정부가 사이버테러방지법으로 인터넷 감시를 강화하려 한다
〈노동자 연대〉 구독
각국 지배자들이 파리 공격을 기회로 디지털 감시를 다시 강화하려는 가운데 새누리당은 테러방지법 외에 사이버테러방지법도 제정하려 한다. 각국 지배자들은 에릭 스노든의 폭로로 국가기구의 디지털 감시가 주춤거리던 상황을 뒤집으려 한다.
최근 오바마는 “테러리스트들이 정의의 심판을 벗어나는 데 기술을 활용하기 어렵도록 첨단 기술 기업들과 사법 당국자들에게 조치를 취해야” 한다고 연설했다. 즉, 오바마는 암호화된 정보를 정부가 볼 수 있게 하는 ‘백도어’를 두라고 실리콘밸리 기업들한테 요구한 것이다.
사이버테러방지법도 다른 대테러 관련 법들과 마찬가지로 국정원에게 광범한 권한을 주는 것이다. 몇 가지 사례만 나열하면 다음과 같다.
-
국정원장 소속으로 “사이버안전센터”가 설치된다. 사이버안전센터는 사실상 사이버테러에 대응하는 사령탑이다. 필요에 따라 “민·관·군 합동대응팀”을 꾸려서 지휘할 수도 있다.
-
사이버안전센터가 지휘하는 민·관·군 합동대응팀에는 공공기관 외에도 통신사·포털·주요 쇼핑몰 같은 주요정보통신서비스 제공자들이 포함된다.
-
중앙행정기관의 차관급 공무원들이 모여 “사이버테러” 방지에 대한 중요 사항을 심의하는 “사이버안전전략회의”의 의장 역시 국정원장이다.
-
국정원장은 “사이버테러”가 벌어질 시 직접 사고 조사를 지휘할 수도 있다.
-
사이버위기경보를 발령하는 주체 또한 국정원장이며, “사이버위기대책본부”의 장 역시 국정원장이다.
-
“사이버위협정보”를 “공유”하는 국정원장 소속의 “사이버위협정보 공유센터”도 생긴다.
물론 국정원은 이미 시행중인 대통령훈령인 국가사이버안전관리규정으로도 많은 권한을 누리고있다. 그러나 국가사이버안전관리규정이 공공기관의 정보통신망에만 적용되는 행정규칙이라면, 사이버테러방지법은 민간 통신망까지 아우르는 법률이다. 결국 사이버테러방지법은 정보통신망 전반에 대한 사찰과 정보 수집을 상시적으로 할 수 있는 권한을 국정원한테 주는 법이다.
카카오톡 감청
국정원은 사이버테러 예방을 핑계로 ‘보안관제 시스템’을 이용해 어마어마한 정보를 빨아들일 것이다.
보안관제 시스템은 해킹 등을 탐지·분석·대응하는 시스템을 말한다. 이를 위해 보안관제 시스템은 IP 주소 같은 사용자들의 접속 정보나 패킷, 다운로드한 파일 등을 수집하거나 실시간으로 분석한다. 최근에는 트래픽을 모두 저장해 시간이 지난 후에도 당시 상황을 재현할 수 있는 제품도 나왔다.
보안관제 시스템은 꼭 ‘보안’에만 사용되는 것은 아니다. 특정인을 감시·추적하는 용도로 전환하기 매우 쉽기 때문이다. 몇 가지 설정만 하면 특정인이 방문한 사이트 목록, 다운로드 받은 파일 등을 조사할 수 있다. 특정인과 연결된 IP와 그 IP와 연결되는 또 다른 IP를 추적하는 식으로 감시를 확대할 수도 있다. 2012년 MBC 파업 당시, MBC 사측은 이메일·메신저 대화 등을 수집할 수 있는 “보안” 프로그램을 노동자들의 컴퓨터에 몰래 설치했다가 노동조합에 들킨 적이 있다.
얼마든지 ‘보안’ 이외의 용도로 활용될 수 있고, 이미 그렇게 활용되고 있는 보안관제 시스템을 국정원이 이용하면 어떤 일이 벌어질지는 안 봐도 비디오다.
게다가 국정원은 국내 보안제품을 인증하는 심사를 한다. 심사 과정에서 국정원은 보안제품의 소스코드까지 받을 수 있다. 즉, 보안제품의 내부 구조를 훤히 알 수 있다는 것이다. 그래서 국정원은 보안관제 시스템의 기능과 가능성에 대해서도 상세히 알고 있을 것이다.
이미 공공기관의 정보통신망에는 국가사이버안전관리규정에 따라 보안관제 시스템을 갖춘 보안관제센터가 구축돼 있다. 사이버테러방지법이 통과되면, 민간 사업자인 통신사·포털·메신저·주요 온라인 쇼핑몰들도 ‘사이버테러’를 예방하기 위한 보안관제센터를 구축해야 한다. 국정원은 이를 이용해 엄청난 정보를 수집할 수 있다.
사이버테러방지법은 국정원이 스스로 해킹을 자행하는 데에도 도움이 될 것이다. 카카오톡 같은 서비스가 국정원에게 자기 소프트웨어의 보안상 취약점을 보고해야 하기 때문이다. 국정원은 이렇게 알게 된 취약점을 이용해 사찰 대상의 카카오톡을 해킹하거나 감청할 수 있다.
이미 미국에서 국가안보국(NSA)이 그렇게 하고 있다. NSA는 11월 초에 자신들이 발견한 보안 취약점의 91퍼센트를 제조사나 관련 회사들에게 알려 준다고 밝힌 바 있다. 뒤집어 말하면 9퍼센트는 NSA 자신이 활용하려고 간직하고 있다는 말이다. 게다가 미국의 정부의 전·현직 관료들에 의하면, NSA는 취약점을 먼저 공격에 활용해 본 다음에 업체에 통보한다.
왜곡 전파
“사이버테러” 규정이 굉장히 포괄적인 문제도 있다. 사이버테러방지법은 “전자적 수단에 의하여 정보통신시설을 침입·교란·마비·파괴하거나 정보를 절취·훼손·왜곡전파하는 등 모든 공격행위”를 사이버테러로 규정한다.
우선, 정보의 “왜곡 전파”를 테러로 규정한다는 점이 눈에 들어온다. 온라인 상에서 정부나 기업에 대한 비판을 탄압하는 근거가 되기 쉬운 규정이다. 정부는 미국산 쇠고기 반대 촛불집회나 세월호 참사, 메르스 유행과 같은 사건이 터질 때마다 “괴담”이나 “유언비어 유포자 처벌”을 운운하며 언론·표현의 자유를 탄압해 왔다.
해킹 등의 공격도 모두 테러로 간주된다. 그러나 이런 공격이 현실에 끼치는 영향에 견줘, 이를 ‘테러’로 보는 건 비약이다. 물론 해킹 등으로 인한 피해는 사소한 성가심에서 재산상의 피해에 이르기까지 다양하지만, 이것은 “테러”에 비견할 만한 것이 아니다. 인터넷이 보급된 이래 무수히 많은 해킹·보안사고가 벌어졌지만 그로 인해 인명피해까지 발생한 경우는 없다.
물론 사회 기반 시설에 대한 해킹이 불가능한 것은 아니다. 그러나 그런 해킹을 할 수 있는 자는 어두운 방 안에서 카페인 음료를 마시며 모니터를 응시하는 컴퓨터 천재나 테러리스트 그룹이 아니라 바로 국가기관이다. 브루킹스 연구소의 P W 싱어는 《사이버보안과 사이버전》에서 사회 기반 시설에 대한 해킹 공격에 대해 다음과 같이 설명한다.
“[발전소를 멈추거나 핵 원심분리기를 망가뜨리기 위해] 필요한 기술과 수단은 단지 컴퓨터 시스템에 침투하기 위한 것에 그치지 않는다. 일단 침투한 다음에 무엇을 할지도 알아야 한다.
“진정한 손상을 일으키려면 설비 자체를 잘 알아야 한다. 그것의 작동 방식과 공학, 근저에 있는 물리학을 말이다. 예컨대 스턱스넷*에는 사이버 전문가들뿐만 아니라 핵물리학자들, 지멘스 사에서 만든 특정한 종류의 장비를 잘 아는 엔지니어들이 관여했다. 이런 전문성을 갖춘 다음엔 공격 목표인 실제 설비로 값비싼 테스트를 수행해야 했다.”
물론 한국 정부는 크고 작은 해킹 사건이 벌어지면 줄곧 북한 소행이라고 발표한다. 그러나 이를 뒷받침할 결정적인 증거를 제시한 적은 없다. 정부의 발표를 믿는다고 해도 그런 사건들을 테러에 비견하기도 힘들다.
이처럼 “사이버테러”는 디지털 감시와 탄압을 강화하기 위한 핑계에 불과하다. 사이버테러방지법은 단지 사이버 공간에서 벌어졌다는 이유로 온갖 사건을 사이버테러로 간주해 국정원이 개입할 통로를 만들고 민주적 권리를 억누르기 위한 법이다.