[손영동의 사이버세상]<2>정쟁(政爭)의 도구가 돼버린 사이버안보(安保)

국내 유일의 정보기관이 해킹 논란으로 정쟁의 소용돌이에 휘말리고 있다. 논란의 발단은 국가정보원이 이탈리아 보안업체로부터 해킹 프로그램(RCS)을 사들였고, 그 경위나 과정이 폭로 전문사이트인 ‘위키리크스’에 공개되면서 불거졌다.

의혹이 확산되자 이병호 국정원장이 국회 정보위원회에 출석해 2012년 두 차례에 걸쳐 해킹 프로그램을 도입한 사실을 인정했고 “대북 및 해외 정보전을 위한 연구개발용일 뿐 국민을 상대로 활용한 적은 없다”고 분명하게 선을 그었다. 그럼에도 일각에선 연구개발을 넘어 구체적인 운영 정황까지 제기하기 시작했다.

새정치민주연합은 ‘감염검사센터’를 설치하고 진상 규명을 위해 ‘국민정보지키기위원회’를 구성했다. 문재인 대표는 “의혹이 사실이라면 국정원은 더 이상 국가 정보기관이 아니라 민주적 헌정 질서를 파괴하는 악성 바이러스”라며 검찰 수사를 요구했다. 새누리당은 이를 ‘안보를 볼모로 한 정쟁’이라고 규정했다. 이런 가운데 해킹 프로그램 구입과 관련 있는 것으로 알려진 국정원 직원이 자살하면서 불똥이 의외의 방향으로 튈 수도 있다.

논란이 된 해킹 프로그램은 미국·러시아·이스라엘·중국을 포함한 35개국 97개 기관이 구매했다. 이번 폭로에 미국 정보기관들은 “확인해줄 수 없다”고 잘라 말하는 걸로 끝이다. 이에 비해 우리 여야는 국회 정보위원회 차원에서 국정원 현장 조사를 벌이기로 합의했다. 와중에 노출돼서는 안 될 정보자산들이 무차별 유출되고 있다.

컴퓨터나 휴대전화에 대한 도·감청은 세계 어느 정보기관이나 하는 일이다. 미국은 영어권 국가가 참여하는 세계 최대 규모의 도·감청시스템 에셜론(Echelon)을 주도적으로 운영하고 있다. 2013년 6월 미 국가안보국(NSA) 직원이었던 스노든의 폭로로 미 첩보기관이 세계 전화통화와 이메일을 무차별적으로 도청한 사실이 밝혀졌다. 중국은 2004년부터 무려 1조위안(약 178조원)을 들여 감시시스템, 일명 ‘다칭바오(大情報)’를 구비했다. 인터넷은 물론이고 휴대전화 소지자 위치와 함께 있는 사람들의 신원정보도 확인 가능하다.

2014년 12월 김정은 암살을 코믹하게 다룬 영화 ‘인터뷰(The Interview)’ 제작사인 소니픽처스가 해킹을 당하자 미 연방수사국(FBI)은 해킹 사건 배후에 북한 정부가 있다고 공식 발표했다. 그리고 오바마 대통령이 ‘비례적 대응’을 천명했고, 며칠 지나지 않아 북한의 거의 모든 인터넷 접속이 10시간이나 전면 불통됐다.

이 같은 미국의 대응방식은 정작 북한의 사이버공격으로 막대한 피해를 보고 있는 우리와는 사뭇 다르다. 지난 3월 검찰이 한수원 해킹 중간 수사결과를 발표하면서 해커조직이 이용한 인터넷주소(IP)에서 찾아낸 북한의 접속 흔적을 조목조목 설명하고 있다. 그 어떤 보복도 없이, 오히려 우리의 사이버수사 역량을 북한에 소상하게 가르쳐주는 것과 다름없다.

북한의 사이버위협이 갈수록 심각해지는 상황이지만 정보수집에 대한 법적 규제는 다른 나라보다 훨씬 엄격한 게 우리의 딱한 현실이다. 미국과 유럽 국가들은 정보기관이 통신사 협조를 얻어 휴대전화를 감청하도록 허용한다. 미국에서는 유·무선 전화와 인터넷 모두 감청 대상이고 통신사업자가 감청설비를 갖춰야 한다. 우리는 이통사가 감청설비를 의무적으로 갖추는 내용의 통신비밀보호법 개정안을 수차례 발의만 했다. 설비 비용도 사업자가 아니라 국가가 부담하는 걸로 돼 있다.

세계 각국은 사이버공격을 부수적 위협에서 국가 차원의 위협으로 간주함으로써 사이버주권 확보가 절대적인 가치가 됐다. 박근혜 대통령은 올해 들어 국내 최고의 정보보호전문가를 안보특별보좌관에 임명하고 국가안보실에 사이버안보비서관을 신설하는 등 사이버역량 강화 의지를 보였다. 그런데 정치권에선 정보기관을 현실과 동떨어진 과거의 법에 옭아매어 사이버안보 동력을 상실케 하고 있다.

이번 사태에서 국정원은 해킹 프로그램 도입이 첩보활동의 기본인 선지(先知)를 위한 것이라 해도 흔적 지우기는 실패했다. 정보기관 조사는 국가 신뢰와 맞물려 있어 아주 차분히 진행돼야 한다. 국정원이 불법행위를 했다면 엄중하게 책임을 물어야 한다. 하지만 그럴 우려 때문에 점증하는 사이버위협이 방치되거나 정보활동에 위축을 가져와서는 더더욱 안 된다.

손영동 고려대 정보보호대학원 초빙교수 viking@paran.com