[비즈니스포스트] 급기야 정부가 '범 부처 정보보호 종합대책'(이하 정부 대책)을 내놨다.

이동통신 3사 통신망에 이어 롯데카드 등 금융망과 정부 행정전산망까지 뚫려 가입자들과 국민의 민감한 개인정보가 유출되는 사태가 잇따르자 서둘러 팔 걷고 나서는 모습이다.

지금 꼴을 방치했다가는 이재명 정부 들어 야심적으로 추진 중인 'AI 3강'과 '모두의 AI' 정책 역시 사상누각(모래 위 성) 꼴로 전락할 수밖에 없다는 지적을 피하기 어렵다고 판단한 것으로 보인다.

대통령실 국가안보실이 주도하고, '음지에서 일하는' 국가정보원까지 전면으로 나섰다. 전산시스템 보안과 정보 보호를 '국가안보' 수준 사안으로 보고 접근하는 모습이다.

정부 대책의 목표에는 전산시스템 보안과 정보 보호를 '비용'이 아닌 '투자'로 보고 적극적으로 나서게 만들겠다는 대목도 포함됐다. 예산 편성 시 뒤로 밀리지 않게 하겠다는 의지를 내보인 것으로 보인다.

전산시스템 보안과 정보 보호가 담보되지 않은 상태에서의 AI 서비스 대중화는 국가안보 위협 및 인터넷 대란과 행정서비스 먹통 같은 재난 사태를 더 심각하고 광범위한 상태로 부를 수 있다는 점에서 정부 종합대책이 실효성 있게 추진되길 기대한다.

다만, 사태의 시급성을 이유로 부처 이기주의 내지 아이디어 차원에서 검토되던 것까지 줄줄이 모아 담은 듯한 모습은 아쉽다.

민간의 주민등록번호 수집 금지 및 파기, 가입자 개인정보 암호화 및 분리 저장·관리 등 보다 근본적인 부분은 놔둔 채 담벼락 높이기와 자물쇠 수만 늘리는 처사란 지적도 나온다.

특히 '해킹 정황' 발견 시 정부가 당사자 신고나 동의 없이 민간 전산망도 들여다보겠다고 밝힌 것을 두고는, 자칫 조지 오웰 소설 '1984' 속 '빅 브라더'를 부를 수 있다는 우려까지 나온다.

앞으로 큰 논란이 예상된다.

정부는 국가안보실을 중심으로 국가정보원, 과학기술정보통신부, 금융위원회, 개인정보보호위원회, 행정안전부 등 관계 부처 합동으로 민간과 공공을 아우르는 범 부처 정보보호 종합대책을 수립했다고 지난 22일 합동 브리핑을 열어 밝혔다.

정부는 "사안의 시급성을 고려해 즉시 실행할 수 있는 단기 과제 위주로 제시했다"며 "추가로 중장기 과제를 망라하는 '국가 사이버안보 전략'을 연말까지 수립할 계획"이라고 설명했다.

직접 당사자인 기업과 정보인권 보호 활동을 펴는 시민단체 쪽 평가는 엇갈린다. 

국가 기간통신망과 금융망 보안과 정보 보호는 아무리 강조해도 지나치지 않는다는 측면에서는 긍정적이다. 대통령실 국가안보실이 앞장을 서, 세부 대책 마련과 실행 속도가 빠를 것으로 기대한다.

반면 '해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 정부의 조사 권한을 확대한다'는 부분을 두고는 뒷말이 많다.

'빈대 잡으려다 초가삼간 태우는 우를 범할 수 있다'는 지적까지 나온다.

해킹 공격이나 인터넷 대란 발생 징후 발견 시 시급한 대처를 위해서는 정부가 민간 전산망도 들여다볼 수 있게 해야 한다는 주장은 2000년대 초 서비스거부공격(DDos)으로 인터넷대란이 발생했을 때부터 제기돼왔다.

그동안은 국가정보원과 경찰 등이 물밑에서 필요성을 주장하고, 관련 법안 제정과 개정 등을 시도해온 것으로 알려졌다.

하지만 기업 쪽 반발과 정보인권 보호 활동을 펴는 시민단체 쪽의 반대 노력으로 번번이 무산돼왔다.

2010년대 초반 해킹 공격과 개인정보 유출이 잇따를 때도 그랬다.

이재명 정부 들어 SK텔레콤과 KT에 이어 LG유플러스 통신망까지 뚫리는 등 국가 기간통신망 보안이 허술한 것으로 드러난 데 이어 롯데카드 전산시스템과 국가 행정전산망도 해킹을 당한 것으로 밝혀지면서 같은 주장이 다시 불거졌다.

그동안은 최민희 더불어민주당 의원(국회 과학기술정보방송통신위원회 위원장)이 필요성을 주장하고, 배경훈 부총리 겸 과학기술정보통신부 장관이 최 의원 질의에 답변하는 식으로 이에 호응하는 수준이었다.

하지만 지난 21일 국회 과방위의 '해킹 국감'을 계기로 도입에 속도가 붙는 모습이다.

최민희 의원은 이날 해킹 국감에서 해킹 정황 발견 시 정부의 민간 전산망 직권조사를 가능하게 하는 법안을 발의했다고 밝혔고, 다음 날 정부는 정보보호 종합대책을 발표하며 이를 포함시켰다.

정부 관계자는 비즈니스포스트에 "통신사와 금융사 등 민간 전산망 직권조사는 한국인터넷진흥원(KISA) 전문가 등 제한된 인력이 엄격한 절차를 거쳐 맡게 될 것"이라고 설명했다.    

하지만 민간기업과 정보인권 보호 시민단체 쪽은 인터넷진흥원 뒤에 국정원이 있다고 의심한다. 특히 과기정통부와 인터넷진흥원은 물론 민관합동조사단까지도 국정원과 경찰 등의 물밑 요청을 거부할 수 있겠느냐는 의심이 많다.

오병일 진보네트워크센터 대표는 "이유와 명분이 어찌됐건, 정부가 민간 전산망에 접근하려고 시도하는 것 자체는 문제다"라고 강조했다.

한 대학교수는 비즈니스포스트와 통화에서 익명을 전제로 "국가정보원과 경찰 등은 정보 수집 본능이 있다. 사회적으로 통화내역과 금융거래 정보 등이 담긴 전산시스템을 내보여도 된다고 할 정도로 이들 기관의 신뢰 회복 노력이 있었던 것도 아니지 않느냐"고 짚었다.

다른 시민단체 활동가는 "정부가 해킹 정황을 이유로 통신사와 금융사의 전산망에 대한 직권조사를 할 때 국정원과 경찰 등이 통화내역이나 금융거래내역 자료에 눈길을 주지 않는다고 장담할 수 있냐. 정보 수집 본능을 가진 국정원과 경찰을 어찌 믿을 수 있겠냐"고 의문을 제기했다.
 

SK텔레콤이 지난 4월 해킹 및 개인정보 유출  사태 초기 국정원과 인터넷진흥원 쪽의 기술지원 제안을 거절한 것도 이런 배경으로 해석되고 있다.

시민단체 활동가들은 "국가정보자료관리원 대전 본원 화재 사태로, 국가정보원이 전산망 보안과 정보 보호 관리을 총괄하는 행정전산망도 뚫린데다, 행정전산망 서버와 리튬이온 배터리를 한 공간에 두고 전산시스템 이중화와 데이터 백업 등 데이터센터 운용 기본 지침조차 안지키는 등 관리가 엉터리인 것으로 드러나지 않았냐"는 주장도 편다.
   
정부가 해킹 정황을 명분으로 민간 전산시스템에 대한 직권조사를 할 수 있게 하는 것은 사회적으로 매우 민감한 사안으로, 정부 대책에 끼워넣는 형태로 스리슬쩍 추진되면 절대 안된다는 지적이 나오는 배경이다.

시민 참여 형태의 공청회 등 적극적인 공론화 과정을 거쳐야 한다는 것이다.

최 의원이 지난 9월2일 과방위 전체회의에서 '정부가 (해킹) 정황만으로도 직접 조사에 나설 수 있어야 한다. 관련 법 개정을 추진하겠다. 고객 개인정보를 포함한 자사 정보 유출을 은폐하거나 침해 사실 정황이 드러났음에도 기업의 손실을 막기 위해 자진신고 하지 않는 상황을 우려해 정보통신망법 제48조의4와 관련해 일반침해사고 시 기업을 출입해 조사할 수 있는 권한을 부여하는 개정안을 준비하고 있다'고 했을 때, 비즈니스포스트는 '빅 브라더'를 부를 수 있다고 짚었다.

하지만 최 의원은 아랑곳하지 않고 법안을 발의했고, 정부는 종합대책에 포함시켜 추진하겠다고 발표했다. 그 과정에서 공청회 등 공론화 노력은 없었고, 계획도 내놓지 않고 있다. 

공론화의 장이 열리길 바라는 마음으로 다시 짚는다. 김재섭 선임기자