이와 관련 지난 7월 30일 오픈넷에서 ‘국정원 해킹 사태 해결을 위한 토론 및 백신 프로그램 발표회’를 개최하면서 오픈 백신을 선보인다고 했지만, 현실을 고려하지 않은 성급한 프로젝트라는 문제 제기와 함께 한쪽의 입장만 대변한 반쪽짜리 토론회였다는 지적도 제기됐다. 

해킹팀에 SW 구입 자체가 문제

새정치민주연합 국민정보지키기위원장인 안철수 의원은 이번 행사에서 “이탈리아 해킹팀에게 국정원이 SW 솔루션을 구입한 사실 자체가 문제”이라며 “불법사찰 논란이 일고 있는 것도 잘못이지만 언론에 노출되는 것 자체가 무능하다는 걸 입증한 셈”이라고 지적했다.

그러면서 안 의원은 △자살한 국정원 직원의 자료 삭제 이유와 복원 과정 △사망 직원의 역할과 권한 등에 대한 정확한 설명이 필요하다고 강조했다. 제대로 된 진상조사가 진행되기 위해서는 자료제출, 전문가 참여, 일정한 기간이 확보되어야 하는데, 아무것도 충족이 안 되고 있다는 게 안철수 의원의 설명이다.

이어 새정치민주연합 이종걸 의원은 “국정원은 로그파일 자료를 제출해 국민들의 의심을 해소시켜야 한다”고 말했으며, 신경민 의원도 “사망한 국정원 임모 과장이 감찰을 받고 있었다는 사실이 간접적으로 확인했다”며 “감찰내용이나 과정상의 문제는 없었는지 상세하게 밝혀야 한다”고 말했다.

이러한 지적과 관련해서 국정원 측과 여권에서는 사건의 본질보다는 여론에 편승하는 정치적 공세에 치중하고 있다는 문제를 제기하고 있다. 

RCS 해킹프로그램 활용 불법성 논란

또한, 이번 사태에서는 RCS 해킹 프로그램 활용 여부를 두고 법적인 문제는 없는지에 대한 논란도 일고 있다. 이에 대해 국회입법조사처 심우민 입법조사관은 현재 국가정보원의 해킹 프로그램(RCS) 구입경위와 세부 활동내역에 대한 명확한 사실 확인이 되지 않은 상황에서 불법성 검토는 한계가 있다며, 향후 법률상 쟁점화 될 수 있는 사항으로 RCS 활용의 불법성에 대해 검토해야 한다고 제시했다.

RCS 활용의 불법성 검토 여부는 △통신비밀보호법 제7,8조에 따라 절차규정을 준수했는지 여부 △정통망법 48조에 따라 정당한 감청 여부와 합법적 절차를 거쳤는지 여부△통신비밀보호법상 감청설비에 SW가 포함되는지 여부 △해킹 프로그램을 통한 감청방식 허용 여부 등이다.

먼저 통신비밀보호법 제7,8조 준수여부의 경우 국가안보 목적을 위해 국가정보원 등 정보수사기관은 통신제한조치(감청 등)를 할 때 통신비밀보호법 제7,8조 등의 규정을 준수해야 한다. 

이와 관련 심우민 조사관은 “국정원장은 제1항에 따라 대통령에게 승인을 신청하며, 그 결과를 해당 정보수사기관 장에게 서면으로 통보해야 하는데, 4개월 단위로 몰아서 승인받았다고 했다”며 “이는 절차상 문제가 있다. 국가정보원도 수사기관도 국가기관으로 법치 행정의 원리가 적용된다”고 지적했다.

이어 정당한 감청 여부와 관련해 그는 “감청 수행이 ‘정당한 사유 또는 권한’인지 논증해야 할 필요가 있다”며, 현재 논란이 되고 있는 RCS 기술의 활용을 개괄적으로 검토해 볼 때 피싱을 통한 정보수집 행위에 해당한다고 볼 수 있어 ‘속이는 행위로 다른 사람의 정보를 수집’하는 정통망법 49조2의 위반이 적용될 수 있다”고 말했다.

다음으로는 통신비밀보호법상 감청설비가 과연 하드웨어와 같은 물리적 장비만 포함되는지 소프트웨어나 프로그램도 포함하는지 여부도 주요 쟁점으로 부각되고 있다. 게다가 정보수사기관이 감청설비를 도입할 시에는 대통령이 정하는 사항을 국회 정보위원회에 통보해야 하는데, 이 부분도 논란이 되고 있다. RCS 기술 기반의 해킹 프로그램이 통신비밀보호법상 감청설비에 해당하는 것으로 볼 수 있는지에 대해서도 찬반이 엇갈리기 때문이다.

이에 대해 심우민 조사관은 “감청설비 장비유형 판단기준으로는 소프트웨어나 프로그램은 감청설비에 해당하지 않지만 사법처리에 있어 통비법 제17조에는 감청목적으로 특별히 개발 또는 제작한 이메일 감시 및 문서 유통경로 추적용 솔루션이나 프로그램 또는 시스템 등은 일반적이 전기통신 기기로 볼 수 있다”고 말했다. 따라서 현재 상황에서는 문리적 해석과 목적론적 해석이 서로 충돌하고 있다는 게 그의 설명이다.

해킹 프로그램을 통한 감청방식 허용여부에 대해 심우민 조사관은 “RCS 기반의 해킹 기술은 실시간 대화 내용의 취득은 물론 송수신이 완료된 대화 내용 수집도 가능하기 때문에 압수수색 정도의 효과”라며 “감청, 압수수색, RCS 해킹 프로그램 활용문제는 현행 법체계가 온전히 고려하지 못하고 있으며, 향후 이러한 감청방식을 현행 헌법 및 법률체계 하에서 인정할 수 있을지 논의가 필요하다”고 설명했다.

통제권 탈취 방식, 진지하게 고민해야

이어 고려대학교 박경신 교수는 해킹수사의 헌법적 한계에 대해 설명했다. 해킹수사 허가 요건에 대해 박경신 교수는 △중대한 범죄나 국가안보에 대한 구체적인 위험이 발생했거나 발생확률이 높은 경우 △안보위협의 증거가 해당기기 접근을 통해 취득될 확률이 높은 경우 △정보수집은 안보위협의 증거로만 한정되도록 하기 위한 조치 필요 △다른 방식의 증거수집이 불가능할 때 △감염기기의 보안수준을 저하시키는 방식 지양 △기간은 1개월 이상이 되어서는 안 되며 해킹 종료시 상대방에게 통지 △해킹 활동에 대한 독립적인 기구 설립 △상호법적지원협약(MLAT) 절차 우회방식 금지 △취득된 정보는 영장이 적시한 목적으로만 이용 △전 세계 부당한 해킹 피해자의 손해배상청구권 보장 등의 요건을 제시했다.

이와 관련 박경신 교수는 “사물인터넷 시대가 열리면서 수많은 기기들이 통신기기화 되고 있다”며 “통신기기를 이용해 자동차의 원격조정으로 운전자의 통제권이 빼앗기면 악셀을 밟거나 핸들을 조작하는 등의 보안위협이 존재한다. 국가안보나 범죄예방을 위해 통신기기 통제권을 탈취하는 방식을 허락할 것인가에 대해 진지하게 고민해야 한다”고 말했다. 이어 박 교수는 “아무리 국가안보나 범죄수사라 해도 통제권을 탈취하는 것은 과할 수 있다고 지적했다”고 지적했다.

한편, 박경신 교수는 백신업체들의 대응이 미흡하다고 발언한 것과 관련해서는 “백신업체가 내부적으로 대응했다면 다행”이라며 “지난 27일 보도자료의 취지는 과거 보안위협이 발생하면 백신업체가 적극적으로 나서며 밝히곤 했는데, 이번 사건에서는 대외적으로 나서지 않고 있어 그렇게 얘기한 것”이라고 해명했다.

국정원 권한 남용, 통제장치 필요

마지막 민주사회를 위한 변호사 모임의 김지미 변호사는 국정원의 권한 남용 사례를 지적하며 국가안보 및 범죄수사 등 공공의 안전을 위한 감청은 최후적 수단으로 사용돼야 한다고 강조했다.

또한, 국정원 권한 남용을 통제할 수 있는 방안으로 그는 △수사권 분리는 국가정보원 ‘탈권력화’의 필수 전제 △국정원의 국내 보안정보 수집 권한 등 원칙적 폐지 △국정원의 정보 및 보안업무의 기획조정 권한 폐지 △국정원에 대한 의회 통제 강화 등의 방안을 제시했다.

이렇듯 국정원 해킹 사태는 정기국회까지 이어질 것으로 보여 장기화될 전망이다. 이번 논란이 지루한 공방만 계속되는 정쟁에 그치거나 총선을 앞둔 타협의 수단으로 악용되지 되도록 사건 조사와 결과 발표가 신속히 마무리 되어야 할 것으로 보인다.  

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>