[비즈니스포스트] '해킹당한 것 같은데, 서버(컴퓨터) 좀 들여다봅시다.'
 
해킹 정황 의심 만으로 국가기관이 현장조사를 하겠다며, 통신·금융·플랫폼 사업자 등 민간기업 서버(컴퓨터)를 강제로 직접 들여다볼 수 있게 하는 법이 지난 12일 국회 본회의를 통과했다. 공포 6개월 뒤부터 시행된다.

입법 과정에서 국가기관, 특히 권력기관의 악용 가능성 지적이 많았다. 조지 오웰 소설 '1984' 속 '빅 브라더'를 등장시킬 수 있다는 우려도 나왔다. 하지만 지난해부터 SK텔레콤과 쿠팡 등 주요 이동통신·금융·플랫폼 기업을 중심으로 줄줄이 터진 해킹 및 개인정보 대규모 유출 사태에 밀렸다.

정보인권 보호 활동을 펴는 시민단체들과 기업들은 여전히 '빈대 잡으려다 초가삼간 태우는' 부작용을 부를 수 있다고 지적한다. 해당 조항 시행령과 시행규칙 마련 과정에서 국가기관의 악용 같은 부작용을 막을 장치가 촘촘히 마련돼야 한다는 주문이 나온다.

19일 과학기술정보통신부와 국회 과학기술정보방송통신위원회에 따르면, 해킹(침해) 사고 발생을 의심할 만한 정황이 있으면 실제 발생 여부와 원인을 조사하고, 필요하면 공무원이나 민관합동조사단이 현장조사를 할 수 있게 하는 조항이 신설된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정안'이 지난 12일 국회 본회의를 통과했다.

정부와 국회 측은 "정보통신서비스 제공자가 해킹 발생 사실을 알면서도 신고하지 않거나 지연하는 사례가 발생하고 있어, 해킹 사고가 발생하였다고 의심할 만한 정황이 있는 경우, 침해사고 발생 여부를 조사할 수 있도록 할 필요가 있다는 지적에 따른 것"이라고 설명했다.

여기서 정보통신서비스 제공자란 통신서비스 사업자(통신사)와 통신사 통신서비스를 활용해 영리 목적으로 정보를 제공하거나 정보 제공을 매개하는 자를 뜻한다. 사실상 거의 모든 정부기관과 민간기업 서버가 적용 대상이라는 뜻이다. 당연히 언론사도 포함된다.

새 정보통신망법에는 정보통신서비스 제공자의 고의 또는 중과실로 침해 사고가 5년 이내 기간 동안 2회 이상 발생한 경우에는 매출액의 3%까지 과징금을 부과할 수 있게 하는 조항도 담겼다.

과기정통부 측은 "새 정보통신망법 신설 조항의 적용 대상은 침해사고가 발생하거나 발생했다고 의심할 만한 정황이 있는 경우"라며 "해당 조항에 대한 시행령을 마련하는 절차를 거쳐 6개월 뒤부터 적용된다"고 설명했다.

이번 정보통신망법 개정은 지난해 9월 최민희 국회 과학기술정보방송통신위원장(더불어민주당)이 상임위 전체회의에서 "정부가 침해사고 정황만으로도 기업 서버 등을 조사할 수 있도록 법을 개정하겠다"고 밝히면서 공식화됐다.

당시 최 위원장은 "고객 개인정보를 포함한 자사 정보 유출을 은폐하거나 침해 사실 정황이 드러났음에도 기업의 손실을 막기 위해 신고하지 않는 상황을 우려해 정보통신망법 제48조의4와 관련해 침해사고 시 기업을 출입해 조사할 수 있는 권한을 부여하는 개정안을 준비하고 있다"고 했다.

이후 황정아 의원이 정보통신망법 개정안을 대표 발의했고, 일사천리로 처리됐다.

지금은 기존 정보통신망법에 따라 해당 기업의 해킹 사고 발생 신고가 있어야 정부가 민관합동조사단 구성 등을 통해 공식 조사에 나설 수 있다. 자진 신고가 없는 상태에서는 자료 제출 요구 등을 통한 사실 조사 내지 실태 파악 정도만 할 수 있다.

당시 최 위원장 발언은 앞서 공개된 미국 해킹 전문지 '프랙(Phrack)' 보고서에서 비롯됐다. 그는 "프렉 보고서에 따르면 한국 정부기관과 KT·LG유플러스 등 민간기업이 해킹을 당한 것으로 드러났다"며 과기정통부에 철저한 조사를 촉구했다.

이에 대해 류제명 과기정통부 2차관이 "KT와 LG유플러스가 자진 신고를 하지 않아 사실조사에 그치는 상황이다. 법적 근거를 갖고 공식 조사를 하기 위해 사업자들에게 자진 신고를 권유했으나 동의하지 않았다"고 설명하자, 최 위원장이 정보통신망법을 개정해 기업이 자진 신고를 하지 않아도 정부가 공식 조사를 할 수 있게 하겠다고 밝힌 것이다.

앞서 프랙 보고서는 'KT 원격제어 서비스(rc.kt.co.kr)에 사용된 인증서와 개인 키가 외부로 유출됐다'고 밝혔다. 또 해커가 LG유플러스 협력사 '시큐레키(SECUREKI)'를 해킹한 뒤, 이를 통해 LG유플러스 내부망에 침투해 다수의 계정과 비밀번호가 담긴 'account.txt' 파일을 확보했다고 했다.

KT와 LG유플러스는 프랙 보고서 내용에 대해 "침해 사고와 거리가 있다"고 반박했다. 당시 KT는 언론에 "침해 사실이 확인된 바 없고, 정부 조사에 적극 협조하고 있다"고 밝혔다. LG유플러스는 "조사가 진행 중인 사안이다. 적극 협조하고 있고, 아직 특이 사항이 없다"고 밝혔다.

하지만 최 위원장은 "유출된 자료가 KT와 LG유플러스 자사 정보와 일치하는 것으로 보여 침해 사고가 있었다고 밖에 볼 수 없다"며 공식 조사 압박을 이어갔다. 이후 프랙 보고서 내용 중 상당부분이 사실로 확인됐다.

인증서 관리 소홀로 KT 통신망에 유령(불법) 기지국이 침투했고, 이를 통한 무단 소액결제 사태로 가입자들이 수억 원의 금전적 피해까지 발생한 것으로 드러났다.

해킹 정황 의심 만으로도 국가가 민간의 서버까지 당사자의 신고와 상관없이 들여다볼 수 있게 해야 한다는 주장에 힘이 실렸다. 그리고 정부가 '해킹 정황 의심'을 앞세워 검문하듯 민간기업의 서버까지 엿볼 수 있는 법적 근거가 만들어졌다.

그동안 '말도 안되는 시도'라고 주장하던 주요 통신·금융·플랫폼 사업자들도 해킹 및 가입자·이용자 개인정보 대량 유출 사태를 줄줄이 일으킨 '죄' 탓에 법 개정 과정에서 끽 소리조차 내지 못했다.
  법이 통과된 지금, 이젠 어찌해야 할까.

우선 법 시행 과정에서 악용 가능성과 부작용이 없게 해야 한다. 시민의식 발휘가 필요하다. 자식들이 살아갈 세상에 '빅 브라더'가 등장할 수 있게 둘 수는 없지 않은가.

날카로운 칼도 범죄 행위에 사용하면 흉기가 되고, 주방에서는 요리 도구로 활용된다. 새 정보통신망법 신설 조항도 운용하기에 따라서는 순기능이 더 크게 쓰일 수 있다.

주요 통신·금융·플랫폼 사업자 대상 해킹은 국가 경제는 물론 가입자·이용자들에게 '재난'에 가깝다. 개인정보 유출을 동반하고, 유출된 개인정보 거래나 악용 등 2차 피해를 일으킨다.

가입자·이용자들이 마음을 졸이고, 사업자를 바꾸거나 피해 예방을 위해 오픈런을 하는 사태까지 벌어진다. 지난해 SK텔레콤 가입자 이탈과 지금도 이어지는 '탈팡'(쿠팡 탈퇴) 행렬이 대표적이다.

국가 안보를 위협하기도 한다. KT·SK텔레콤·LG유플러스 등 통신 3사 통신망은 국가 기간통신망의 중추다. 한 사업자 통신망이라도 해커 손에 넘어가면, 국가 안보와 경제는 물론 시민 일상과 생존기반 등까지 위기로 몰릴 수 있다.

통신망 보안이 담보되지 않으면 이재명 정부 들어 가열차게 추진 중인 '모두의 AI'도 사상누각이 될 수밖에 없다.

해킹을 당해 서버가 뚫린 사실을 알면서도 신고하지 않아 초기 대응을 제대로 하지 못하면 피해는 더 커진다. KT가 해킹 사실을 쉬쉬하며 초기 대응을 소홀히하다 가입자들이 무단 소액결제를 통해 수억원에 달하는 금전적 피해까지 당하게 한 게 대표적이다.

다만, 절차와 과정이 투명하고, 민주주의 시스템이 건강하고 긴장감 있게 작동되고 있다는 전제가 있어야 한다. 일단 시행령 마련 과정부터 투명하고, 충분한 논의 과정을 거칠 필요가 있다. 공론화 과정이 충분해야 촘촘해질 수 있다.

무엇보다 독재 권력을 꿈꾸는 자나 권력기관이 악용하지 못하게 해야 한다. 부정 선거 음모론을 근거로 군을 보내 헌법기관인 선거관리위원회를 장악하고 서버를 통채로 복사하려고 했던 세력이 이 조항을 어찌 활용하고 싶어 할 지는 너무나도 뻔하다.
 

정보인권 보호 활동을 펴는 시민단체 활동가와 주요 통신·플랫폼 업계 관계자들의 말을 종합하면, 국가정보원과 경찰 등 국가기관들은 그동안 통신사와 금융회사 등을 포함한 민간 전산망에 합법적으로 접근할 수 있는 권한을 갖기 위해 애써왔다.

보안·정보보호 기술을 지원하고, 해킹 발생 시 신속히 대처해 해커를 추적하고 피해가 확산되는 것을 막기 위한 것이라고 설명하지만, 다른 속내가 있다는 분석도 많았다. 통화내역과 금융거래 등 민간이 갖고 있는 가입자·이용자 개인정보에 접근할 수 있는 통로를 열기 위한 것일 수 있다는 지적도 있었다.

더욱이 이동통신사들은 'AI 비서' 서비스를 빙자해 통화내역에 더해 통화 내용까지 서버에 저장하기 시작했다. SK텔레콤는 '에이닷'과 LG유플러스의 '익시오' 가입자들의 통화내용을 6개월 저장한다.  

현재 국정원은 국가·공공기관 전산시스템의 보안과 정보보호를 책임지고 있다. 국가·공공기관에 전산시스템 장비나 소프트웨어 등을 납품하려면 국정원의 정보보호 기준을 충족해야 하고, 실증 테스트도 받아야 한다.

또 보안과 정보보호 등에 사용한 암호 키를 국정원 측에 맡겨야 한다. 국정원 측은 "해킹 공격 등에 대비하고, 사고 발생 시 신속한 대처와 조사를 위해서"라고 설명한다.

국정원은 민간기업에 대해서도 이런 권한을 가지려고 시도해왔다. '사이버 안보' 등을 명분으로 관련 법 제·개정을 추진하기도 했다. 물론 정보인권 보호 활동을 펴는 시민단체들과 해당 기업 쪽 반발과 우려로 번번이 좌절됐다.

공교롭게도 이번 정보통신망법 개정은 이런 국가기관들이 그동안 시도했던 방향과 상당 부분 일치한다. 해킹 발생 의심 정황 만으로도 정부가 공식 조사에 나설 수 있게 한 대목이 그렇다.

해킹 현장조사 주체를 과기정통부와 한국인터넷진흥원(KISA) 으로 국한하는 방식으로 국가 권력기관 개입을 배제하면 되지 않겠느냐고 항변할 수도 있다.

하지만 민간기업과 정보인권 보호 시민단체 쪽은 인터넷진흥원 뒤에 국정원이 있다고 의심한다. 특히 과기정통부와 인터넷진흥원은 물론 민관합동조사단까지도 '같이 봅시다'는 국가 권력기관 측 요청을 감히 거부할 수 있겠느냐는 의심이 많다.

오병일 진보네트워크센터 대표는 비즈니스포스트와 통화에서 "이유와 명분이 어찌됐든, 정부가 민간기업 전산망에 접근하려고 시도하는 것 자체가 문제라고 본다. 해당 민간기업의 자진 신고나 동의가 없는 한 자료 공유 내지 제출 수준에 그쳐야 한다"고 주장했다.

통신사 관계자는 비즈니스포스트와 만나 "사실상 국가 권력기관이 가입자들의 통화내역과 통화내용까지 담긴 통신사 내부 서버를 들여다볼 수 있게 된 꼴"이라며 "정보인권 시민단체들이 시행령 입법 과정을 잘 지켜보고, 황정아 더불민주당 의원 등 이번 정보통신망법 개정안을 발의한 국회의원들도 끝까지 책임지는 자세로 시행령 개정 과정이 투명하게 진행되도록 관심을 가져야 한다"고 말했다. 김재섭 선임기자