국가정보원이 '북한의 해킹' 공격을 언급하며 다시 한 번 사이버테러방지법 처리를 국회에 요청했다.
국정원은 11일 새누리당 단독으로 소집된 국회 정보위원회 전체회의 '긴급 현안보고'에서 다음과 같이 밝혔다. 정보위는 비공개로 열리는 탓에 이런 내용은 주호영 정보위원장(새누리당)과 정보위 새누리당 간사인 이철우 의원에 의해 전해졌다.
연합뉴스가 보도한 국정원 보고 내용을 정리하면 이렇다.
11일 열린 국회 정보위원회 긴급 현안보고에 참석하고 있는 새누리당 의원들. 왼쪽에서 두 번째는 김진섭 국정원 1차장. ⓒ연합뉴스
정부 주요 인사스마트폰 해킹
- 지난달 말부터 이번달 초까지 외교·안보라인 및 군 책임자 300여명의 스마트폰 해킹 시도.
- 이 중 40여명의 스마트폰을 성공적으로 해킹.
- 40여명의 통화내역과 음성통화 내용, 문자 메시지 내용 등을 가져간 것으로 파악
- '청와대와 외교부, 통일부 등을 사칭해 300여명에 대해 해킹 이메일을 심었다'
언론사 홈페이지 해킹
- 1월부터 언론사 홈페이지를 해킹, 특정 기사에 악성코드 유포
- 해킹 목표 대상자에 해당 기사로 접속을 유도함
- 한국인터넷진흥원이 일부 언론사에 해킹 사실을 통보했지만 후속 대응이 미흡해 지속적인 해킹을 당했음
- 언론사 홈페이지가 악성코드 유포 진원지 역할을 한 사례도 발견 됨
사이버 공격 횟수 증가
- 최근 한 달 사이 북한의 대남 사이버 공격 횟수가 2배 가량 증가
- 철도 교통관제 시스템 및 금융전산망 파괴도 시도했지만, 공안·정보 당국이 차단했음
- 국가기관을 사칭한 이메일 또는 수사기관이 제작한 듯한 해킹프로그램 점검도구를 가장한 파일을 첨부하는 수법
- 정보 보안업체에 대해 집중적으로 해킹을 시도하고 있음
- 하루 평균 수십만 건의 사이버테러와 해킹 시도가 집계되고 있음
- 이 중 1~2%는 방어 실패 사례가 있음
이병호 국정원장이 11일 오후 국회에서 열린 북한의 사이버테러 위협과 관련한 긴급 정보위원회 전체회의에 참석하고 있다. 뒤편은 김진섭 국정원 1차장. ⓒ연합뉴스
국정원은 "현재의 분산된 대응 체제로는 IP 해킹 공격 특성상 효과적인 대응이 어렵다"며 "효율적 통합 관리를 위한 근거법인 사이버테러방지법이 필요하다"고 주장했다.
다만 해킹 등 일련의 사이버테러가 '북한의 소행'이라는 근거는 별도로 언급되지 않은 것으로 보인다. 또 공격으로 인한 피해를 언제, 어떻게 파악했는지, 어떻게 수습·대처했는지 등에 대해서도 설명이 없다.
'사이버테러방지법이 없어서 사이버테러를 못 막았다'는 식의 주장도 검증이 필요한 대목이다. 이은우 변호사(정보인권연구소 이사)는 "지금도 정보통신망법과 정보통신기반보호법에서 해킹 등 정보통신망 침해 대응 방안을 규정하고 있다"고 지적한다.
반면 현재 논의되고 있는 '사이버테러방지법'에 대한 우려는 꽤 심각한 수준이다.
이 법에 따르면, 국정원은 실제 사건이 벌어지지 않아도 '사이버공격 위험'이라고만 판단되면 국가기관의 서버는 물론, 포털사이트나 쇼핑몰, 언론사 사이트, 메신저서비스 서버 등에 대한 '점검'과 '조치'에 나설 수 있다. '위험'인지 아닌지 판단할 권한은 국정원에게 있다.
네이버 다음 등 민간정보통신서비스 제공자의 관리를 미래창조과학부 방송통신위원회에서 국정원으로 옮겨 지휘하도록 막대한 권한을 주는 것이 적절한지도 우려스럽다. 이 법안대로라면 모든 민간 인터넷주소(IP주소)에 대한 실시간 추적시스템도 국정원이 가져갈 수 있고, 해킹과 바이러스까지 국정원이 조사하겠다고 나설 수도 있다. 국정원이 모든 사이버 공간을 손바닥 들여다보듯 상시 감시한다면 어쩔 것인가. (동아일보 사설 3월9일)
누구나 컴퓨터나 스마트폰에 한두 개쯤 백신 프로그램을 깔아 놓고 사용한다. (...) 그런데, 만약 그 백신 회사가 국가나 국정원이라면? 당신은 국가나 국정원에게 내 스마트폰이나 은행 전산망 관제를 맡기겠는가? (...) 그런데 지금 국회에서 통과시키려 하고 국민에 설치를 강요하는 사이버테러방지법은 바로 국정원이 백신 회사의 역할을 하도록 하는 법률이다. 차이라면 국정원은 백신 회사와 달리 사고가 나도 책임을 지지는 않는다. (이은우 변호사, 한국일보 2015년 12월6일)
관련기사 :