사진/ 김익현
[인터뷰] 이호중 정보인권연구소 이사장
전 국민 감시의 완성, 사이버테러방지법
성지훈 기자
〈테러방지법〉이 결국 통과됐다. 일부 야당 의원들이 10시간 넘는 필리버스터를 진행하며 법안 통과를 막겠다고 나섰지만 역부족이었다. 박근혜 대통령과 정부 여당은 여세를 몰아 ‘사이버테러방지법’까지 통과시키자고 드라이브를 걸었다. 사이버테러방지법은 국회 정보위에 계류 중이다. 법이 통과되면 국정원은 사이버 공간에서 벌어지는 모든 일을 지켜볼 수 있다. 대부분의 개인 정보가 사이버 공간에 저장되고 움직이는 현실에서 사실상 전 국민의 개인 정보를 국정원이 알게 되는 셈이다. 사이버테러방지법이 통과된 이후의 세상에 대한 구체적 전망을 이호중 정보인권연구소 이사장에게 물었다.
“통제할 방법이 없다. 무차별 감시가 가능해진다”
사이버테러방지법 통과 이후에 가장 우려되는 점은 무엇인가
사이버테러방지법은 한마디로 국내에 유통되는 모든 정보를 국정원이 관장하겠다는 것이다. 국정원이 원하면 언제든 들여다볼 수 있는 시스템을 만들겠다는 것이 핵심이다. 테러방지법은 테러 위험 인물이라는 개념을 도입해 정치적 악용 소지를 열어 놨다. 위험 인물로 지목한 이의 금융 정보, 출입국 정보, 통신 정보, 위치 정보를 국정원이 수집할 수 있는 길을 열어 놨는데, 사이버테러방지법은 국정원이 위험 인물뿐 아니라 정보 통신망 자체를 통째로 볼 수 있게 하는 법이다. 지금도 국정원이 하는 일을 통제하지 못하는 상황인데 사이버테러방지법이 제정되면 국정원이 합법적으로 온 나라 사이버상에 유통되는 정보를 갖게 된다. 테러방지법보다 폭이 넓고 상시적인 감시 체제가 만들어진다.
국정원이 기업이나 언론사, 정당 같은 민감한 정보를 가진 곳들의 내밀한 정보도 원하는 대로 갖게 된다는 뜻인가
가능하다. 정당이나 기업 자체를 감시할 수 있다기보다는 그들이 사용하는 정보 통신망에 국정원이 접근할 수 있다. 민간 영역이 수행하는 보안 관제를 국정원이 수행하게 된다. 그건 국내 모든 정보 통신망의 보안 솔루션을 국정원이 관장한다는 뜻이다. 국정원이 원하면 포털사, 언론사, 개인의 SNS, 카카오톡까지 언제든 볼 수 있다. 기자들이 나누는 대화, 포털에 저장된 개인의 사적 정보, 정치인들 대화까지도. 지금은 수사 기관이 통신 정보를 취득하려면 영장을 받아야 한다. 그러나 사이버테러방지법 통과 이후엔 그 영장주의 원칙마저 사라지는 셈이다. 사이버테러방지법이 통과되면 사이버 보안 사고가 발생할 때마다 국정원이 직접 조사에 들어갈 수 있다. 카카오톡 서버를 직접 들여다보고 다양한 정보를 가져갈 수 있다. 통제할 방법이 없다. 무차별 감시와 사찰이 가능하다. 더 심각한 문제는 공공과 민간의 보안 관제를 국정원이 일괄 통제해 국내 모든 보안 시스템의 취약점을 국정원이 쥐게 된다는 것이다.
국정원이 모든 정보를 최상위에서 통제한다는 건데 기술적으로 가능한가
보안 관제 업무를 국정원이 담당하기 때문에 소프트웨어상의 보안 취약점이 다 국정원에 보고된다. 보안과 해킹 프로그램은 동전의 앞뒷면과 같다. 국정원이 백도어1를 만들어 언제든 통신망을 들여다볼 수 있는 가능성이 생긴다. 얼마 전에 미국에서 애플사 사건이 있지 않았나. 미국 FBI(연방수사국)애플에 개인의 휴대폰 보안 프로그램을 뚫는 프로그램을 제공해 달라고 요청했지만 애플이 거절했다.
그 프로그램을 제공하는 건 애플이 사용하는 보안 시스템을 수사 기관이 파악한다는 의미다. 그걸 이용하면 향후에도 무차별 정보 수집이 가능해진다는 얘기다. 이 사건은 사이버테러방지법 이후 상황을 보여 주는 단적인 예다. 국정원이 보안 관제라는 이름으로 각 보안 시스템의 보안 정보를 인증해 주는 업무를 담당하면 민간 통신사가 사용하는 보안 프로그램을 국정원이 다 파악할 수 있다. 알면 뚫는 것은 시간문제다.
“국정원만 뚫으면 국내의 모든 보안 시스템을 다 뚫을 수 있다”
그 얘기는 해킹을 통해 국정원만 뚫으면 국내의 모든 보안 시스템을 다 쥐락펴락할 수 있단 뜻인가
그렇다. 사이버 보안이 더 취약해질 거다. 애플이 쓰는 보안 프로그램과 삼성이 쓰는 프로그램이 다르고 어느 하나가 뚫리더라도 다른 프로그램은 사이버상의 공격을 막을 수 있는데 보안 관제가 국정원으로 일원화되면 국정원이 이 모든 프로그램을 관장할 수 있다. 나아가 국정원이 정말로 통신망의 백도어를 관리하려고 하면 보안 프로그램의 표준을 만들 수도 있다. 그 표준 보안 프로그램을 사용하도록 하는 순간 국정원을 정점으로 하는 보안 관제 피라미드가 완성된다. 속된 말로 위만 치면 다 뚫을 수 있는 거다. 애플 회장이 “고작 한 건에 대해 보안을 해제할 수 있는 프로그램을 제공하면, 이를 갖고 수많은 활용이 가능해지고 오히려 시민의 안전을 위협할 것”이라고 우려한 현상이 벌어지는 것이다.
하지만 사람들은 사이버테러방지법의 위험을 잘 인식하지 못하는 것 같다. 개인 정보에 대해 민감하지 않은 것도 사실이다
우리 사회 인권 의식이 약한 것이 근본 문제다. 사람 사이 정이 많은 문화라서 그런지, 처음 만난 사람과 통성명하고 나면 신상 정보부터 파악하지 않나. 프라이버시에 대한 기본적인 존중 문화가 서양에 비해 약하다. 그런 문화적 기반에서 만들어진 〈통신비밀보호법〉은 정보기관이 상대적으로 정보를 가져가기 쉬운 구조다. 사이버테러방지법을 만들자는 논의는 이런 바탕에서 등장한 거다. 최근엔 그래도 카카오톡 감청 사태를 지나면서 시민의 정보 인권 의식이 한 단계 높아졌다. 그러나 자기 정보를 국정원이 가져갈 수 있다는 사실엔 민감할 수 있지만, 정보 통신망에서 유통되는 정보 전체를 국정원이 들여다볼 수 있다는 것에는 인권 침해 의식이 약할 수밖에 없다. 자기의 정보가 노출된다고 인식하지 못하기 때문이다.
사진 / 김익현
한국 사회의 정보 인권 의식이 유독 낮은 건가
정보 인권이라는 단어 자체도 아직 익숙하지 않다. 학자들이야 쓰고 있지만 의미의 폭이 너무 넓다. 망중립성에 대한 이야기, 네트워크에 있는 공공성 이야기부터 감시의 문제, 표현의 자유 문제까지 다 포괄돼 있다. 정보 인권의 개념으로 무엇을 이야기할 것인지 상이 정확히 잡히지 않는 측면도 있다. 더구나 우리 일상에서 개인 정보를 제공하지 않고 할 수 있는 일이 적다. 개인 정보에 대한 자기 결정권이 헌법의 기본권이라고 하지만, 실상 본인이 어떻게 할 수 없다는 것도 시민들은 알고 있다. 이런 상황이 계속 이어지면서 개인 정보의 보호를 심각하게 여기지 않는 문제들이 생겨났다.
내가 세월호 특별조사위원회 비상임위원인데 특조위 사무실에 출입이 불편하다. 보안을 위해 지문 인식 시스템을 만들었는데 내가 지문 등록을 거부했다. 그래서 사무실에 들어가려면 안에 있는 누굴 불러야 하고 밤에는 들어가지도 못하고 여러 가지로 불편하다. 이런 불편 때문에 사람들은 그냥 지문 등록을 한다. 이런 행태가 반복되니까 개인 정보에 대한 문제 의식이 약해지는 거다.
“시민 사회의 자율성을 강조하는 프레임 전환이 필요하다”
개개인의 인권 감수성이 더 예민해져야 한다는 의미인가
그보다는 개인 정보 보호 문제를 기본권에 대한 테제로 풀어 가지 말자는 생각이 강하다. 국가가 그렇게 광범위하게 모든 시민을 감시하도록 할 것이냐에 대한 시민 사회 차원의 문제 제기가 필요하다. 통제하고 감시하려는 국가와 시민 사회의 자율성이 대립하도록 하는 프레임의 전환이 필요하다는 얘기다. 프레임을 인권의 개념으로 가져가려면 기본권이 중요하다는 인식이 전제돼야 합리적인 논쟁이 일어날 수 있는데 우리 사회가 기본권을 바라보는 시각이 그렇게 심각하지 않다. 개인의 인권 프레임에 논쟁이 갇히면 담론을 만들어 나가기 어려울 수 있다. 논의 자체를 근본적으로 벗어나자는 것이다. 개인의 인권 의식을 높이는 것은 역시 중요하지만 한 순간에 높아지기는 힘들지 않나. 결국 시민 사회의 공적인 영역, 자율성의 영역이 보장되어야 한다는 인식이 강조돼야 한다. 개인의 인권 문제로 초점이 맞춰지면 자기의 문제로 인식하지 못하는 사람들이 많아질 수밖에 없다. 한쪽에선 “테러와 관련이 있으니 저렇게 반대하는 것 아니겠냐?”는 말도 나오겠지만. 그러면 정치적인 싸움이 된다. 결국 진영 논리에 빠지거나 법의 문제점을 제대로 드러내지 못한 상태에서 정치적인 권력 투쟁으로 빠진다. 권력에 대해 시민들이 자유롭게 의사소통하는 자유가 공동체 전체의 자유, 시민 사회의 자율성을 보장하는 자유라는 관점이 부각돼야 한다.