국가정보원이 ‘사이버안보 업무규정’ 시행령 개정안을 입법예고했다. 해킹과 관련된 “공세적 조치”를 취한다는 걸 필두로, 정부·지자체·공공기관에 대한 사이버안보 업무 관리·통제를 강화하는 내용이다. 정부기관의 정보통신기기·통신망 취약 요소를 발굴·개선하는 보안 측정은 국정원이 해당 기관과 협의하도록 하고 있으나, 개정안에는 협의 절차 없이 할 수 있도록 했다. 국정원의 무분별한 정보 활동 규제는 완화했다. 국정원법에 규정되지 않은 기관에 대한 정보통신망 접근 시도와 정보 수집은 개별 법령에 근거가 있거나 해당 기관의 명시적 요청·동의가 있는 경우에만 가능하도록 한 현재 조항을 ‘적법 절차를 준수해야 한다’는 표현으로 대체했다.
국정원은 “국가 전 영역에서” 해킹조직에 대응해야 한다며 시행령 보완 필요성을 밝혔다. 그러면서 이번 개정안이 민간으로 확대되진 않는다고 했다. 하지만 KBS·EBS, 과학·기술 관련 학회 등이 이미 적용 대상으로 돼 있고, 정부기관이 이용하는 민간 클라우드컴퓨팅서비스 영역이 새 적용 대상으로 포함된 터라 국정원의 “공세적 조치”가 민간과 정부의 경계를 엄격히 지키며 이뤄질지 의문이다. 국가사이버안보 업무의 기획·조정을 국정원이 당연히 하는 일인 것처럼 규정한 것도 문제다. 야당은 국정원이 낸 국가사이버안보기본법 제정안에 국정원을 사이버안보 컨트롤타워로 한다는 취지가 담겼다는 점에서 시행령을 통한 꼼수 입법이라고 비판했다. 현재 이 법안은 시민사회 우려 등으로 논의에 진전이 없다.
사이버안보 도전이 커진 만큼 국가 대응 역량도 높아져야 한다. 하지만 그것을 국정원 주도로만 추진하는 것이 우려스럽다. 애초 국정원법에 사이버안보 관련 정보 수집·작성·배포, 사이버 공격·위협에 대한 예방·대응을 국정원 직무로 규정한 것부터 시민사회는 문제제기를 한다. 밀행성을 속성으로 하는 정보기관이 이 업무를 주도할 경우 민간과 협력하기 어려워져 오히려 사이버안보에 부정적 영향을 미칠 수 있다는 것이다. 그것은 국정원에 대한 뿌리 깊은 불신과 관계있다. 국정원은 10·11 서울 강서구청장 보궐선거 직전에 중앙선거관리위원회 전산망이 해킹 가능하다고 일방적으로 발표해 선거에 영향을 미치려 한 것 아니냐는 의심을 받았다. 차제에 사이버안보 관련 논의를 국회 차원에서 근본부터 다시 할 필요가 있다. 시행령 개정은 그 후에 하는 것이 옳다.