정보화의 진전으로 네트워크의 보안 문제는 개별 기업의 차원을 넘어 국가 안위와 직결되는 중차대한 사안으로 떠오른 지 오래다. 사이버 보안문제가 국가간 첩보전을 방불케할 만큼 위협적인 무기로 등장한 것이다.
이와 관련 나라의 정보를 책임지는 국가정보원의 역할이 어느 정도여야 할 지에 대한 논란이 일고 있다. 너무 약하면 국정원이 임무를 방기한다는 소리를 듣게 되고, 너무 강하면 정보를 독점하는 ‘빅브라더’가 되기 때문이다.
또 전자정부 및 e비즈니스의 활성화로 암호 사용이 대중화되고 있음에도 민간의 암호사용 원칙을 규정한 법제도가 없어, 암호에 대한 국정원의 위상 및 역할 찾기를 위한 산학연의 다양한 의견이 분출하고 있다.
◆국정원, 금융망 암호 장비 보급은 월권행위
특히 최근 국정원이 산하기관인 국가보안기술연구소를 통해 민간망인 금융망용 암호장비를 개발, 기술이전을 하자, 이런 논란이 가열되고 있다.
국보연은 원래 국정원의 기술개발 계획에 따라 군이나 국가망에 들어가는 보안장비를 개발하는 곳이다. 인력은 한국정보보호진흥원과 비슷하나 국가기관용 암호 알고리즘 설계 및 개발에 투자를 집중해왔다.
민간 기업과 전문가들이 국정원의 금융거래용 암호알고리즘 보급에 반발하는 이유는 국가기밀이 아닌 민간 부문에 국정원이 개입하고 있기 때문.
이는 기밀 데이터를 제외하곤 각 부처 중요 정보까지 민간기관이 사이버 정보보호 정책 수립에 관여하는 세계적인 추세와 다른 모습이기도 하다.
이 뿐만 아니라 국정원이 만든 알고리즘은 비공개여서 백도어가 숨어있다 하더라도 민간이 이를 확인할 방법이 없어 금융거래를 할 때 개인의 정보가 국정원으로 흘러들 우려마저 제기되고 있어 논란을 부채질하고 있다.
한 전문가는 “국정원이 금융거래용 암호알고리즘을 보급하는 것은 누설될 경우 국가안전보장에 해로운 결과를 초래할 우려가 있는 국가기밀에 한해 보안업무를 수행해야 하는 국가정보원법에도 위배되는 것”이라며 “이는 국정원이 국가 기관에 이어 민간영역에 까지 정보 보호의 주도권을 가지려는 야심을 갖고 있기 때문에 나타나는 모습"이라고 비판했다.
업계 관계자는 “시드라는 알고리즘이 있는 상황에서 보안성이 높다는 말도안되는 이유로 비공개 알고리즘을 들고나온 것은 무지의 소치이며, 몇몇 기업에게 먼저 기술이전 시킨 것도 특혜에 해당한다"고 말했다.
이미 DES, AES 등 국제적인 표준 암호들이 공개돼 있으며, 현대 암호학에서는 공개 여부가 아닌 키의 안전도에 암호 알고리즘의 신뢰성을 의지하는 추세인데 이런 경향을 무시한 조처라는 것이 업계의 설명이다.
◆국정원, 전자정부에서도 영향력 축소돼
일반인에게는 알려지지 않았지만, 국정원의 사이버 정보보호와 관련된 영향력은 전자정부 프로젝트에서도 이미 축소된 것으로 밝혀졌다.
국정원이 지난 9월 ‘전자문서 보안조치 수행지침’을 제정, 전자정부에 적용하려 하자 전자정부특별위원회에 참석한 대통령 비서실, 기획예산처, 법무부, 정보통신부 등이 국정원의 정보독점을 이유로 이를 받아들이지 않은 것이다.
당초 국정원은 전자문서를 암호화하고 해독하는데 필요한 암호키의 생성과 관리 주체(키복구 주체)를 사이버테러를 책임지는 국정원이 담당해야 한다고 주장했다. 하지만 나머지 행정기관들은 불법열람 가능성을 들어 적극 반대했다. 국정원이 암호키를 생성하고 관리한다는 것은 언제 어디서나 암호화된 전자 문서를 열어볼 수 있다는 것을 의미하기 때문이다.
당시 전자정부특위 회의에 참석했던 관계자는 “당시 각부처는 국가정보원법에 한정된 국가기밀 데이터를 제외하곤 국정원이 만든 키복구 제품을 쓰지 않기로 했으며, 키복구 뿐 아니라 다른 암호 정책에 대해서도 국정원의 역할을 인정하지 않는 분위기였다”고 말했다.
또 “행정부처들은 국정원의 오프라인 보안감사가 폐지된 상황에서 오히려 온라인 보안감사의 부활을 염려하는 분위기였다”고 말했다. 결국 전자정부특위는 여러 행정 기관이 암호키를 나눠 관리하는 방안을 확정했다.
◆민간의 암호사용 원칙 제시할 암호이용촉진법 제정돼야
국정원의 역할이 계속 논란을 빚는 것은, 온라인 암호사용에 관한 법제도가 없기 때문이다. 대다수 국민들은 단지 국가보안에 있어서는 국정원이, 민간 분야는 정통부가 정보보호 정책을 주도한다고 생각하고 있다.
하지만 이미 국가기관과 공공기관, 민간기관의 보안정책은 서로 협력해서 갈 수 밖에 없는 상황이다. 게다가 금융에 들어오면 더 복잡해진다.
금감원이 실질적인 보안 업무 활동을 하고 있지만, 여기에 국정원의 입김이 지속되고 있기 때문이다. 따라서 전문가들은 정보의 등급을 나눠 암호 정책을 가져가는 외국의 경우처럼 우리나라도 암호사용의 원칙이 법적으로 재정비돼야 할 것으로 보고 있다.
미국의 경우 우리나라의 국정원격인 국가안전보장국(NSA)은 국가 기밀 데이터만 다루고, 연방 정부를 포함한 각 부처 중요 데이터에 대한 암호정책은 정통부격인 상무부 국립표준 및 기술연구소(NIST)가 담당한다.
한 전문가는 “미국의 경우 금융 데이터를 보호하기 위해 만든 DES 알고리즘에 대해 ATM 시장 진입을 노리던 IBM이 하드웨어화 작업에 참여하고, 중요부처에 들어가는 암호모듈 평가(CMVP) 역시 민간이 담당하는 등 효율성을 꾀하고 있다”며 “우리나라도 하루 속히 암호이용촉진법을 만들어 암호사용에 대한 정책을 정비해야 할 것"이라고 말했다.
또 다른 관계자는 “암호이용촉진법 제정에 시간이 걸린다면 개인정보보호를 다루는 다른 법에라도 하루속히 국정원의 사이버 정보보호 정책 범위 등을 규정해야 할 것"이라며 "전자정부 서비스가 가속화될 수록 특정 정부기관이 빅브라더가 될 가능성이 커지고 있다”고 우려했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기