사단법인 오픈넷, 진보네트워크센터, P2P재단코리아준비위원회가 국정원이 이탈리아 해킹 팀(Hacking Team)으로부터 구매·운용한 해킹 프로그램(RCS)을 잡아낼 수 있는 백신프로그램을 다음주(8월 10~14일) 중 안드로이드 애플리케이션 장터 ‘플레이 스토어’를 통해 무료로 배포될 예정이라고 한다.

국민백신 프로젝트라고 명명한 이 프로그램은 윈도우 PC와 안드로이드 스마트폰에서 사용 가능하며 RCS가 남기는 특유의 코드를 탐지하여 사용자의 기기에 RCS의 스파이웨어 설치 여부를 알려준다. 이메일이나 문자메시지, 다운로더 폴더에 남아 있는 경우도 찾아낸다. 시민들의 PC와 스마트폰에서 RCS의 스파이웨어가 탐지된다면, 국정원의 해킹을 의심해볼 수 있다.

이 프로그램은 개인의 기본권을 침해하는 해킹 프로그램을 찾는 걸 목표로 배포하는 것이며 추후 이용자들로부터 감염 여부 결과가 수집되면 국정원의 해킹 프로그램이 얼마나 광범위하게 깔려있거나, 침투하려고 시도했는지 알 수 있다. 다만 이 증거를 찾는 데는 이용자의 참여가 필수라고 한다. 법적 절차 때문에 백신이 이용자의 정보를 자동으로 수집할 수는 없기 때문에 이용자가 백신 프로그램을 써보고 기기에서 해킹 프로그램의 흔적이 발견됐다는 사실을 국민백신 프로젝트 측에 이메일로 보내야 한다.

해킹팀이 국정원에 주문·제작해준 스파이웨어는 어떤 변종으로 진화했는지 알 수 없다. RCS의 소스코드가 낱낱이 공개되어 악의적 해커 누구나 변종을 만들 수 있기 때문이다. 이게 국내에 얼마나 유포되었는지, 그로 인해 일반 국민들의 침해사고 위험은 어떤지 파악하고 예방책과 확산 방지 대책을 세울 필요가 있다.

사실 이런 일은 정부가 하도록 법에 정해져 있다. 침해사고 대응을 위해 한국인터넷진흥원은 인터넷침해대응센터를 별도로 운영하기도 한다. 피싱·해킹 신고를 받거나 사이버 위협 요소를 매일 공지하며 취약점에 대한 대책도 내놓는다. 지난해에는 한컴오피스와 같은 상용 소프트웨어의 취약점을 이용해 웹사이트 방문만으로 감염되도록 악성코드를 배포하는 일에 대해 주요 백신사들과 ‘SW 원클릭 안심 서비스’를 시행한다고 발표하기도 했다.

전자우편 악성코드 유포 탐지 시스템 구축도 보도자료를 통해 알렸다. 백신업체들도 언론에 많이 소개된 악성코드나 피싱 사례에 대해 재빨리 전용 백신을 내놓거나 업데이트 안내를 해왔다. 그리고 국내 백신업체들은 침해사고의 유형별 통계와 접속경로별 이용 통계를 인터넷진흥원에 제공할 법적 의무가 있다. 하지만 RCS로 인한 침해사고에 대해서는 아무런 정보도 국민에게 제공되지 않았을 뿐만 아니라 RCS에 대해서는 도를 넘어 침묵으로 일관하고 있다.

이처럼 정부가 뒷집만 지고 업체가 정부 눈지만 보고 있는 상태에서 국민백신 프로젝트는 국민이 직접 나서는 것이라는 점에서 더욱 의미가 있는 일이다. 우리의 정보인권을 우리 손으로 지키는 운동이 필요하다고 보기 때문이다. 이 과정에서 집단지성의 힘이 발휘되면 예상하지 못했던 성과를 낼 수 있다.

RCS 스파이웨어를 찾아내는 일, 감염된 기기를 확보하는 것도 국민백신 프로젝트의 중요한 목표다. 바이러스를 퇴치하려면 감염 경로를 파악하는 것이 중요하다. 어떤 경로로 누가 감염되었는지 확인해야 앞으로 이런 일이 재발하지 않도록 막을 수 있다. 더구나 RCS 스파이웨어는 국민의 안전을 위해 국민의 위임에 따라 설립되고 운영되는 기관이 거꾸로 국민을 해킹했다는 강력한 의혹이 제기된 사건이기 때문이다.

해킹이란 한 사람의 통신 기기 통제권을 아예 찬탈하는 것으로 정보기관이 RCS 등 해킹프로그램을 수사에 활용하는 일은 불법행위이며 감시·감청은 국가 안보나 범죄 예방을 위해 당연히 필요하지만 이런 식으로 통제권을 탈취하는 방식의 감청까지 허락할 것인지는 우리 사회가 진지하게 고민해봐야 한다. 그리고 만약 합의를 거쳐 법안을 개선하더라도 해킹 프로그램 등을 이용한 감청을 합법화 하는 것이 아니라는 점도 분명히 해야 한다. 해킹 수사가 사회에 미칠 부작용도 한두가지가 아니다. 한번 감염된 기기는 누구나 기술만 있다면 제3자가 침입할 수 있고 감염 기기에서 발견된 증거의 신빙성 문제가 제기될 수 있다. 또 악성코드가 감염기기에 보관된 다른 파일들을 손상시키면서 발생하는 재산권 침해 문제와는 별도로 감시 대상이 아닌 다른 사람의 인권을 침해할 가능성도 상존한다.

개인 간 미디어 소통이 급격하게 증가하고 있는 상황에서 해킹 프로그램을 통한 감청은 범죄 수사와 관련 없는 사람의 정보까지 무차별적으로 수집할 가능성을 높일 수 있다. 이는 '모든 국민은 통신의 비밀을 침해받지 아니한다'는 헌법 18조를 쉽게 훼손할 수 있는 것이다. 오·남용을 줄이긴 위해선 외부 통제 및 감독이 필요하다. 강력한 통제 수단이 마련돼야 하고, 제도적 장치가 마련되기 전까지는 국가에 의한 해킹은 금지돼야 한다.

해서 중대한 범죄나 국가 안보에 관한 구체적 위험이 발생했거나 그럴 확률이 높은 경우에만 해킹 수사를 허용하고 법원에 제출하는 영장에 정보 수집 범위와 기간을 명확히 제시하고, 이를 초과하면 수집된 증거 전체를 무효화 하는 등의 규제가 필수적으로 뒤따라야 한다. 또한 수사 기관의 해킹 활동을 감독하는 독립 기구를 설립하고, 해킹으로 부당한 피해를 본 시민들의 손해배상청구권을 보장할 수도 있도록 해킹 수사에 대한 별도의 법이 반드시 필요하다.

끝으로 전 가디언 기자인 글렌 그린왈드의 글을 소개하면서 "정보인권 국민 손으로 지키자" 국민백신 프로젝트의 성공을 기원함과 동시 정부의 솔직한 잘못 인정과 자세 변화를 촉구한다.

정부에 있는 사람들 대부분이 하는 일은 투명해야 하고 공개돼야 합니다. 그들이 무슨 일을 하는지 우리가 알아야 하죠. 그게 그들이 공직자라 불리는 이유입니다.

반면에 우리같이 사적인 개인들이 하는 일 대부분은 철저히 비밀이 보장돼야 합니다. 그게 우리가 사적인 개인으로 불리는 이유입니다.

이런 게 건강하게 작동하는 사회죠. 우리는 권력자들이 하는 일에 대해 알지만 그들은 우리에 대해 모르는 사회 말입니다. 우리는 완전히 반대로 가고 있습니다.

김상환(전 인천타임스 발행인)

※외부 필자의 원고는 본지의 편집방향과 일치하지 않을 수도 있습니다※