사이버보안 및 법률 분야 전문가들의 ‘말말말’
세 가지 쟁점 중심으로 토론...가장 시급한 것은 ‘구체화’

[시큐리티월드 민세아] 지난 2월 22일, 서상기 의원 대표 발의로 ‘국가 사이버테러 방지 등에 관한 법률안(이하 사이버테러방지법)’이 발의됐다. 그러나 민간인 사찰을 목적으로 하는 것이 아니냐는 논란에 휩싸였고, 일각에서는 사이버테러를 사전에 막기 위한 필수적인 법안이라며 법안 통과를 강력 주장했다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
이에 각계각층의 전문가가 모여 사이버테러방지법에 대해 자유롭게 토론하는 자리가 마련됐다. 고려대학교 김승주 교수가 진행을 맡은 가운데, 큐브피아 권석철 대표, SK인포섹 김계근 이사, 국가보안연구소 김소정 박사, 정보인권연구소 이은우 변호사, 가천대학교 최경진 교수가 패널토의에 참여했다.

이날 패널토의는 크게 세 가지 쟁점을 중심으로 진행됐다. 첫 번째는 사이버테러방지법이 사이버 민간사찰로 이어질 수 있는지? 두 번째는 기존에 존재하는 정보통신망법, 정보통신기반보호법 등의 법률과 중복되는 부분이 없는지? 세 번째는 컨트롤타워를 국정원이 맡는 것이 옳은 지에 대한 것이다. 이에 본지는 패널토의에서 제시된 각 전문가들의 의견을 쟁점별로 나누어 소개한다.

쟁점 1: 사이버테러방지법이 사이버 민간사찰로 이어질 수 있는지?

이은우 변호사 - 사이버 위협에 대응하고자 하는 사이버테러방지법의 취지에 대해서는 긍정적으로 생각한다. 그러나 사이버테러방지법에서 요청하는 것들은 수사단계에서 영장을 받은 후에 이루어지는 것이 아니기 때문에 프라이버시를 존중할 필요가 있다. 또한, 해당 법안으로 인해 기술중립성이 침해될 수 있다. 해당 법안에는 모호하고 애매한 부분이 있어 오해를 불러일으키고 악용될 소지가 곳곳에 있다. 이러한 우려를 불식시키지 못하면 분란만 조장할 수 있다. 정보보호를 위한 노력도 감시를 위한 것으로 오해받을 수 있다.

현재도 국가사이버안전규정이 있고, 주요정보통신기반보호법이 있는데 이것들이 어떻게 시행되고 있는지 살펴볼 필요가 있다. 법에서 이미 시행령, 시행계획 등 여러 부분을 통해 사이버 위협을 막기 위한 근거를 마련하고 있고, 실제로 그렇게 집행되고 있다. 오히려 기존의 법률을 조정해야 할 필요가 있다. 정보통신망법, 정보통신기반보호법 등에서도 국정원이 지나치게 많은 권한을 가지고 있다.

김계근 이사 - 보안관제센터를 예로 들면, 위협정보를 받아들여 징후를 파악하는 등 주로 하는 업무가 보안사고 예방이기 때문에 사이버테러방지법과 크게 상충 되는 부분은 없을 것으로 보인다. 다만, 세부사항에 대한 좀더 명확한 규정이 필요할 것 같다.

권석철 대표 - 자율적인 부분을 침해하는 것은 민간, 공공이 같은 입장에서 협력이 필요하다는 전제 하에 진행되어야 한다. 이런 부분에서는 해당 법안이 크게 문제가 된다고 생각하지 않는다. 문제가 되는 부분은 민간이 정보를 어디까지 제공할 것인지 명확하게 나와 있지 않다는 점이다. 모든 정보를 제출해야 하는 것은 아닌지 우려되는 측면이 있다.

또한, 사이버테러방지법 9조 4항에 보면 누구든지 사고조사를 완료하기 전에 사이버테러와 관련된 정보를 임의로 삭제·훼손·변조해서는 안 된다고 나와 있는데, ‘누구든지’라는 개념도 모호하고, 침해사고를 당했는지 모르는 상황에서 시스템 정보가 계속 보존될 수 있다고 확답할 수 없다.

해당 규정을 위반할 경우 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하게 되어 있는데, 대상이 너무 광범위하고 이를 어떻게 적용하느냐에 따라 너무 쉽게 범죄자가 될 수 있다. 오남용의 여지가 있는 것이다.

쟁점 2: 기존 법률과 중복되는 부분은 없는지?

김소정 박사 - 정보통신망법의 적용 범위는 굉장히 광범위하다. 정보통신기반보호법의 경우는 적용대상이 지정시설에 한정돼 있다. 민간에 강제하는 부분이 어느 정도 있을 수 있어도 100% 다 강제하지는 않는다. 그렇기 때문에 사이버테러의 빌미를 제공하는 빈틈이 생길 수 있다. 사이버테러방지법이 중복입법이라는 말에는 동의하지 않는다.

이은우 변호사 - 빈틈이 있을 수 있다. 그러나 사이버테러방지법과 연결지어 생각하기 때문에 문제가 되는 것이다. 그리고 이를 국정원이 관할하겠다는 것도 우려가 된다. 기존에 존재하는 법의 적용대상을 확대해도 충분하다.

최경진 교수 - 정보통신망법은 민간의 평시사항을 예로 든 것이다. 긴급 상황에서 효과적으로 대응하지 못하는 것은 사실이다. 기존 법률로 사각지대가 발생했을 때 큰 문제가 될 수도 있다. 물론 한 기관에서 남용하지 않게 프레임을 만들어야할 필요는 있다.

자동으로 탐지된 정보 중에 사이버테러 관련 정보가 있으면 각 기관에서 분석해서 공유하는 것이 주된 목적으로 보인다. 탐지 과정에서 특정인을 사찰하거나 특정 목적을 위한 것은 문제가 있다. 이러한 우려를 불식시키는 장치를 만들면 된다고 생각한다.

권석철 대표 - 사이버테러방지법을 보면 사이버테러라는 말이 나오는데, 사이버테러에 대해 ‘한반도 내에서 일어나는 안전을 위협하는 행위’라고 정의하고 있다. 이런 정의나 담당 기관에 대한 정리가 우선시 되어야 한다. 기존의 정보통신망법과 정보통신기반시설보호법, 사이버테러방지법은 비슷한 부분이 많이 있다. 이런 부분을 먼저 정리할 필요가 있다.

김소정 박사 - 사이버보안 업무를 수행하다보면 전자정부법, 정보통신기반보호법, 정보통신망법, 이외의 관련 규정 등 너무 많은 법률과 규정이 존재한다. 연구소나 학계 입장에서는 기본이 되는 법이 필요했고, 실질적으로 정의하고 있는 내용이나 대상은 정부부처의 입장을 대변하는 경우가 많다. 조정은 필요하지만 사이버테러방지법의 사각지대를 다른 법들이 다 커버할 수 있다는 것은 무리가 있는 주장이라고 본다.

권석철 대표 - 정보통신망법의 잘못된 점을 지적하는 분들도 많다. 사이버테러를 방지하는 것 보다는 어떻게 정보를 공유하고 취급하는지에 지에 대한 처벌이 강화되어야 한다. 정보 공유를 강제하는 부분에 대해서는 ‘정보를 얼마나 많이 공유해야 하는가? 민간업체는 어쩔 수 없이 줘야 하나?’라는 의문이 생길 수 있다. 정보를 제공했을 때 이런 사실이 알려지면 카카오의 경우처럼 기업이 타격을 받을 수도 있다.

쟁점 3: 컨트롤타워, 국정원이 맡는 것이 옳은가?

김계근 이사 - 사고분석을 하다 보면, 침해사고가 직접적으로 발생하는 경우는 별로 없다. 다른 기업과 연결되어 사고가 발생하는 경우가 대다수인데, 공문을 보내도 협조가 잘 안되는 경우가 많다. 이런 상황에서 비상상황이 발생한다면 컨트롤타워가 없어 서로 공유가 잘 안되는 게 많을 것이다. 중요 데이터에 대해서는 어느 정도 법적으로 규정되어 있다. 법 자체 지침을 잘 정해 지킨다면 문제가 없을 것 같다.

이은우 변호사 - 침해정보 공유는 아주 중요하다. 원활하게 공유되고 활성화되어야 한다는 것은 공감하지만 민간이 중심이 되어야 한다. 현재 한국인터넷진흥원(KISA)를 통해서 많은 정보가 공유되고 있지만, 사이버테러방지법이 제정되면서 국정원이 중심이 된다면 정보공유를 억제하는 요소가 될 수도 있다.

최경진 교수 - 민간부문에서 정보 집중을 통한 남용이 문제가 되는 경우도 있다. 법에서 이를 합법적으로 만드는 또 다른 방법은 절차적인 정당성이다. 투명한 기준을 만들고 특정인의 예외 없이 자동화된 시스템으로 수집한다면 문제가 없을 것이다.

김소정 박사 - 사이버테러는 국가적인 위해요소다. 민간에서 정보를 받기만 하는 것이 아니라 국가가 가지고 있는 정보도 얼마든지 전파할 수 있기 때문에 국가의 개입 여부는 큰 문제가 안 된다. 이전까지 정보보호 예산을 별도로 책정할 수 있도록 하는 등 보안수준을 높이기 위해 많은 부분에서 기여를 해왔는데, 왜 그런 부분은 인식하지 못하는지 안타깝다.

권석철 대표 - 이전에 국정원에서 사이버안전센터가 있었을 때 정보를 공유하게 되면 같이 협력하는 입장이 아니라 상하관계가 되더라. 민간업체 입장에서는 기존 인력이 정보 요청을 받고 관련 업무를 수행하면 인건비가 그만큼 책정이 되지만 법 때문에 안할 수가 없어 아쉬운 부분이 있다. 정보를 서로 공유하고 민간에서도 지원할 수 있도록 역할과 담당 기관에 대한 좀더 명확한 규정이 추가되면 어떨까? 컨트롤타워가 필요하지만, 컨트롤타워는 다른 기관이 맡는 것이 어떨까 싶다.

김계근 이사 - 전제조건이 잘 지켜지고, 위기상황에서 신속하게 대응할 수 있도록 시스템적으로 잘 구현된다면 사이버테러방지법을 통한 정보공유는 좋은 결과를 가져올 수 있을 것으로 기대한다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
김소정 박사- 사이버보안은 2000년대 초반부터 계속해서 사후 대처적인 부분으로만 인식되어 왔다. 지금 나온 법으로 인해 내가 사찰을 받을 것이라 생각하진 않는다. 단지 바라는 것은 정책 활용 부분이 좀 더 구체화됐으면 하는 것이다.

권석철 대표 - 사이버 공격은 무기를 가지고 있는 테러집단만 하는 것이 아니라 어린 학생이나 별로 관련 없는 사람들이 할 수도 있는 것이고, 북한이나 우방국에서 발생할 수도 있다. 그러나 현재 사이버테러에 대한 정의가 너무 모호하다. 이를 구체화할 필요가 있다.

최경진 교수 - 국가의 존속도 중요하고, 국가를 구성하는 국민 한명한명의 인권도 매우 중요하다. 법에 대해 국회에서 좀더 활발한 논의가 진행되어 국정원에 대해서도 명확한 역할을 부여하고, 이에 따른 책임을 질 수 있도록 하면 좋겠다.
[글 시큐리티월드 민세아 기자(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>