국정원도 ‘시행령 꼼수’…사이버 통제 권한 대폭 키운다

“북한 해킹 차단 등 공세적 조치”
정부 기관과 협의 없이 보안 측정
무분별한 업무 관련 규제는 완화
안보 앞세워 사찰·정보 통제 우려

국정원 전경. 국정원 제공

국가정보원이 사이버 공간에서의 안보·보안 업무 권한을 대폭 강화하는 방안을 추진하고 있다. 이 방안에는 정부와 지방자치단체 등에 대해 협의 없이 ‘보안 측정’을 실시하고, 해킹 차단을 위해 북한과 국외 조직을 상대로 “공세적 조치”를 취한다는 내용이 담겼다. 사이버 공간에서 민간인 사찰 가능성에 대한 우려와 더불어 시행령 개정 방식으로 국회의 입법 통제를 우회한다는 지적이 제기된다.

7일 정부 ‘국민참여입법센터’ 홈페이지를 보면 국정원은 지난달 27일 ‘사이버 안보 업무규정’ 시행령 개정안을 다음달 6일까지 입법예고했다. 개정안에 따르면 국정원이 정부·지자체·공공기관 등 정부 기관의 사이버 보안 업무를 관리·통제하는 권한이 확대된다. 각 기관의 정보통신기기·통신망의 취약 요소를 발굴·개선하는 ‘보안 측정’은 기관과 협의를 거쳐 시행해왔으나 협의 없이 가능하도록 개정했다.

국정원이 정부 기관의 사이버 보안 관련 조직·인력·예산·교육·점검 등 업무 현황을 종합·분석하고 필요하면 현장 확인을 가능하게 하는 조항도 신설됐다. 국정원은 개선 대책을 통보받고 이행 여부를 확인해 시정 등 조치를 권고할 수 있다. 정부 기관은 국정원으로부터 관련 조치·조사 결과와 자료 제출을 요청받을 경우 정당한 사유가 없으면 따라야 한다.

개정안은 “국가 안보와 국익에 반하는 국제 및 국가 배후 해킹조직 등의 활동을 선제적으로 확인·견제·차단하기 위해 국외 및 북한을 대상으로 추적·무력화 등 공세적 조치를 할 수 있다”고 규정했다. 안보·국익을 해치는 활동에 악용되거나 악용될 상당한 개연성이 있을 때 정보통신기기와 소프트웨어를 확인하기 위해 기술적으로 검증하는 권한도 구체화했다.

반면 국정원의 무분별한 사이버 안보 업무 수행을 엄격히 규제하는 법적 제약은 완화된 것으로 보인다. 현행 조항에 따르면 국정원법에 규정되지 않은 기관에 대한 정보통신망 접근 시도와 사이버 안보 정보 수집은 개별 법령에 근거가 있거나 해당 기관의 명시적 요청 또는 동의가 있어야만 가능하다. 개정안은 “국정원법의 운영 원칙과 다른 법률에 따른 적법 절차를 준수해야 한다”고 다소 일반적으로 규정했다.

야당 “법치주의 위배”
국정원 “사찰 아니다”

‘사이버 통제’ 강화

국정원의 사이버 안보 권한 강화는 자의적 판단에 따라 사이버 공간에서의 국내 정보 수집 등 민간인 사찰 수단으로 오남용될 수 있다는 우려가 시민사회에서 제기된다. 정부 기관의 사이버 보안 업무 전반에 대한 국정원의 관리·감독 기능 확대는 해당 기관을 통제하는 방향으로 작동할 가능성도 배제할 수 없어 보인다.

국정원이 야당과 시민사회 반발로 유사한 내용의 ‘국가사이버안보기본법’ 제정 추진에 어려움을 겪자 국회 의결이 필요 없는 시행령 개정으로 우회해 권한 강화를 시도한다는 지적도 나온다.

국회 정보위원회 야당 간사인 윤건영 더불어민주당 의원은 이날 기자에게 “국정원이 국내 정보 수집 기능 폐지, 내년 대공수사권 이전 등으로 축소된 권한을 사이버 안보를 명분 삼아 강화하려는 의도로 보여 우려된다”며 “법률이 위임한 권한을 뛰어넘어 사실상 사이버상 모든 정보를 수집·통제하는 컨트롤타워로 기능하겠다는 것은 윤석열 정부가 주장하는 법치주의에도 위배된다”고 밝혔다.

국정원은 “2020년 국정원법 전부 개정으로 국정원에 대한 강력한 통제 장치가 완비돼 민간 사찰과 국내 정보 수집 등 오남용 우려는 입법적으로 해소됐다”며 “(우려가 제기된) 조항들은 전자정부법과 정보통신기반보호법 등에 따라 국정원이 이미 수행 중인 사항으로 신설·강화 조항이 아니다”라고 밝혔다.

국정원은 또 “사이버 안보 업무규정은 국정원법에 따른 국정원의 사이버 안보 업무 직무수행 방식을 구체화하는 대통령령이라 사이버안보기본법 제정과는 무관하다”고 밝혔다.

박광연 기자 lightyear@kyunghyang.com