국가정보원이 사이버안보 업무를 체계적으로 수행하고 국제 해킹조직 활동을 선제적으로 무력화하기 위해 마련한 ‘사이버안보 업무 규정’ 개정령안이 법제처 문턱을 넘었다. 국정원은 외교적 문제를 불러일으킬 수 있다는 우려가 제기된 '국외 및 북한을 대상으로 공세적 조치를 할 수 있다’를 문구를 ‘필요한 조치를 할 수 있다’로 교체하는 등 일부 내용을 수정했다.
22일 정부 및 보안 업계에 따르면 정부가 제출한 ‘사이버안보 업무규정’ 시행령 개정령안이 최근 법제처의 심사를 통과했다. 국정원은 지난해 10월 27일부터 같은해 12월 6일까지 ‘사이버 안보 업무규정’ 시행령 개정안을 입법 예고하고 의견을 수렴했다. 국정원은 과학기술정보통신부 및 법무부, 국방부 등과 합의도 마쳤다.
정부는 사이버안보 업무를 효율적이고 체계적으로 수행하기 위해 시행령 개정을 추진했다. 아울러 국제·국가 배후 해킹조직 등의 활동을 선제적으로 무력화하고 중앙행정기관의 클라우드컴퓨팅 서비스 이용에 대한 보안 대책을 수립하고 검증하는 등 일부 미비점을 개선·보완하기 위한 개정령안을 제안했다.
국정원은 입법 예고 및 법제처 심사 과정에서 개정령안의 초안을 수정했다. 우선 ‘공세적 조치’ 문구가 삭제됐다. 초안에는 국제 및 국가 배후 해킹 조직 등의 활동을 선제적으로 확인·견제·차단하기 위해 국외 및 북한 소재 거점을 대상으로 추적, 무력화 등 ‘공세적 조치’를 할 수 있다는 내용이 담겼다. 일각에서 해당 문구가 외교 갈등을 일으킬 수 있다는 우려를 제기했고, 수정안에서는 ‘필요한 조치’로 대체됐다.
국정원은 각 기관의 보안 취약점을 발굴하고 개선하는 ‘보안 측정’ 조항도 고쳤다. 수정안에는 ‘항목·절차·시기 등을 중앙행정기관등의 장에게 미리 통보해야 한다’는 내용이 담겼다. 또 초안의 ‘기관장 등은 측정 결과를 통보받은 날로부터 3개월 이내에 국정원장에게 개선대책을 회신해야 한다’는 조항도 삭제됐다. 측정 대상 기관의 입장을 반영한 것이다.
기관의 사이버 보안에 대한 자체진단·점검 등을 심사하는 ‘실태 평가’ 조항도 초안과 달라졌다. 초안의 ‘필요한 경우 현장 확인을 할 수있다’, ‘기관의 장에게 자료의 제출을 요청할 수 있다’, ‘필요한 경우 해당 각급기관의 장에게 시정 등 필요한 조치를 권고할 수 있다’ 등 내용도 삭제됐다. ‘통합보안관제’ 조항에서도 ‘(국정원장의) 요청을 받은 클라우드컴퓨팅 서비스제공자는 정당한 사유가 없으면 그 요청에 따라야 한다’는 내용도 지워졌다. 민간 개입에 대한 우려를 최소화하기 위한 조치로 보인다. 초안에서 ‘국정원법의 운영 원칙과 다른 법률에 따른 적법 절차를 준수해야 한다’는 조항 대신 '국정원장은 각호의 지침 등을 수립·시행해야 한다'는 내용으로 대체됐다.
민주사회를 위한 변호사모임과 참여연대 등으로 이뤄진 국정원감시네트워크는 지난해 말 입법 예고 당시 "국정원이 공세적 조치 권한을 부여받아 국가 안보를 명분으로 정보기관 업무 범위를 벗어나 정치적 작전을 수행하지 않을 지 우려된다"면서 “개정령안을 전면 폐기해야 한다”고 주장했다. 일각의 우려를 감안하고 다양한 의견을 수렴해 문구를 수정하고 독소조항을 삭제한 만큼 개정령안은 차관 회의와 국무회의 의결을 거쳐 시행될 것으로 예상된다. 아울러 정부는 사이버안보 강화를 위해 사이버안보법 제정과 함께 국가안보실 산하에 국가사이버안보위원회 설치도 추진하고 있다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >