공공 클라우드 보안 정책 논란, 국정원 사이버보안 권한이 근본적인 문제다
– 국정원의 사이버보안 권한을 폐지하고 민주적 거버넌스를 구축하라 –
최근 정부가 공공 정보화 사업을 민간 클라우드 중심으로 전면 전환하려고 하면서 클라우드 보안 정책을 둘러싸고 논란이 발생하고 있다. 공공 클라우드 시장에 진입하기 위해서는 과학기술정보통신부가 관할하는 클라우드 보안인증(CSAP) 뿐만 아니라, 국가정보원(이하 국정원)이 수행하는 보안성 검증을 받아야 하기 때문에 기업들이 과도한 행정부담에 대한 불만을 제기하는 가운데, 이를 어떻게 개편할 것인지에 대한 논의가 진행되고 있다. 이 과정에서 공공 클라우드의 보안 인증을 국정원이 주도하는 제도로 일원화할 것인지, 아니면 보안 등급에 따라 체계를 달리할 것인지 이견이 있는 것으로 보인다. 이러한 문제의 근본적 원인은 국정원이 기관의 임무와 맞지 않게 공공 부문의 사이버보안 업무를 맡고 있기 때문이다. 보다 민주적인 국가 사이버보안 거버넌스를 구축하기 위해서 뿐만 아니라, 효과적인 사이버보안 체제 구축을 위해서라도 국정원의 사이버보안 권한을 제한하는 방향으로 국정원을 개혁할 것을 요구한다.
지난 문재인 정부 당시 국정원의 수사권을 폐지하는 방향으로 국정원의 개혁이 이루어졌다. 그러나 이를 위한 국가정보원법 개정 과정에서 그동안 법적 근거없이 국정원이 수행해오던 공공부문 사이버보안 업무를 공식적으로 국정원의 직무로 포함시키는 개악이 이루어졌다. 시민사회는 이에 대해 반대했지만 국정원의 수사권 박탈이라는 큰 변화 속에서 이에 대한 논의는 제대로 이루어지지 못했다. 그러나 국정원은 이후에도 공공 부문의 사이버보안 뿐만 아니라, 자신의 권한을 민간 부문으로까지 확대하기 위해 다양한 방식으로 노력하고 있다. 이번에 공공 클라우드 시장에 진입하려는 민간 업체에 대한 보안 인증을 국정원이 일원화하여 관할하려 하는 것도 그러한 노력의 일환이다.
그러나 우리가 누차 지적해왔다시피, 사이버보안 업무는 기본적으로 비밀 정보기관의 업무가 아니며, 기술적 측면에서는 민간의 사이버보안 업무와 크게 다를 바 없다. 특정한 사이버보안 사고가 국가 안보에 영향을 미칠 수는 있지만, 국가 안보에 영향을 미칠 가능성이 있다는 이유로 국정원의 관할이 되어야 한다면 민간의 정보통신망 역시 마찬가지일 것이다. 공공 부문의 사이버보안 역시 무조건 국가 안보와 직결되는 것은 아니다. 또한, 사이버공간은 공공과 민간 부문의 경계가 명확하지 않으며 보안 측면에서도 서로 영향을 주고 받을 수밖에 없기 때문에 공공과 민간의 협력과 정보공유가 중요해질 수밖에 없다. 이러한 사이버보안 업무에 기밀성과 암행성을 특징으로 하는 비밀 정보기관인 국정원이 효과적일 수는 없다. 무엇보다 공공 부문의 사이버보안 업무 역시 민주적으로 통제되어야 할 국가 업무인데, 국정원이 담당하게 될 경우 공공 부문의 투명성과 책무성을 담보하는데 한계가 있을 수밖에 없다.
따라서 국정원이 공공 클라우드의 보안 인증을 일원화하여 담당하는 것은 문제가 있을 뿐만 아니라, 나아가 국정원의 사이버보안 권한 자체를 폐지할 것을 요구한다. 최근 AI 기본법이 제정되었지만, 국방부 조차도 국방 AI 기본법을 만들겠다고 하는데, 국정원은 AI 기본법의 적용 대상에서 제외된 것만 보더라도, 한국 사회에서 국정원에 대한 민주적 통제는 여전히 한계가 있음을 알 수 있다. 이재명 정부에서 권력 기관의 민주적 통제를 제도화하고 헌정 질서를 회복하려는 다양한 노력이 이루어지고 있지만 국정원 개혁은 언급조차 되지 않고 있다. AI 기술의 발전에 따라 권력 기관의 감시 역량이 더욱 확대될 가능성이 크다는 점을 고려할 때, 국정원 개혁은 더이상 늦출 수 없는 과제이다. 국정원의 정보기관으로서 제 역할에 집중하고 민주적인 사이버보안 거버넌스가 이루어지는 방향으로 국정원을 개혁할 것을 촉구한다. 끝.
2026. 2. 27
국정원감시네트워크
민주사회를 위한 변호사모임, 민주주의법학연구회, 진보네트워크센터,
참여연대, 천주교인권위원회, 투명사회를 위한 정보공개센터, 한국진보연대