▲ 김상겸 동국대 법무대학원 교수

국정원해킹 논란과 사이버안보

국가정보원이 2012년 이탈리아 보안업체로부터 해킹프로그램을 구입·운영한 문제와 관련하여 정치권뿐만 아니라 시민사회에서도 논란이 계속되고 있다. 이번 국정원사태는 내용의 당부를 떠나서 국가의 사이버안보와 관련하여 노출되어서는 안 되는 것을 대상으로 하고 있다는 점에서 혼란스럽다.
 
더구나 논란이 지속되고 있는 가운데 담당 국정원 직원이 세상을 떠났다는 소식은 너무나 안타까운 일이다. 이제 누가 이 나라를 위하여 목숨 바쳐 일을 할 것인지 묻지 않을 수 없다. 아무튼 국정원의 사찰의혹이 제기된 후 검찰이 수사에 들어갔기 때문에 진실공방의 문제는 검찰의 수사로 해결할 수밖에 없는 것 같다.

이번 사건에서 문제된 해킹프로그램은 언론에 보도된 것처럼 35개국 97개 정보기관에서 구입하여 사용하고 있다. 이미 각 국의 정보기관에서 구입하여 사용하고 있는 해킹프로그램이 유독 우리나라에서만 사찰에 오용되고 있다고 의혹이 제기되고 있는 것은 선 듯 이해하기 쉽지 않다.

물론 과거 여러 사건에서 국정원에 대한 부정적인 인식이 국민에게 남아있는 것도 있다. 특히 과거 권위정부 시절의 감청의혹이나 휴대폰 감청 등으로 인하여 김대중 정부에 들어와서 당시 국정원장들이 처벌받은 사건도 있었고, 지금까지 재판이 진행되고 있는 지난 대선 감청사건 등이 국민의 기억에 남아있다.

▲ 김상겸 동국대 법무대학원 교수

그런데 지금은 시대가 바뀌었다. 국가안보에 관한 정보에도 성역은 없기 때문에 국민 개개인에 대한 사찰은 있을 수도 없고 있어서도 안 된다. 만약 국정원 일부 직원이 일탈행위를 통하여 위법이 있었다면 당연히 이에 대하여 수사하고 법에 따라 책임을 물어야 한다. 그렇지만 이 경우에도 국가의 핵심정보기관에 대한 정보공개가 있어서는 안 된다.

이번에 문제가 된 해킹프로그램 구입·운용과 관련하여 국정원은 날로 점증하는 사이버 위협에 대응하기 위하여 국제사회에서 통용되는 최신 기술을 연구하려고 관련소프트웨어를 구입한 것이며 사찰에 이용하지 않았다고 해명하였다. 이를 검증하기 위한 국회차원의 조사나 검찰의 수사가 이루어진다고 하여도 그 과정이 공개되어서는 안 될 것이다.

국가안보로서 사이버안보

이미 야당을 위시한 정치권과 일부 시민단체에서는 국정원의 해킹프로그램 도입과 관련하여 통신비밀보호법 위반여부에 대하여 철저한 진상조사를 요구하였고, 야당은 검찰에 고발하였다. 국가기관의 행위가 위법하다고 본다면 수사를 해야 할 것이다. 그런데 문제는 국정원의 해킹프로그램을 도입하여 운용하는 것이 위법한 것인지 여부이다.

왜냐하면 세계 각 국의 정보기관들이 해킹프로그램이나 이와 유사한 정보수집 프로그램을 운용하고 있는데, 그 국가들에게서는 위법문제가 거의 일어나지 않기 때문이다. 물론 각 국마다 법체계도 다르고 법의 내용이 다르기 때문에 일률적으로 볼 수는 없다. 그럼에도 이를 크게 문제 삼지 않는 것은 오늘날 사이버안보가 무엇보다도 중요한 국가안보이기 때문이다.

우리나라 실정법상 이번 사건과 관련하여 문제가 되는 법률은 통신비밀보호법이다. 특히 현행 통신비밀보호법 제3조는 관련 법령에 의하지 아니하는 전기통신의 감청을 엄격하게 금지하고 있다. 대법원은 판례에서 컴퓨터에 저장된 e메일, 휴대전화에 저장된 문자메시지 등은 감청의 대상이 될 수 없다고 하였다.

PC나 휴대폰에 자동으로 녹음된 파일을 대상으로 하는 이번 프로그램에 의한 해킹은 통신비밀보호법상 감청에 해당되지 않는다고 볼 수 있다. 그래서 야당이 주장하는 정보기관이 감청설비를 도입할 경우 그 제원 및 성능 등을 국회 정보위원회에 통보하도록 하고 있는 통신비밀보호법 제10조는 적용되기 어렵다.

▲ 이병호 국가정보원장과 주호영 정보위원장,이철우 새정치민주연합 간사 등이 27일 국회에서 열리는 정보위원회 전체회의장으로 향하고 있다.국정원은 이날 자살한 임 모 과장이 생전에 삭제한 파일을 복구해 분석한 내용 등을 비공개로 보고했다./사진=미디어펜

해킹프로그램의 사용이 정보통신망법상 정보통신망 침해죄나 악성프로그램 유포죄 등에 해당될 수 있다는 주장도 있지만, 정보통신망법이 보호하는 통신망은 전기통신사업법상 전기통신 설비로 규정되어 있어 대한민국 내 정보통신망을 이용한 행위를 의미하므로 보호대상이 아닌 해외 서버의 정보통신망 침입행위는 적용 대상이 아니다.

또한 해외에 소재하고 있는 북한 공작원 등을 대상으로 한 대북ㆍ국외정보 첩보 수집행위는 국가안보 목적의 정보활동이라는 정당한 사유가 존재하므로 정보통신망법의 위반으로 볼 수 없다. 그리고 국가기관 해킹프로그램 구입행위의 위법성 여부도 국내법에는 해킹프로그램 구매·유포 등 소위 해킹범죄 예비행위 자체를 금지하는 조항이 없기 때문에 위법으로 보기 어렵다. 따라서 국정원의 해킹프로그램 구입·사용을 위법으로 보기는 어렵다.

우리나라는 남북이 군사적으로 대치하고 있는 세계 유일의 분단국이며, 그동안 남침으로 인한 6·25전쟁도 경험하였고 수많은 군사도발로 국가의 존립과 국민의 안전이 위협을 받아왔다. 그런데 정보환경이 급속하게 IT화ㆍ과학화되면서, 북한 간첩·공작원 등 안보위협 세력들의 활동이 갈수록 첨단화되고 있다.
 
최근에 오면서는 북한은 국민들의 PC를 해킹하거나 국가기관의 중요한 전상망에 침투하려는 시도를 계속하면서 우리의 사이버안보를 위협하고 있다. 국경이 없는 사이버 공간에서 국가 간의 정보전쟁은 재래식 무기로 충돌하던 과거의 전쟁보다 더욱 치열해지고 있다. 각 국은 자국의 존립과 이익을 위하여 시간과 공간의 제약을 받지 않는 사이버 공간의 정보전에서 수단과 방법을 가리지 않고 있다.

미국은 2013년 전 중앙정보국(CIA) 직원이었던 스노든이 국가안보국(NSA)의 민간인 무차별 감청을 폭로하면서 혼란을 경험하였다. 그러나 미국은 정보기관의 감청을 범위와 조건을 달아 허용하는 입법을 통하여 해결하였다.

정보기관의 감청은 허용하지만 권한을 제한함으로써 사이버안보의 중요성을 인정하면서 국민의 권리를 보호하는 합리적인 방안을 마련한 것이다. 얼마 전에는 미국의 정보기관이 독일 수상과 프랑스 대통령의 전화 등을 수시로 감청한 사실이 밝혀졌음에도 미국의 정보기관에 대한 책임문제는 거론되지 않았다. 각 국은 국가안보 차원에서 정보기관의 감청문제를 다루고 있다.

▲ 새정치민주연합 안철수 불법사찰의혹진상조사위 위원장은 원세훈 전 국정원장과 해킹 프로그램을 구입했던 회사를 각각 검찰에 고발하면서 “국민 휴대전화를 도청했다는 의혹이 확산되고 있다”고 지적했으나, 그걸 곧이곧대로 들어줄 국민은 드물다./사진=미디어펜

고도의 정보시대에 세계 각 국은 사이버안보에 총력을 기울이고 있다. 통신비밀보호법이나 금융거래정보법 등에서 국정원의 정보접근권이나 정보수집권을 허용하지 않고 있다. 세계적으로 이런 국가는 없으리라 본다. 이렇게 국가의 정보핵심기관에 권한을 부여하지 않으면서 사이버안보를 언급하는 것은 이율배반적이다. 국가정보기관에게 해킹을 금지해야 한다는 주장은 각 국이 사활을 걸고 있는 정보전에서 무장을 해제하는 것에 다름 아니다.

사이버안보가 무너지면 국가안보도 붕괴되는 것이다. 물론 국민의 기본권은 보호되어야 한다. 그러나 정보기관의 생명은 비밀이다. 정보기관의 활동이 낱낱이 공개된다면 정보기관의 존재 자체가 무의미해지는 것이다. 오히려 이번 사건을 계기로 우리도 선진국처럼 국가안보와 국민의 안전을 위하여 휴대전화 감청이 가능하도록 법을 개정해야 할 것이다. 또한 북한의 사이버테러뿐만 아니라 국제정보전이나 국제범죄에 대응하여 감청설비도 도입해야 한다. 사이버안보를 위한 법규의 체계적 구축이 필요하다. /김상겸 동국대 법무대학원 교수