최경환 경제부총리가 국회더러 시급히 처리해 달라 요청한 ‘민생법안’ 서른 가지에는 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률안’이 있다. 정부 입법이다. 클라우드 컴퓨팅을 통해 전자정부를 한 단계 혁신하고, 이용자도 보호하며, 산업도 일으켜 일자리도 만들어내자는 일석삼조짜리 법안이다. 그런데 내용을 보니 이상하다. ‘정보’ 부문에서 낯익은, 그러나 이 법안과 전혀 어울리지 않는 정부기관이 ‘관리주체’로 등장한다. 국가정보원이다.

클라우드 컴퓨팅은 이용자가 소프트웨어나 데이터를 자신의 기기나 대형서버가 아닌 여러 네트워크에 걸쳐 저장하고, 언제 어디서든 네트워크 접속이 가능한 곳에서 이를 활용할 수 있는 모델을 말한다. 구글, 애플, 아마존의 클라우드 서비스가 대표적이다. 한국에서는 KT가 2011년 사업을 시작했으나, 지난해 29억1300만 원의 당기순손실을 기록할 정도로 전망이 밝지 않다. 이런 까닭에 국내 사업자들에게 공공부문 개방은 수익을 올릴 유일한 창구다.

    

총 22개 조문의 이 법안 대부분은 ‘진흥’ 정책이다. 그러나 서비스제공자가 국가기관과 계약을 맺기 위해서는 ‘국가정보원장’이 정하는 기준에 적합한 서비스를 해야 한다는 조항이 들어있다. 이를 두고 오길영 신경대 교수(경찰행정학과)는 29일 <국정원과 클라우드컴퓨팅법안, 무엇이 문제인가?>를 주제로 열린 토론회에서 클라우드 서비스의 특성상 공공부문과 민간부문이 겹칠 가능성이 높다며 국가정보원은 관리주체에서 빠져야 한다고 주장했다.

법안을 살펴보면, 국가정보원장은 클라우드 컴퓨팅 서비스가 적합한지 그 기준과 절차, 방법을 정한다. 사고가 발생할 경우에도 조치는 국정원장이 정한 대로 해야 한다. 미래창조과학부와 공정거래위원회도 관리주체에 속해 있지만 서비스 수준, 표준계약서 ‘권고’ 역할이다. 실권은 국가정보원장에 있다. 특히 국정원은 애초 2012년 방송통신위원회 입법안에는 없었다. 오 교수는 “애초 ‘인증제도’가 ‘권고’로 완화되면서 국정원이 등장했다”고 설명했다.

이 법안은 클라우드 컴퓨팅의 특성을 무시한 내용이라는 지적이 나온다. 법안에 따르면 공공부문에서 침해사고가 나면 사업자는 즉시 국정원장에 알리게끔 돼 있다. 이를 두고 오길영 교수는 “민간부문은 문제없다고 해석할 수도 있지만 민간부문은 ‘공공(Public)’, 공공부문은 ‘사설(Private)’ 서비스를 사용한다는 원칙도 없고 실제 사업자들은 두 서비스를 혼합, 운용하기 때문에 이 조항은 국정원이 민간부문에 관여할법적 근거가 될 수 있다”고 분석했다.

    
▲ 이날 발제를 맡은 오길영 신경대학교 경찰행정학과 교수. (사진=미디어스)
정보기관의 규제를 받는 사업자도, 국정원 ‘개인정보 사찰’을 우려하는 이용자도 환영할 수 없는 법안이라는 게 오길영 교수 분석이다. 특히 클라우드 컴퓨팅에 대한 규제법안을 만든 나라는 전 세계에서 한국이 유일하다. 오 교수는 “현실적으로 우리나라 기업에게만 부과되는 ‘덤터기’가 될 가능성이 높다”고 지적했다. 그는 “국정원이 나서 정보의 위치를 파악한다 해도 외국기업을 상대로 현실적으로 할 수 있는 일이 없다”며 실효성이 없다고도 지적했다.

“이런 법을 가지고 있는 나라가 없다는 점이다. 다들 외국사례를 보는데, 최근 프라이버시 보호 레벨이 이슈다. 그런데 우리는 왜 이런 입법을 하게 됐을까? 기업이 이 법을 좋아할까? (국정원 개입을 규정한) 14조가 핵심조항이다. 클라우드 컴퓨팅에 국정원이 관여하는 것이 법안의 배경이다. 클라우드는 데이터가 어디 있는지 몰라야 경제성이 극대화된다. 이걸 제약하면 안 된다. 구글 만나서 ‘우리나라는 국정원이 클라우드 관리한다’고 말할 거냐?”

장유식 변호사(참여연대 행정감시센터소장)는 국가정보원법과 전자정부법 등에 국정원의 공공부문 정보 관리 근거가 있지만 과거 방통위가 제출한 법안에 없던 국정원이 미래부 법안에 들어온 것에 주목해야 한다고 강조했다. 장 변호사는 “국정원은 ‘정보기관’이지만 수사권이 있는 집행기관 역할도 해왔다”며 “공공과 민간이 함께 있는 클라우드 컴퓨팅에 국정원이 들어오면 개인정보 침해가 우려되고, 이용자보호도 거꾸로 갈 수 있다”고 지적했다.

이창범 녹색소비자연대 이사는 이미 공공부문 정보 문제에 국정원이 개입할 수 있는 법적 근거가 있는 만큼 이번 법안을 통해 그 역할을 축소해야 한다고 주장했다. 그는 “지금 국정원은 (정보에 대한 기득권이 있는 만큼) 이 법안에 만족하지 못할 것”이라며 “미래부가 서비스 기준 제정이나 검증의 주체가 돼 국정원과 협의하는 수준으로 법안을 수정하는 것도 방법”이라고 제안했다. 이번을 계기로 국정원의 정보개입 범위를 좁혀 발목을 잡자는 것.

김지성 진보네트워크센터 운영위원은 클라우드 서비스 사업자는 이미 정보통신망법 대상이라며 “기술연속성에 맞춰 정보통신망법 등을 바꾸는 게 사업자와 이용자에게 가장 안정적이고 확실한 방법”이라고 제안했다. 그는 “클라우드 컴퓨팅을 국가 사무에 적용하면 외부 클라우드에 정보를 맡겨야 하고, 보안문제가 나올 수밖에 없다”며 “이번에 주민등록 집적문제를 풀고, 주민번호 체계를 바꿔야 비용도 아끼고 보안성도 높일 수 있다”고 강조했다.

    

클라우드 컴퓨팅 법안이 ‘재벌만 배불리는 법안’이라는 지적도 나왔다. 이기웅 경제정의실천시민연합 소비자정의센터 팀장은 “이 법안은 소프트웨어산업진흥법과 달리 정부가 재벌기업에 발주를 일부 제한하는 규정이 없다”며 “이동통신사와 SI업체들의 진출 소식이 들리는데 단순 먹거리 차원에서 논의된 것은 아닌가 하는 우려를 지울 수 없다”고 말했다. 그는 최근 생기는 클라우드산업 관련 협회들이 ‘관피아’ 낙하산을 위한 ‘자리’ 아니냐고 꼬집었다.

언론개혁시민연대 추혜선 사무총장은 “지금이 클라우드산업을 위한 ‘골든타임’인지 따져봐야 한다”며 “더구나 국정원에 대한 우려와 불신이 있는 만큼 사회적 논의를 선행해야 한다”고 말했다. 그는 “중소기업이 클라우드 시장에 진입할 수 있는 현실성이 담보돼 있는지 우려된다”며 “이 법안이 재벌에 일감을 몰아주는 특혜로 이어진다면 쓸모가 없을 것”이라고 말했다. 그는 “산업 진흥이 목적이라면 법이 아닌 다른 수단을 고민할 수 있다”고 말했다.

이에 대해 서성일 미래부 소프트웨어융합과장은 법안 내용에서 국정원을 삭제하는 방안을 마련하겠다고 밝혔다. 서 과장은 “국정원 조항에 대한 우려에 크게 공감하고 있다”며 “실무적으로 시민단체의 의견을 듣는 등 사회적 논의가 필요하다”고 말했다. 그는 ‘민생법안’ 논란에 대해 “클라우드를 기반으로 일자리창출이 된다고 믿고 있다”며 “이 법으로 소프트웨어산업에 대한 재벌 진입 규제가 무력화되는 것은 아니니 우려하지 않아도 된다”고 강조했다.