미, 중, 영 '사이버테러방지법'
[해외동향] 사이버테러방지법 입법 동향
2015년 11월에 있었던 파리 테러의 여파로, 프랑스를 비롯한 주요 국가들이 이른바 ‘(사이버) 테러방지법’을 제정하고 있습니다. 법 논의 과정에서 수년 동안 지속되어온 국가 안보 vs 시민의 자유를 둘러싼 논쟁이 재현되고 있습니다.
특히 이들 법에는 통신의 비밀을 보호하는 기술인 암호화를 약화시키거나 정보기관이 이용자 정보를 광범위하게 수집하는 것을 허용하고, 이를 위한 협조 의무를 IT 기업에게 부과하고 있어 논란이 되고 있습니다.
최근 국내외 언론을 통해서 소개된, 2015년 12월에 관련법을 제정한 미국과 중국, 그리고 관련법 제정을 진행 중인 영국의 입법 동향을 살펴보겠습니다.
1. 미국
2015년 12월 18일, 미국은 사이버안보법(Cybersecurity Act of 2015)을 내년도 예산안과 묶어서 의회 표결 및 대통령 서명을 마쳤습니다.
사이버안보법은 하원에서 통과된 2개의 법안(Protecting Cyber Networks Act, National Cybersecurity Protection Advancement Act)과 상원에서 통과된 법안(Cybersecurity Information Sharing Act), 총 3개의 법안을 합친 것으로 상원의 CISA가 근간을 이룹니다.
법안의 구성은 아래와 같습니다. (p.1,728~1,863 )
Division N - Cybersecurity Act of 2015
Title I. Cybersecurity Information Sharing
Title II. National Cybersecurity Protection Advancement
Subtitle A—National Cybersecurity and Communications Integration Center
Subtitle B—Federal Cybersecurity Enhancement
Title III. Federal Cybersecurity Workforce Assessment
Title IV. Other Cybers Matters
한편, 사이버안보법이 통과되기 전날인 12월 17일, 미국 시민단체들과 보안 전문가들이 의회에 공동서한을 보냈습니다.
이 공동서한에서 밝힌 법안의 반대 요지는 아래와 같습니다.
- 기업의 이용자 온라인 활동 모니터링을 확대하고, 모호하게 정의된 ‘사이버 위협 정보(cyber threat indicators)’를 적절한 프라이버시 보호 없이 정부와 공유하는 것을 허용함
- 연방기관들이 갖고 있는 개인정보를 포함한 모든 사이버 위협 정보를 NSA에 자동적으로 전달할 것을 요구함
- 기업이 NSA, FBI와 직접 정보 공유하는 것을 허용함
- 대통령이 기업의 정보 공유를 위한 포털 역할을 할 기구를 DNI, FBI 등에 설치하는 것을 허용함
- 법집행기관이 사이버 안보 범위를 넘어선 정보를 광범위하게 이용하는 것을 승인함
- 기업이 문제 소지 있는(법적 근거 없는) 방어 조치를 취하는 것을 승인함.
그리고, 가디언은 칼럼을 통해 수년 후 누군가의 폭로로 인해 이 법에 의해 얼마나 많은 정보감시가 이뤄졌는지 밝혀질 것이라며, '제2의 스노든 사태'를 경고했습니다.
2. 중국
중국은 2015년 연초부터 진행되어온 테러방지법을 12월 27일에 통과시켰고, 2016년 1월부터 시행합니다.
로이터에 따르면, 이 법은 기업들에게 암호 해독에 협조할 의무를 부과하고 테러 정보 관련 언론과 소셜미디어를 통제하는 내용을 담고 있습니다.
그리고, BBC는 법안 내용에 대해 좀 더 자세하게 소개했습니다.
- 새로운 반테러 기구 및 정보센터를 설립하고, 전문적인 반테러 군대를 창설함
- 통신 및 인터넷 회사는 ‘암호해독을 포함한 기술적 지원을 제공’ 해야 하고, 극단주의에 대한 ‘정보 유포를 방지’해야 함.
- 경찰력은 총칼을 소지한 상대가 공격해오는 ‘긴급 상황’ 시에 바로 무기를 사용할 수 있음.
- 군은 반테러 활동을 위해 해외로 진출할 수 있음
- 테러리스트 활동에 대한 정보의 유표는 금지됨. 예를 들어, 가짜 테러 사고에 대한 정보 조작.
- 사전에 승인된 미디어 매체를 제외하고, 테러 공격이나 당국의 입장에 대해 온/오프라인으로 보도하는 것은 허용되지 않음.
로이터와 BBC는, 향후 중국이 테러방지법을 통해서 IT 기업, 미디어, 그리고 이용자에 대한 통제를 강화해나갈 것을 우려했습니다.
3. 영국
2015년 11월, 영국 내무부장관은 수사권 강화 법안(Draft Investigatory Powers Bill)을 의회에 제출했습니다.
이 법안은 수사기관이 요구할 경우 기업들이 메시지 암호를 해제해야 하고 정보기관의 대량 메타데이터 접속을 허용하는 내용을 담고 있습니다.
한편, 1월 5일에 런던정경대 법대 교수들이 이 법안의 주요 측면을 다룬 4개의 글(LSE Policy Briefing)을 발표했습니다.
각 글의 주요 내용은 아래와 같습니다.
1. Ensuring the Rule of Law
: IP 법은 산재되어 있는 권한과 조직을 하나의 법적 틀내에 두기 위한 것임. 이 법이 제안한 이중 잠금장치(double lock systeam, 장관 등이 발행한 영장을 법원 사법위원이 검토하는 제도)는 법원칙이 요구하는 사법적 독립을 보장하진 않음. 그리고 폐쇄적인 의견청취 시스템은 사람들에게 법원의 활동이 공개적으로 이루어질 것이란 확신을 주지 못함. 좀 더 개방성과 투명성을 제고하길 희망함.
2. Bulk data in the draft Investigatory Powers Bill: the challenge of effective oversight
: 정보기관 활동은 비밀리에 이루어지고 데이터 수집과 분석의 방법을 밝히지 않기 때문에, 사람들은 관련 의사결정 과정의 성패를 평가할 수 없음. 따라서 대량 정보수집 및 검열 시스템에 투명성과 책임성을 제고시키는 것이 중요함.
3. Comparing Surveillance Powers: UK, US, and France
: 미국은 2015년에 자유법을 통과시킴으로써 시민의 자유와 안전을 증진시켰으나, 프랑스는 대형 테러 발생으로 인해 연달아 총리실에 권한을 집중시키고 사법부의 권한을 축소시켜 시민 자유를 위축시키는 일련의 법들을 통과시켰음. 영국이 프랑스 모델을 거부하고 미국 모델을 따르길 희망함. (*참고: 이 글의 발표 시점은 미국의 사이버안전법 통과 이전임)
4. Beyond privacy: the data protection implications of the IP Bill
: IP 법은 국제적 맥락에서 봐야 하고, 감청장비를 허용하고 대량의 개인정보를 수집하는 것은 EU의 데이터 보호 정신에서 벗어남. 기업들에게 정보기관에 협조하도록 강제하는 것은 이용자의 데이터 보안을 침해하는 것임
가디언에 따르면, 1월 6일 영국 의회에 출석해서 이 법에 대해 증언한 전 NSA 요원 William Binney는, 대량으로 수집된 정보는 대부분 테러방지에 활용되지 못하고 영국인들의 삶에 부정적 영향을 줄것이라고 경고했습니다.
이상으로 미, 중, 영 3국의 '사이버테러방지법' 입법 동향을 살펴봤습니다. 국내에서도 파리 테러 이후 '사이버테러방지법'을 둘러싼 논의가 급물살을 타고 있는데, 심도깊은 논의가 이루어지기를 기대합니다.
