
국가사이버위기관리법은 국정원장에게 사이버 테러 대응 업무의 총괄 권한(컨트롤타워)을 부여하자는 것이 골자다. 국정원장이 사이버 위기 경보 발령권을 갖고, 사이버 테러 종합계획을 수립할 수 있는 권한을 주도록 한다는 것. 위기 상황은 물론 평상시에도 사이버테러 대응 지휘권을 국정원장이 갖게 된다.
쟁점은 민간 보안 영역에 대한 관리(통제) 권한이다. 사실 국정원은 현재 '사이버안전관리규정', '국가위기관리지침' 등에 따라 위기·평상시 모두 사이버 안전 업무를 총괄 수행하도록 돼 있다. 그러나 이제까지 국가·공공기관에만 영향을 미치는 '대통령 훈령'에 불과하다.
민간과 금융 분야 사이버 보안업무는 각각 미래창조과학부와 금융위원회가 맡고 있다. 현행 정보통신기반보호법에 따르면, 금융시설 등 개인정보를 포함한 민간 부문 정보통신기반시설에 대해 국정원의 기술 지원이 사실상 불가능하도록 규정돼 있다. 아울러 피해를 당한 민간 기업을 대상으로 한 수사권은 경·검찰이 담당한다.
이런 상황에서 이번 3.20 대란처럼 방송, 금융 등 민간의 주요 기반시설이 사이버 공격을 당할 경우, 일사 분란한 대응과 지휘체계 확보가 어렵다는 게 이번 법안이 발의된 배경이다.
결국 민간분야를 포함해 국가 주요 기반시설에 관해 국정원이 공격 탐지·조사·기술 지원이 가능하도록 법적으로 명문화하자는 게 이 법안의 핵심이다.
◇'신속한 대응체계 위해선 불가피' vs '고양이한테 생선 맡기냐'
독자들의 PICK!
민주통합당을 비롯한 보안 전문가들도 사이버 안보체계에 대한 보다 견고한 컨트롤타워 신설에 대해서는 공감하고 있다. 그러나 정보 수집기관인 국정원에 민간영역 통제 권한까지 갖게 되는 것에 대해서는 강력히 반대하고 있다.
김현 민주당 대변인은 이날 현안브리핑에서 "이 법안은 사이버 상에서 국민을 통제할 위험성 때문에 지난 18대 국회에서 대표적인 악법으로 평가돼 자동 폐기된 바 있다"며 "정치적 중립성을 확고하게 정립하지 못한 국정원이 사이버 위기관리라는 명목으로 시민들을 통제하는 것은 인권침해 등 또다른 문제를 야기할 것"이라고 반대입장을 분명히 했다.
특히 일각에서 가장 우려하는 것은 KT, SK브로드밴드, LG유플러스 등 ISP(회선사업자)들의 인터넷회선에 대한 모니터링 권한까지 국정원이 갖게 되는 것 아니냐는 점이다.
현재 KISA(한국인터넷진흥원)가 실시간 악성 트래픽 관리를 위해 이들 민간 사업자 회선의 트래픽 모니터링 업무를 맡고 있다. 그마저 ISP들로부터 통계 데이터를 제공받는 등 제한적으로 이뤄지고 있다.
하지만 이 권한을 국정원이 독자적으로 갖거나 간접적으로 지휘할 경우, 자칫 심각한 프라이버시 침해나 인권문제로 비화될 수 있다는 것. 익명을 요구한 통신업계의 한 관계자는 "원래 트래픽 모니터링 업무가 동전의 양면과 같아 악성 트래픽 모니터링 정보는 물론 마음만 먹으면 얼마든지 개별 트래픽 내용까지 파악할 수 있는 것 아니냐"며 "정보 수집기관에 이를 맡기는 것은 고양이 앞에 생선을 던져주는 격이 될 것"이라고 우려했다.
한편 사이버테러 방지 대응책이 시급한 만큼 국정원에 총괄 기능을 맡기되, 주어진 권한이 오남용 되지 않도록 견제장치를 확실히 갖춰야 한다는 절충형 주장들도 나오고 있다. 임종인 고려대 정보보호대학원장은 "종합적인 대테러 업무를 맡고 있는 국정원에 총괄지휘 권한을 두되, 프라이버시 문제가 발생하지 않도록 법적 견제장치를 두는 방안도 고려해 볼 만하다"고 지적했다.
정태명 성균관대 교수는 "국민들의 신뢰회복을 전제로 국정원이 컨트롤 타워 역할을 맡는 것도 선택 중 하나가 될 수는 있다"며 "다만 직접 관할하기보다 영역별로 관계기관들의 사이버 보안업무에 대한 독자성을 인정하면서 원활한 협력 및 정보공유 체계가 구축되는데 초점을 맞춰야 할 것"이라고 말했다.