국가정보원이 이탈리아 "해킹팀"의 스파이웨어인 원격제어시스템(RCS)을 사용한 사실이 드러났다. 불법성에 대한 진상규명과 무관하게 19대 국회에서 여야는 다음 입법과제들을 완수하여 해킹팀을 둘러싼 국민들의 불안함에 대해 최소한의 예우를 해야 할 것이다.

첫째, 아르시에스 식, 즉 해킹방식의 국가감시를 허용할 것인지에 대한 논의를 시작해야 한다. 해킹은 감시의 깊이나 양적 측면에서 통신비밀보호법상의 감청이나 형사소송법의 압수수색 범위를 뛰어넘으며, 통신기기의 통제권을 잠탈한다는 면에서 패킷 감청의 그것마저도 뛰어넘는다. 컴퓨터가 가진 인류학적 의미를 고려할 때 컴퓨터에 대한 통제권을 취득할 경우 얻게 되는 정보의 양과 종류가 무한함은 말할 것도 없지만 쇼핑, 운송, 금융 등에 있어서도 소유주를 통제할 수 있다. 우리 형사소송법은 원칙적으로 모든 압수와 수색은 "범죄에 관련된 것"으로 한정되어서 이루어져야 한다고 되어 있는데 과연 이 원칙이 지켜질 수 있을까. 지금 우리나라 판사들에게 해킹 영장이 청구되면 허가하겠느냐고 설문을 해본다면 대부분 기각한다고 답할 것이다. 또 이렇게 통제권을 취득하는 방식은 정당한 증거에 대해서도 항상 조작의 의심을 가질 수밖에 없게 만들어 효율적인 증거취득 방식이 될 수 없다. 또 기기가 악성코드로 감염되면 그 기기의 보안 상태가 엉망이 되어 수사기관이 아닌 제3자에 의한 악의적 공격에도 취약해진다. 이런 이유로, 독일에서 테러 수사와 관련하여 악성코드를 심는 감시기법에 대해 논란이 되자 연방헌법재판소는 2008년 해킹은 일반 감청보다 훨씬 높은 기준을 충족할 때만 허용된다고 판결하여 실질적으로 해킹을 금지한 바 있다. 미국에서도 2013년부터 연방수사국(FBI)이 금융사기 조사를 위해 청구한 '해킹 영장'이 기각된 사례들이 나타나고 있다. 영국에서도 해킹 수사에 대해 위헌소송이 제기되자 법무부는 2015년 행동강령을 발표하였지만 국민들은 불충분하다며 거부하고 있다. 우리나라도 늦지 않게 검토가 필요하다.

미국 IT 매체 와이어드가 21일 공개한 자동차 해킹 시연 장면. (관련 기사)

둘째, 피감시자에 대한 통지의 개선이다. 해킹은 타깃에 대한 감시뿐만 아니라 타깃의 통신기기에 대한 통제권도 잠탈하는 것이기 때문에 통지의 필요성이 매우 크다. 확인컨대 "영장이 있다고 해서 증거를 훔칠 수는 없다." 그런데 선진국 중에서 거의 우리나라만 유일하게 수사가 완전히 종료된 후에야 통신 감시에 대한 통지가 이루어진다. 국정원처럼 수사가 수년을 끄는 경우도 많은데 피감청자는 이 기간 동안 감청당한 것도 모르고 살게 되고 심지어 기나긴 기간을 거치며 통지가 실수로 누락되기도 한다. 수사 종료에 관계없이 감시행위 종료 후 통지하도록 하는 통신비밀보호법 개정안은 19대 국회에 감시기법별로 4~5개씩 모두 17개가 발의되어 있다.(참여연대 이슈리포트 <국회 통과 기다리는 사이버사찰 방지 법안 17개>) 통지라도 제대로 이루어진다면 대상자의 저항이 두려워 수사기관들이 해킹을 자제하도록 하는 효과도 있을 것이다.

셋째, 피감시자의 신원 확인이 영장이나 통지 없이 이루어지는 문제를 해결해야 한다. 해킹은 타깃이 접촉한 수많은 죄없는 다른 사람들이 타깃과 나눈 대화를 엿들음으로써 그들의 프라이버시도 같이 침해하는데 이를 막는 유일한 방법은 통신 상대방의 익명성을 보장해주는 것이다. 2014년 10월에 노동당 정진우 부대표의 카톡 압수수색이 사람들을 분노케 한 이유도 카톡 내용 취득 자체보다도 수천 명의 단톡방원들의 신원정보를 당사자에게 아무런 통지나 절차 없이 취득했다는 점이었다. 2013년부터 해마다 평균 1천만명 가까운 사람들의 신원정보가 영장 없이 취득되고 있다. 이를 해결하기 위한 법안은 19대 국회에 무려 10개가 발의되어 있다.

* 이 글은 <한겨레>에 게재된 글입니다.