“쿠팡 때 혼선 막는다?”…국정원 ‘의심 조사’ 확대, 경제안보 명분에 권한 논쟁 재점화

[이데일리 김현아 기자] 어제(7일) 국회 정보위원회를 통과한 국가정보원법 개정안을 두고 정보기관의 민간 영역 개입 범위가 과도하게 확대되는 것 아니냐는 논란이 커지고 있다.

개정안은 국정원의 직무에 경제안보 정보 수집·분석 기능을 명시하고 반도체·배터리·에너지·핵심광물 등 전략 산업 공급망 전반을 포함하도록 했다.

특히 본회의까지 통과될 경우 북한 등 국가 배후 해킹조직이 개입한 것으로 ‘의심되는’ 개인정보 대량 유출 사고까지 국정원의 직권 조사 대상에 포함된다. 다만 이 과정에서 ‘의심’의 판단 기준이 법적으로 명확하지 않다는 점이 핵심 쟁점으로 떠오르고 있다.

출발점은 ‘쿠팡 사태’…과기정통부 중심 대응 과정서 역할 혼선

이번 개정 논의의 직접적인 배경에는 2025년 말 발생한 쿠팡의 대규모 개인정보 유출 사건이 있다. 약 3,300만~3,400만 명 규모의 정보가 유출된 이 사건은 초기 대응 단계에서부터 과학기술정보통신부를 중심으로 한 정부 대응 체계와 기업 역할이 엇갈리며 혼선이 발생했다.

당시 과기정통부는 국회 보고 과정에서 공격 기간과 침해 규모를 공개하며 민관합동조사단을 중심으로 대응 상황을 관리했다. 하지만 쿠팡이 자체 조사 결과를 근거로 대응 과정 일부를 설명하면서 “정부 기관(국정원) 지시에 따른 공조”가 있었다는 취지의 입장을 내놓아 논란이 커졌다.

이에 대해 과기정통부와 경찰, 국정원은 일제히 “특정 행위를 지시한 사실은 없다”는 입장을 밝혔다. 특히 국정원은 “지시를 내릴 법적 위치에 있지 않으며 실제 지시도 없었다”고 선을 그었다.

하지만 결과적으로 과기정통부 중심의 민관합동 대응 구조 속에서 기업·정부 간 역할과 책임 범위가 명확히 정리되지 않은 채 설명이 엇갈린 것이 드러났고, 초기 대응 체계의 구조적 불명확성이 논란으로 이어졌다.

[이데일리 김일환 기자]

“쿠팡식 혼선 방지” 취지에도…기준 불명확성 확대 우려

국정원의 국가적인 해킹 발생시 초기 개입 범위를 넓혀 유사 혼선을 줄이겠다는 취지와 달리, 현장에서는 오히려 새로운 혼선이 발생할 수 있다는 우려도 제기된다.

김승주 고려대 정보보호대학원 교수는 8일 페이스북 글에서 핵심 문제로 ‘의심되는’이라는 표현의 불명확성을 지적했다.

김 교수는 “법안이 국회 본회의를 통과할 경우 북한 등 국가 배후 해킹조직의 소행으로 ‘의심되는’ 개인정보 대량 유출 사고까지 국정원의 직권 조사 대상에 포함된다”고 설명했다.

이어 그는 가장 큰 문제로 ‘의심되는’이라는 표현의 모호성을 지적했다. 그는 “단순한 정황만으로도 가능한 것인지, 아니면 일정 수준 이상의 기술적 증거와 포렌식 근거가 필요한 것인지 기준이 불분명하다”고 말했다.

또한 “더 큰 문제는 실제 증거를 확보하기 위해서는 결국 먼저 조사 권한이 행사될 수밖에 없다는 점”이라며 “결국 ‘의심’을 근거로 조사를 시작하고, 그 결과로 다시 의심을 입증하는 구조가 될 수 있다”고 우려했다. 이어 “이 경우 권한이 스스로를 정당화하며 확대되는 자기 강화 구조로 이어질 수 있다”고 지적했다.

김승주 고려대 정보보호대학원 교수

개인정보 다루는 통신사, 네·카오까지 확대 가능성…민간 전반 긴장

업계에서는 이번 개정안이 현실화될 경우 영향 범위가 특정 기업에 국한되지 않고 플랫폼 산업 전반으로 확산될 수 있다고 보고 있다.

SK텔레콤, KT 등 통신사는 물론 네이버, 카카오, 쿠팡 등 대규모 데이터 기반 기업들이 ‘국가적 위기를 초래할 해킹 의심’ 단계만으로 조사 대상이 될 수 있기 때문이다.

업계 관계자는 “과기정통부 중심의 민관합동 대응 체계와 별개로 국정원이 직접 조사 권한을 갖게 될 경우, 기업 입장에서는 상시 조사 리스크로 작용할 수 있다”면서 “선량하지 않은 국정원장이 취임할 경우 국민들의 프라이버시 침해 우려도 있지 않을까”라고 걱정했다.

“경제안보 필요성 vs 권한 통제 장치”…제도 설계가 핵심

국가 배후 사이버 공격이 현실적 위협으로 부상한 만큼 국정원의 역할 확대 필요성에는 일정 부분 공감대가 있다. 공급망 보호와 핵심 기술 유출 대응이 국가안보와 직결되기 때문이다.

그러나 전문가들은 권한 확대에 앞서 제도적 통제 장치가 충분히 마련돼야 한다고 지적한다. 조사 개시 기준의 명확화, 사전 승인 및 통제 절차, 독립적 감시 구조, 사후 감사 체계 같은 것이 부족할 경우 권한 남용 논란과 개인정보 보호 침해 우려가 동시에 커질 수 있다는 이야기다.

김승주 교수는 “국가 배후 해킹에 대응할 필요성 자체는 분명하다”면서도 “조사 개시 요건, 사전 승인 절차, 독립적 통제 장치, 사후 감사 체계가 갖춰지지 않은 상태에서 ‘의심’이라는 추상적 기준만으로 정보기관의 직권 조사 범위를 넓히는 것은 매우 신중해야 한다”고 말했다.

이어 그는 “권한 남용을 막을 제도적 안전장치가 마련되지 않은 상태에서 개정이 추진될 경우, 보안 강화 효과보다 권한 집중 논란이 더 커질 수 있다”고 지적했다.

또한 “앞으로 의견수렴 과정이 진행되는 만큼 정부 부처와 학계, 시민단체가 보다 적극적으로 의견을 제시할 필요가 있다”고 덧붙였다.

국정원법 개정은 경제안보 강화라는 명분 아래 추진되고 있지만, 동시에 민간 사이버 사고 대응 체계를 정보기관 중심으로 재편할 것인지라는 근본적인 질문을 던지고 있다.