최근 국가 안보 시설 및 민간 주요 기업에 대한 해킹 공격이 가속화되는 가운데, 사전에 이를 예방하기 위한 입법 움직임이 재개됐다. 하지만 국가기관의 무차별적인 정보 수집으로 인한 개인 인권 침해가 있을 수 있다는 반론도 있어 사회적 논의가 우선돼야 한다는 지적이 나온다.

19일 세종연구소는 서울 소공동 롯데호텔에서 '사이버안보법 입법의 의미'를 주제로 제1차 세종사이버안보포럼을 개최했다. 포럼은 지난해 6월 발의된 조태용 국민의힘 의원의 '사이버안보기본법' 및 지난 4일 김병기 더불어민주당 의원이 대표발의한 '국가사이버안보법안' 등 사이버 안보 법안들의 내용을 비교 분석하고, 입법 내용과 방향에 대해 논의하는 순서로 진행됐다.

이날 포럼에서 발제를 맡은 이상현 세종연구소장 겸 사이버안보센터장은 올해 한국원자력연구원, 한국항공우주산업 등 국가 안보와 연계된 기관뿐만 아니라 한국셀트리온, 신풍제약 등 코로나 백신 업체에 대한 해킹도 있었다면서 "해킹은 방위산업 외에도 국가의 핵심 기반산업으로 확대되고 있기 때문에 국가적 대응이 필요하다"고 말했다.

이상현 센터장은 "그런데 한국의 사회적 안보 체계는 공공과 민간 부문이 분리돼 있다. 또 기존 관계 법령으로 정보통신기반보호법, 정보통신망법, 전자정부법 등이 있는데, 해당 법안들은 전부 산업 육성 또는 정보통신망 보급을 위한 경제법으로 안보 목적이 아니다"라며 "민관 모두를 포함하는 전 정부적 차원의 사이버안보법 제정이 필요하다"고 주장했다.

그는 21대 국회에서 발의된 조태용‧김병기 의원의 법안에 대해 "조태용 의원의 법안은 기본법적 성격을 가지고 있고 김병기 의원 법안은 정보수집에 대한 내용 및 절차 관련 조항이 포함돼있다"며 각 법안의 특징을 비교 분석했다.

이 센터장은 우선 사이버 안보의 통제권한과 관련 "조태용 의원 법안에는 '국가사이버안보정책조정회의'를 설치하고 대통령을 의장으로 하고 있지만, 김병기 의원 법안에는 '사이버안보위원회'의 의장을 국가정보원장으로 하고 있다"고 설명했다.

이와 함께 사이버 안보와 관련해 가장 민감한 부분 중 하나인 정보 수집에 대해 이 센터장은 "조태용 의원의 법안에는 사이버 활동에 대한 예방과 대응 활동이 주로 명시돼 있는 반면, 김병기 의원의 법안에는 예방과 대응 외에 정보 활동도 포함돼 있다"고 전했다.

이 센터장은 "다만 김 의원 법안에는 디지털 정보 확인 조치를 위해서 고등법원 수석 판사의 허가가 필요하며, 사이버 안보 위해자를 추적하기 위해서는 대통령의 승인이 필요하다는 제한을 명시했다"며 정보 수집 권한에 일정한 한계를 뒀다고 덧붙였다. 

그는 김병기 의원의 법안에 대해 "밀행성을 기본으로 한 정보기관의 특수성을 강조해 오던 국정원이 보다 명확한 법적 근거와 민주적 통제 아래에서 정보기관 본연의 정보 수집 기능을 강화하고자 하는 노력의 일환으로 보여 바람직하다고 판단된다"고 평가했다.

이 센터장은 "하지만 세부 절차에 있어 국민의 인권과 자유를 제한 또는 침해할 우려가 없는지 각별히 검토해야 하고, 적절한 감독 또는 검증 절차 등의 마련에 대한 고민도 필요하다"고 강조했다.

정보 수집과 통제 권한, 국정원이 맡아도 괜찮은가

이날 포럼에서는 법으로 정보 수집을 명시하는 것이 개인 정보 및 인권을 침해하는 소지가 되지는 않을지, 또 국가정보원에게 이를 총괄하게 하는 것이 적절할지에 대한 다양한 의견이 개진됐다.

토론자로 참석한 김민호 성균관대학교 법학전문대학원 교수는 "사이버 안보는 필요하지만 이를 국정원이 담당했을 때 (정보 수집에 대한) 많은 우려가 있었다"며 "사이버 안보를 위해 국정원이 예를 들어 이메일의 내용 하나하나를 모두 검사하고 모니터링 하는 것 아니냐는 의구심이 존재한다"고 말했다.

그는 "사이버 안보를 위해 사전에 정보를 확인할 필요가 있는데 이것이 오남용될 위험도 크다"라며 "그래서 김병기 의원의 법안에 정보 수집을 위해서는 고등법원의 수석 판사 허가를 받거나 대통령 승인을 받는 등 국정원을 통제할 수 있는 장치가 포함돼 있다. 정보 수집 관련 좀 더 검증할 수 있는 보안적 요소가 필요하다"고 지적했다.

토론자로 참석한 신소현 세종연구소 국가정보 및 사이버안보센터 연구원은 "일반적인 사이버 안보 이슈들은 국정원이 챙기되, 일정 정도 이상의 국가 안보 위기에 직면했을 때는 대통령이나 국가안보실이 지휘하는 형태가 더 바람직해 보인다"라며 "사이버 안보의 위기 정도를 수치로 평가하는 것이 쉽지는 않지만, 미국 등에서는 이러한 평가를 하려고 시도 중"이라고 전했다.

정보 수집 우려에 대해 신소현 연구원은 "정보 수집하면 정치적 악용 가능성의 여지가 있다는 주장이 있는데, 정보 수집 활동이 제한된 인력과 자원을 투자하는 것이기 때문에 대량의 정보를 일일이 식별하고 구분해서 의미있는 정보를 추출하고 악용하는 것이 불가능한 측면도 존재한다"고 설명했다.

그는 "그럼에도 정보 수집에 대한 오남용을 막기 위해 정보 활동 기록을 몇 년간 보존하여 오용이 있었는지를 확인할 수 있는 장치를 마련한다든지, 또는 독립 감독 기관을 둔다든지 하는 등 절차를 정교하게 다듬어 나가는 것이 필요하다"고 조언했다.

이와 관련 우한곤 한국산업기술보호협회 부회장은 "국정원의 정보 수집 권한과 부작용 문제는 그 행위 자체보다 국정원이라는 기관을 누가 지휘할 것이냐의 문제다. 과거 정보 수집을 통해 (정치에 활용하는) 이상한 행동을 했던 지휘자가 있었기 때문에 문제가 됐던 것"이라고 말해 사이버 안보를 위한 법 제정 및 국정원의 정보 수집 기능 자체가 문제가 있는 것은 아니라고 주장했다.

개인정보보호법학회의 김도승 교수는 "국가의 권한은 예외적으로 인정돼야 하는데 (김병기 의원 법안의) '사이버 안보'라는 개념 정의가 너무 넓어서 이 개념을 차용하고 있는 다른 조치들도 같이 확대되는 문제가 생긴다"라며 "믿을 수 있는 절차와 규정들이 법안에 있어야 하는데 지금 법안은 정보기관의 의욕만 보인다"라고 말해 국정원의 정보 수집 및 역할에 대한 보다 촘촘한 통제가 필요하다고 주문했다.