(팝콘뉴스=홍선기 독일정치경제연구소 공법 및 인권법 담당위원)2019년 4월 대한민국 정부 최초로 ‘국가사이버안보전략’이 발표된 바 있다. 해킹을 비롯한 사이버 공간에서의 위협으로부터 우리 국민의 안전하고 자유로운 활동을 보장하기 위해 특히 안보 분야 정책을 담은 전략이다.

여기에는 만약에 발생할 수 있는 사이버공격을 사전에 효율적으로 억지할 수 있는 역량을 확보하고 혹시라도 사고가 발생할 경우 신속하고 능동적으로 대응할 수 있는 능력을 확충하고 사이버전쟁에서 국가안보를 다지기 위해 다양한 전략 및 전술을 개발하고 핵심기술 등을 확보하는 데에 방점을 두고 있다.

이러한 ‘국가사이버안보전략’에 대해 국가 최상위 수준의 포괄적 국가사이버안보 전략이라는 점과 국가최고책임자 수준에서 작성된 전략이라는 점, 국민기본권과 사이버보안 간의 조화를 강조한 점에서 나름대로 후한 평가를 받고 있었다.

하지만 사이버안보와 관련된 비상상황이 발생 시 청와대 국가안보실이 컨트롤 타워를 맡도록 하고 있는 부분에 대해서는 우려와 안도의 목소리가 동시에 드러난 바 있었다.

이와 관련해 2017년 1월 정부발의로 ‘국가사이버안보법안’이 발의된 적이 있었다.

이 법안은 2016년 국가정보원이 입법예고했던 ‘국가사이버안보기본법’을 수정한 것으로 기존의 대통령 훈령인 ‘국가사이버안전관리규정’에서 규정하고 있는 국정원의 사이버 안보 권한을 아예 법적으로 확고히 못을 박는 법안이었다.

즉 ‘사이버 안보’ 영역의 관리 및 감시 등의 컨트롤 타워 역할을 국가정보원에게 부여하는 법률적 근거를 제공하면서(안 제4조), 사이버 안보를 위해 사이버 공격의 탐지를 목적으로 대응하는 범위 내에서 개인정보를 수집‧이용할 수 있도록 규정하고 있다.

지난 7월 31일 한국외국어대학교에서 ‘혁신성장과 사이버안보 입법의 쟁점’을 주제로 입법이론실무학회, 한국사이버안보법정책학회, 한국외국어대학교 법학연구소와 공동학술대회가 개최되었다.

사이버안보와 관련해서 나름 유명한 학회들의 공동학술대회였다. 여기에서 많은 이야기들이 오고갔지만 특히 사이버안보상황이 발생했을 때 컨트롤 타워를 국가정보원이 맡는 것에 대해 열띤 공방이 이루어졌다.

국정원에게 나름의 권한을 주어야 한다는 근거는 사이버 테러의 위험성으로 표현되는 ‘안전’이었고 이에 반대하는 근거는 궁극적으로는 ‘인권’이었다.

독일의 사이버 안보 관련법

독일에서도 점증하는 사이버 테러에 대응하기 위해 행정절차법(Vervaltungsverfahrensgesetz) 제3a조에 전자적 소통(Elektronische Kommunikation)에 대한 조항을 추가해 사이버 안보의 기초를 두기 시작했고, 독일 형법에서도 ‘정보 해킹죄’등을 신설해 사이버 안보를 해치는 경우에 대비하기 시작했다.

특히 2015년부터는 사이버안보에 관한 일반법으로서 IT안보법(IT-Sicherheitsgesetz)이 발효된 이후 기업뿐만 아니라 연방 행정 기관들까지 동법에서 규정한 기준을 충족하도록 의무 부과했고, 기업과 기관들로 하여금 사이버 공격이 의심되는 경우에는 반드시 행정청에 신고를 의무 부과했다.

하지만 다른 한편에서는 사이버 테러를 막기 위한 정보수집 남용을 억제하고자 개인정보가 처리되는 과정에서 발생할 수 있는 인격권 침해 방지 목적으로 정보보호법(Bundesdatenschuzgesetz)이 제정되기도 했다.

독일 연방헌법재판소도 이미 1980년대에 이른바 ‘인구조사판결’에서 ‘개인정보자기결정권(Rechts auf informationelle Selbstbestimmung)’을 기본권으로 인정하는 판결을 내렸고, 2000년대 이후에도 ‘온라인수색판결’에서 이른바 ‘IT기본권’을 인정하는 판결을 내린 역사를 가진 바 있다.

이처럼 독일은 사이버 안보 전략 수립에 있어서 기본권 보장을 매우 강조하고 있었다. 사이버 안보를 위한 조치들은 인권을 침해할 위험이 크기 때문에 예견 가능하며, 명확하고 정확하게 공표된 법률에 의해서만 매우 엄격하게 규제되는 방식으로 이행되어야 한다는 점을 분명히 한 것이다.

사이버 안보 컨트롤 타워와 관련해 독일의 경우 1991년부터 연방내무부(Bundesministerium des Innern) 산하 연방정보기술보안청(Bundesamt fuer Sicherheit in der Informationstechnik)을 설치하여 사이버 안보 임무 전체를 포괄해 수행하고 있어 왔다.

즉 우리처럼 국정원이 아닌 별도의 행정관청이 컨트롤 타워를 담당하고 있는 셈이다.

이러한 연방정보기술보안청은 1986년 연방정보기관(Bundesnachrichtnedienst) 소속의 암호센터에서 출발하긴 했지만 1991년 연방내무부 소속으로 확대 개편돼 독일 전체의 사이버 안보 업무를 총괄하는 기관으로 성장하게 되었다.

우리 식으로 해석하면 초반에는 국정원의 한 기관에서 시작했으나 이후 역할이 커지자 이를 분리 독립시켰다는 의미가 된다.

비단 독일뿐만 아니라 이는 미국도 마찬가지이다. 예를 들어, 미국의 경우 백악관 산하에 사이버 보안국(Cybersecurity Directorate)과 사이버보안조정관(Cybersecurity Coordinator)을 두어 컨트롤 타워 역할을 하고 있고, 국가기반시설의 사이버 보안은 국토안보부가 담당하고 있기 때문이다.

프랑스도 비밀정보기관이 사이버 안보의 컨트롤 타워를 맡고 있지 않는다고 학회에서 발표되기도 했다.

즉 이른바 선진국의 어느 국가도 비밀정보기관이 국가 사이버 안보의 컨트롤 타워를 담당하는 경우는 없었다.

비밀정보기관으로서 국정원은 여타 정부부처에 비해 언론이나 국회에 의한 감독과 견제 기능이 약할 수밖에 없는 구조이다.

조직, 인력, 예산, 사업 등 모든 측면에서 투명하게 공개되지 않기 때문이지만 독일의 경우 비밀정보기관의 조직과 예산은 독일연방의회 담당 상임위원회인 정보위원회 의원들에게 공개되고 감시를 받는다.

우리와는 전혀 다른 모습이다. 따라서 이러한 상황에서 사이버 안보 영역에서의 국정원 권한 남용은 우려의 대상이 될 수밖에 없다.

실제로 과거 국정원의 경우 RCS(Remote Control System)라는 해킹 프로그램을 이용한 정보수집 과정에서 일반 이용자들의 프라이버시 침해 가능성이 매우 높았던 상황임에도 불구하고 실제 그 프로그램을 어떠한 목적으로 어떻게 사용해 왔는지 국회조차도 검증하는데 실패했다.

사이버 안보의 컨트롤 타워와 관련해 많은 시사점을 내포하고 있는 대목이 아닐 수 없다.