7개 시민사회단체로 구성된 국정원감시네트워크(국감넷)가, 지난 10월 27일 국가정보원 (국정원)이 입법예고한 「사이버안보 업무규정 일부개정령안」(국정원 개정령안)에 대해 반대 의견서를 국정원에 제출했다. 국감넷은 의견서에서, 국정원 개정령안에 대한 전면 폐기 의견과 함께 시행령이 아닌 ‘국가사이버보안’ 관련 법률을 통해 규정되어야 한다고 밝혔다.
국감넷은 의견서에서, “법률에서 위임된 범위를 벗어나 국정원이 권한을 자의적으로 확대 · 강화하거나, 민간의 정보통신망과 클라우드 서비스 등에도 개입할 수 있는 권한 등을 부여하고 있다”고 지적했다. 국감넷은 국정원의 개정령안으로 “국회를 통한 민주적 통제 없이 국정원이 자의적으로 권한을 확대하는 상황을 우려해 왔는데, 우려가 현실이 되고 있음을 보여준다”고 비판했다.
국감넷은 “이번과 같이 시행령이 아니라, ‘국가사이버보안’ 관련 법률을 통해 규정되어야 한다”고 밝혔다. 또한 “국정원이 제대로 된 법률적 근거를 갖추지 않고 행사하고 있는 ‘국가사이버보안’ 권한도 과학기술정보통신부나 ‘국가사이버보안청’을 신설하여 맡기는 등 일반 정부부처나 기관으로 이관되어 투명하고 책임성 있게 이루어져야 한다”는 대안을 제시했다.
[전문] 사이버안보 업무규정 일부개정령안(국가정보원공고 제2023-4호)에 대한 의견서 (2023. 12. 05. 제출)
국감넷은 국정원 개정령안에 대해 ‘국가사이버보안’과 관련해서 ▲법률에서 위임한 범위를 벗어난 권한 확대, ▲민간 정보통신망으로의 권한 확대 · 강화, ▲정부부처 · 공공기관의 ‘상급기관’으로서 국정원의 위상 강화 등의 측면에서 국정원이 자의적으로 권한 확대 · 강화를 꾀하고 있다고 평가했다.
국정원 개정령안은 국정원에 ‘사이버안보정보 조사’를 위해, “해당 정보가 수록 · 기재된 디지털 자료 등을 그 소유자 · 소지자 또는 보관자로부터 제출받을 수” 있도록 하고 있다(안 제5조의2). 국감넷은 “국정원이 ‘국가안보’와 관련된 자료라고 규정하면, 언제든 민간 당사자에게도 해당 자료 제출을 요구할 수 있다”며, “과연 국정원의 ‘자료제출 요구’를 민간기업이나 개인이 거부할 수 있을지 의문”이라고 비판했다.
또한 개정령안은 국정원이 ‘사이버안보정보 관련 대응조치’ 명목으로 정보통신기기 · 소프트웨어를 확인하기 위해 기술적 시험 · 분석 등 검증하고 위험 최소화 조치를 할 수 있는 권한, 국가안보와 국익에 반하는 국제 및 국가배후 해킹조직 등의 활동을 선제적으로 확인 · 견제 · 차단하기 위해 국외 및 북한을 대상으로 추적, 무력화 등 공세적 조치를 할 수 있는 권한, 위기상황을 관리하기 위한 민관 합동 통합대응 체계를 구축 · 운영할 권한 등을 행사할 수 있도록 하고 있다(안 제6조의2). 국감넷은 “국정원에 마치 군사작전을 수행하듯 ‘선제적으로’, ‘공세적 조치’를 취할 수 있는 권한을 부여하고 있다”며, “‘국가안보와 국익에 반하는 활동에 악용되거나 악용될 만한 상당한 개연성’, ‘국민안전 보호를 위하여’ 등 요건도 지나치게 폭넓고 자의적”이라고 평가했다.
현행 「사이버안보 업무규정」과 개정령안에서는 “사이버안보 업무의 수행에 필요한 전략 · 정책 및 기술의 연구 · 개발”을 명분으로 관련 학회, 학술단체 등 비영리법인을 전문기관으로 지정하고 경비 등을 지원할 수 있도록 하고 있다(안 제17조). 국감넷은 이 안이 “국정원이 사실상 금전적 지원을 매개로 관련 학술 · 연구기관과 단체를 포섭하겠다는 것이나 다름없다”고 혹평했다. 게다가 “국정원 예산 대부분을 특수활동비라는 이유로 공개하지 않고 있고, 국정원이 정하겠다는 ‘전문기관 지정 관련 세부사항'(안 제17조 제3항)도 비공개할 것이 뻔한 상황에서 전문기관 지정과 경비 지원이 투명하고 책임성 있게 이루어질 것이라 기대하기 어렵다”면서 반대 입장을 분명히 했다.
국감넷은 “국정원이 공공기관의 민간 클라우드 서비스 이용을 이유로, 국정원이 또다시 ‘사이버보안’ 권한을 민간 클라우드 서비스로 확대하려 시도하고 있다”고 비판했다(안 제7조의2 제3호, 제9조 제2항, 제14조 제4항 관련). 관련해 “국정원이 아니라 투명하고 책임성 있게 권한을 행사할 수 있는 부처와 기관에 사이버보안 권한을 부여해, 민간 클라우드 서비스까지 관리 · 감독할 수 있도록 하면 된다”며, “국정원에 사이버보안 권한을 부여하면서 민간의 정보통신망까지 관여하게 한다면, 민간 사찰 우려로부터 자유로울 수 없다”고 비판했다.
국감넷은 국정원이 2020년 개정 「국정원법」과 「정보및보안업무기획 · 조정규정」을 근거로 한 ‘사이버안보’ 업무의 기획 · 조정 권한을 내세워 “국가안보”를 구실로 다른 행정부처들을 직접 조정하고, 그 대상 공공기관의 범위도 넓히려 한다고 꼬집었다. 특히 국방부와 방위사업청 산하 기관에 대한 사이버보안 관련 사항을 국정원장이 요청하면 국방부장관이 국정원에 통보토록 하고 있어(안 제19조), “국정원이 국방부보다 상급기관의 지위에 있다”이라고 비판했다. 국감넷은 ‘사이버보안’과 관련해 보안측정 및 이행결과 확인 권한 부여(안 제9조 제5항), 사이버보안 직무교육 지원 권한 확대(안 제10조), 각급기관에 대한 국정원의 진단 · 점검 권한 확대(안 제12조), 각급기관의 사이버보안 실태 평가 권한 확대(안 제13조), 사고조사에 대한 감독 권한 확대(안 제16조) 등의 문제를 꼽았다.