국정원의 사이버보안 권한을 일반 행정부처로 이관해야

11월 20일, 국회 정보위원회가 국민의힘 유상범 의원이 지난 6월 19일에 발의한 국가정보원법 개정안을 상정했다. 유 의원의 개정안은 공공 정보통신망에 대한 국가정보원의 사이버보안(사이버공격 및 위협에 대한 예방 및 대응) 분야 직무를 수행할 수 있는 대상 기관을 국회, 법원, 헌법재판소, 선거관리위원회 등 헌법기관까지 확대하는 내용을 담고 있다. 유 의원은 이 개정안과 연동된 전자정부법 개정안도 발의해 놓았다. 국민의힘 박충권 의원도 지난 5월 30일에 국가의 안전보장에 심각한 위협 또는 업무수행에 현저한 지장을 초래하는 사이버공격 · 위협이 발생한 경우에는 행정기관장이 지체 없이 국정원장에게 알리도록 의무화하는 내용의 전자정부법 개정안을 발의한 바 있다. 이 개정안들은 민간 정보통신망으로 사이버보안 권한을 확대하려 호시탐탐 시도해 온 국정원이 헌법기관을 위한 정보통신망까지 통제하겠다는 야심을 드러낸 것이다. 우리는 국정원의 사이버보안 권한을 헌법기관으로 확대하고자 하는 시도에 단호하게 반대한다. 오히려 국정원의 권한을 일반 행정부처로 이관해야 마땅하다.

애초에 여러 헌법기관들이 자체적으로 정보시스템을 관리하도록 한 것은 헌법기관의 독립성을 보장해 권력 분립의 원칙을 유지하고자 한 것인데, 개정안은 이러한 취지를 무시하고 있다. 이들 개정안은 여러 “헌법기관들이 자체적으로 정보시스템을 관리하고 있어 점차 고도화되는 사이버 위협에 적시 대처하는 데 한계가 있다”고 지적한다. 하지만 이는 각 헌법기관들이 사이버보안 역량을 강화하도록 인적, 물적인 투자를 지원해 해결할 문제일 뿐, 근본 원칙을 훼손해야 할 정당한 이유가 될 수 없다. 헌법기관이 일반 행정기관의 관리를 받는 것도 문제인데, 하물며 비밀정보기관인 국정원의 관리를 받는 것은 상상조차 할 수 없다. 정보통신망을 통해서 흐르는 트래픽을 모니터링할 수 있는 권한을 고려할 때, 국회, 정당,법원, 헌법재판소, 선거관리위원회 등의 활동과 정보들이 국정원의 감시에 노출될 수밖에 없다.

우리 시민사회단체들은 사이버공격 및 위협에 대한 예방 및 대응과 같은 사이버보안 업무는 공공 및 민간의 보안 전문가들이 해야 할 일로 이는 정보 수집을 주 업무로 하는 국정원의 업무가 아니라고 주장해왔다. 국정원이 사이버보안 업무를 담당하는 것은 오히려 해당 정보통신망에 대해  감시를 통한 정보 수집을 인정하는 것에 다름 아니며, 이는 국내정보 수집을 금지한 국정원법 개정의 취지를 거스르는 것이다. 더구나 국정원이 담당하고 있기 때문에, 국회의 통제를 받아야 할 행정부 업무인 ‘공공 정보통신망에 대한 사이버보안 업무’가 제대로 통제되지 않는 상황이다.

이 개정안들은 사이버 위협에 대한 효과적인 대응을 위해서는 기관 간에 체계적인 정보 공유 · 협업이 이루어질 필요가 있다고 한다. 그 취지에는 동의하지만, 국정원이 ‘기관 간 체계적인 정보 공유 · 협업’의 가장 큰 장애물임을 인식할 필요가 있다. 모든 정보를 빨아들일 뿐 공유하지 않는 비밀정보기관과의 정보 공유와 협업은 불가능하다. 비밀정보기관과 민간의 다양한 이해당사자가 민주적으로 소통하고 협업한다는 것은  공상에 가깝다.

국정원이 사실상 공공 정보통신망의 사이버보안 권한을 독점하고 사이버보안에 대한 국가 컨트롤타워의 역할을 담당하는 한, 국내 사이버보안 거버넌스는 고착 상태를 벗어나기 힘들 것이다. 보안 기술은 발전할지 몰라도, 민관의 다양한 이해당사자의 민주적이고 개방적인 협업에 기반한 보안 거버넌스는 불가능하다. 국정원으로부터 사이버보안 권한을 분리하고 민주적이고 책임성 있게 운영될 수 있는 다른 행정부처로 그 권한을 이관해야 한다.

국정원감시네트워크(민주사회를 위한 변호사모임, 민주주의법학연구회, 진보네트워크센터, 참여연대, 천주교인권위원회, 투명사회를 위한 정보공개센터, 한국진보연대)