테러를 빌미로 강화되는 대중감시

   

프랑스 정치지도자들에 대해 4월 중순부터 국회에서 검토 중인 개인정보보호법을 둘러싼 논쟁은 그저 잠시 자중하며 보낼 시기가 왔다는 뜻이다. 에드워드 스노든이 2013년 6월 미국 국가안보국(NSA)의 행태에 대해 폭로하면서 생겨난 필요악이자 정치적 휴지기일 뿐이다. 그들은 지금까지도 ‘은닉할 줄 모르는 자는 통치할 수 없다’는 루이 11세의 모토를 열렬히 신봉하며 따르고 있다.

프랑스 대외안보총국(DGSE)은 1970년대부터 소리 소문 없이 조용하지만 거침없이 전 세계적으로 가장 폭넓은 대규모 도청 및 감청 시스템을 개발해왔다. 이 시스템은 프랑스 해외영토에도 보급이 되어 있고 알카텔이나 오렌지텔레콤 같은 거대 통신업체와 정보부 사이의 긴밀한 관계를 볼 때 상당히 효율적일 것이다. 이들 다국적통신업체들은 인터넷 감시 경쟁에서 유리한 강점이 있다. 그도 당연한 것이 디지털 감시 장치가 설치된 곳이 바로 그들의 케이블이기 때문이다. 프랑스는 2011년에 인터넷 통신감청 기술업계에서 이름난 코스모스Qosmos와 불Bull에 수천만 유로를 투자했다. 그들의 프로그램은 실시간으로 트래픽 콘텐츠를 분석해서 암호기술을 사용했는지 식별해 해당 데이터를 수집할 수 있다.

DGSE 정보부장을 지내고 현재 민간기업으로 넘어간 베르나르 바르비에의 말처럼 프랑스는 기술정보 분야에서 ‘메이저리그’에 속해있다.(1) 스노든이 2013년 가을에 공개한 문서에는 아닌 게 아니라 DGSE와 NSA, 그리고 영국 정보기관인 정부통신본부(GCHQ)가 서로 협력한 사실이 들어 있었다.

미국과 영국, 심지어 독일에서도 스노든 사태가 소송이 제기되거나 국회조사위원회를 설치하게 만들었지만 프랑스 정부는 침묵으로 일관하거나 프랑스 정보기관이 개입된 사실을 부인하며 일관된 입장을 보였다. 프랑스는 이런 종류의 일이 발생하면 주로 부인하며 사태를 무마하려고 하는데 프랑스 입장에서는 그럴 수밖에 없다. 프랑스는 현재 이런 행태를 규제하는 법적인 틀이 없어서 공식적으로 조금이라도 이런 상황을 인정한다면, ‘법으로 정한 범위 안에서만’ 권력기관이 국민의 사생활에 개입할 수 있다고 규정한 유럽인권재판소(ECHR)의 비난을 받을 수 있기 때문이다.

이런 상황을 피하기 위해서 프랑스 정보기관의 정치인들은 법을 제정해야 한다는 점을 인지하고 있다. 그러나 스노든 사태가 가라앉지 않은데다가 여론의 압력이 심한 상황에서 국회 법안 심의를 시작하는 것은 상당히 위험한 일이었다. 정부는 적절한 때가 오기를 기다렸다. 그러다가 2014년 여름부터 이슬람국가조직(IS)이 언론을 화려하게 장식하기 시작했고 특히 2015년 1월 테러로 상황이 반전됐다. 마누엘 발스 프랑스 총리는 일련의 비극적인 사건에 대한 해답으로 개인정보보호법을 제시하며 ‘정보기관의 운신을 위해 그들의 법적능력을 강화하고자 한다’(2)고 밝혔다. 모하메드 마라와 메흐니 네무쉬를 비롯해 이번 테러 용의자도 정보기관의 추적대상이었지만 사전방지 등 별다른 성과를 보지 못한 반테러대책의 허점에 대한 논의는 시작도 하지 않고 프랑스 정부는 대테러전쟁의 포문을 열었다. 안보문제 전문가로 향후 하원에서 법안 취지를 소개할 예정인 장자크 우르보아스 사회당 하원의원이 공들여 법안을 만들었지만 대통령과 총리는 정보기관과 긴밀하게 협의해 이 법안을 수정했다.

이 법안은 3월 19일 마침내 국무회의에서 채택됐다. 발스 총리는 법안이 프랑스를 선두 그룹에 속하게 해주는 활동을 일체 변화시키지 않으며서도 국가가 ‘표적 감시’를 하는 것을 공공연히 지지한다는 역설적인 내용을 교묘하게 감추기 위해 완벽하게 유려한 커뮤니케이션 전략을 펼쳤다. 법안에서 승인된 활동과 스노든이 밝힌 행태 사이의 연관성을 밝히는 사람들에게 발스 총리는 ‘시민들을 대규모로 감시하는 일은 없을 것’이라고 단언하면서 ‘법안에서도 이를 금지하고 있다’(3)고 편을 들었다.

그렇지만 정부도 법안이 현재 사용되는 기술을 합법화하려는 것이라고 인정했듯이 이 법과 미국이나 영국에서 시행 중인 활동 간에 비교해볼 점이 많다. 법안의 주요 조항은 유럽연합 인권협약의 ‘사생활과 가족생활‘과 관련된 제8조를 위배할 소지가 있다. 현 법안이 헌법재판소에서 무효화되지 않더라도 상기 조항들로 인해 프랑스는 ECHR에 제소될 위험이 있다.

법안에서 가장 논란이 되는 조치인 ‘블랙박스’를 예로 들어보자. 이 법안에는 전화나 인터넷 트래픽을 스캔할 수 있는 장치인 블랙박스를 네트워크나 서버에 설치해서 비밀 알고리즘을 통해 테러위협으로 의심되는 커뮤니케이션을 탐지할 수 있도록 하는 조항이 있다. 장이브 르 드리앙 국방장관은 이 조항이 ‘특정 시간대에 특정 장소에서 특정한 사이트로 접속하는 트래픽’을 식별하기 위한 것이라고 설명했으나 보완설명을 위해 국회 심의에 출석하라는 연락을 받았다. 베르트랑 바졸레 DGSE 국장은 통신암호화프로토콜 사용과 같은 ‘은밀하고 수상쩍은 행태’(4)를 적발하기 위해서 블랙박스를 사용하려 한다고 밝혔다. 그런데 통신암호화프로토콜은 유럽평의회가 자신을 보호하는 차원에서 권고하는 기술이다(상자기사 참조).

정부는 순수한 의도라고 변을 하고 있지만 블랙박스는 논란이 되는 ‘심층 패킷 분석’ 기술을 반드시 사용해야 한다. 이 기술은 대부분의 대규모 데이터 수집 프로그램에서 중요한 역할을 한다. 2006년 AT&T 통신사 기술자였던 마크 클라인의 폭로로 우리는 NSA가 미국에 블랙박스와 같은 장치를 설치했다고 알고 있다. 2000년부터 영국 안토니 블레어 정부는 의회에 국내 전담 보안정보국 MI5가 블랙박스를 사용할 수 있도록 승인하자고 제안했다. 논란이 커지자 수사권규율법 차원에서 감청장비에 관한 좀 더 포괄적인 조항을 채택했다. 감청장치를 사용한 모든 트래픽 감시가 새로운 일은 아닐지라도 현재 법안으로 인해 프랑스가 러시아처럼 법으로 이를 명백하게 승인한 몇 안 되는 국가에 속하게 됐다.

 

정보기관의 권력은 확대됐지만 감독은 미흡

 

정부가 뭐라고 하든, 최종적으로 아주 적은 분량의 데이터만 심층 분석의 대상이 된다고 하더라도 이는 분명 대규모 감시이다. 2000년 ‘아만 대 스위스’ 사건 이후 ECHR은 공권력이 한 개인과 연관된 정보를 단순히 저장하고 있는 것도 사생활 침해라고 규정하면서 ’추후에 저장된 정보를 사용했는지 여부는 크게 중요하지 않다’(5)고 명확하게 선을 그었다. 발스 총리가 이끄는 현실도피성 문제접근방식은 어떤 범죄와도 연관된 의혹이 없는 국민 전체의 사생활에 간섭하는 것으로 볼 수 있다. 그렇다고 결과가 확실한 것도 아니다. 대규모 정보 수집 장치는 오류발생률도 상당히 높아서 수사관계자를 잘못된 방향으로 인도하거나 무고한 사람을 감시하게 만들 위험성이 있다.

블랙박스 말고도 법안의 ’국제적 감시’에 관한 조항은 스노든이 폭로한 내용의 축을 이루는 행동과 정확하게 일치한다. 외국에서 이루어지는 감청은 모든 법의 테두리에서 벗어나 있다. 바졸레 국장이 청문회에서 암묵적으로 인정한 것처럼 프랑스가 국제적인 트래픽을 감시하는 일은 외국에서 ’발신 또는 수신’된 통신에 대해 프랑스 영토 내부에서만 법의 적용을 받는다. 예를 들어 아프리카 해안을 지나는 케이블을 통해 이루어지는 통신일 경우에는 어떤 제한도 없이 감시할 수 있다는 말이다. 국제연합 세계인권선언 제1조에 명시된 인권의 보편성에도 불구하고 프랑스 영토 밖에 있는 사람들은 현재 이 법안을 통해서 어떤 보호도 받을 수 없다.

외국에서 수발신된 프랑스 내부 통신의 경우에도 법의 적용을 받는다고 하지만 프랑스 내에서 수발신된 통신보다는 다소 허술할 수밖에 없다. 일견 별 문제가 없어 보이는 이 특별제도에 결정적인 함정이 숨어있다. 프랑스에 살고 있는 사람들의 통신 대부분이 디지털산업을 이끄는 거대업체의 서버가 있는 미국과 다른 유럽 국가를 거쳐 가기 때문에 결국 국경을 벗어나서 이루어진다는 점이다. 기술법학적 동기를 핑계로 예외적 제도가 표준이 됐다. 이렇게 눈가림술수의 도움을 받아 정보기관은 법안이 ’국내’ 감시와 관련해 제시한 미흡한 개인정보보호장치 중 하나를 피해갈 수 있을 것이다. 이는 국회의원과 사법관으로 구성된 독립행정기구로 현 전화도청감독위원회를 대체할 국가정보보안기술감독위원회(CNCTR)의 사전의견을 구하는 것이다. 국회개정안에 따라 프랑스에 사는 사람들은 그나마 통신정보 보관기간제한(통신 콘텐츠당 최대 6개월)이라는 보호장치를 제공받게 됐다.

어떤 법적제도가 마련되든 (또는 법적제도가 없든) 프랑스 정보기관은 영미권 정보기관과 마찬가지로 프랑스를 비롯한 전 세계에서 발생한 정보를 대규모로 감청하여 DGSE가 소재한 파리 교외 지역 사무소를 비롯한 프랑스 영토에 수집된 자료를 저장하고 처리하고 분석할 수 있을 것이다. 이런 절차는 미국의 NSA 주요 감시프로그램이 근거로 삼는 해외정보감시법과도 유사하다. 또 영국이나 독일에서 적용되는 법도 연상시킨다. 프랑스에서 표결된 법안과 유사한 독일 법은 NSA를 위해 이웃나라를 염탐하도록 승인해 지난 4월말 정치적 스캔들을 일으켰다.

이런 상징적인 조치들을 차치하고서라도 이 법안은 거주지 도청장치, 전화 및 인터넷 통신 감청, 컴퓨터의 콘텐츠 수집을 위한 컴퓨터 시스템 침입, 지리위치정보확인 등 표적감시기술 다수를 승인했다. 접속정보 보관기간은 최소 3년에서 5년이다. 그 유명한 메타데이터(6)는 커뮤니케이션의 내용보다는 특성을 기술하여 한 개인의 인간관계와 사회활동을 정확하게 파악할 수 있다.

감시기술 적용을 승인하는 정보기관의 임무는 큰 폭으로 확대됐다. 테러와 조직범죄 방지를 비롯해 프랑스 거대산업체를 위한 첩보활동, 사이버안보를 위한 활동, ’공화국 제도를 위협’하거나 ’국가안보에 위해가 되는 단체폭력’ 방지활동이 모두 포함됐다. 그렇지만 우리는 파리 반테러검사실이 지난 5월초 프랑스 중부 ‘타르낙’이라는 산골마을 출신 조직 소속 행동대원 세 명을 경범재판소에 제소한 사례를 통해 일부 경찰과 검사들이 ’테러리즘’이라는 개념을 해석할 때 어떤 상상력을 발휘하는지 알고 있다. 이런 새로운 요주의집단의 등장은 경찰이 사회운동에 대한 감시를 일반화해 결국에는 표현과 결사의 자유를 제한하게 되지 않을까 우려하게 만든다.

정보기관에 부여된 권력은 확대됐지만 감독은 미흡하다. 정보기관의 활동을 감독할 국무총리는 CNCTR의 사전의견과 무관하게 감시활동을 승인할 수 있다. 법안에는 CNCTR이나 감시 대상이 된 당사자가 최고행정재판소에 소송을 제기할 수 있지만 그 절차는 애매한 점투성이다. 법안은 정보기관이 극비문서를 행정법관에게 제출하고 비공개공판을 신청할 수 있도록 했다. 고소인과 그의 변호사는 자연스럽게 게임에서 빠지게 된다.

여기서 이 법안은 영미권법에서 진행되는 흐름, 특히 영국의 비공개증거재판을 쫓아가고 있음을 알 수 있다. 유럽의회는 최근 보고서를 통해 이런 ’비공개문서를 통한 재판’이 공정한 재판을 받을 수 있는 권리와 양립할 수 없다면서 강력하게 비판했다.(7) 프랑스의 경우에 최고행정재판소가 행정부로부터 독립하지 못했다고 비난을 받는 상황이라 비밀법정은 더욱 걱정스럽다. 그리고 판사들이 소송의 위법성을 지적한다고 해도 어떤 투명성도 불가능하다. 국가안보기밀자문위원회의 지지를 받으면 된다고 하지만 국무총리는 여기에도 반대권을 행사할 수 있다.

인권보호단체, 사법조합, 변호사협회, 기자조합, 실업자 및 사회조사원 단체, 유럽평의회와 같은 국제단체는 물론 반테러범죄 전담판사, 경찰조합과 현 통신감청감독위원회 회장도 이 법안에 반대한다. 정부는 여론조사 결과를 앞세우며 맞서고 있다. 이 법안에 반대하는 일부 사람들의 노력에도 불구하고 이 법안은 하원 일차 심의에서 찬성 438표에 반대 86표로 가결됐다. 국회수정안에서 CNCTR 감독의 실효성을 강화시키는 등 몇몇 조항이 수정되긴 했지만 주요내용은 변함이 없다. 이 법안이 공표되면 ’프랑스식’ 감시는 사법적 미화작업을 통한 합법성 강화에 힘입어 더욱 심화될 것이다.

1987년 2월 정보기관이 공론의 장에 오르지 않길 바랐던 샤를 파스카 당시 내무부장관은 단도직입적으로 ’민주주의는 국가의 이해가 시작되는 곳에서 멈춘다‘고 단언했다. 디지털데이터가 대중화되는 시대에 그의 발언은 여전히 의미가 있다. 새로운 점은 권력의 실체에 드리운 베일을 거두는 폭로의 중요성이다. 폭로는 새로이 시민들을 결집하고 ’국가 존재 이유에 대해 고찰’하기 위해 기술과 법 모두를 재고하도록 만들 것이다.

 

 

글·펠릭스 트레게 Félix Tréguer

인터넷자유보호단체 ‘라 카드라튀르 뒤 넷’(www.laquadrature.net)의 공동설립자이기도 하다.

 

번역·서희정

한국외국어대 통번역대학원 졸. 역서로 <지나고 나면 아무것도 아닌 일들>이 있다.

 

 

<각주>

 

(1) Jean-Marc Manach, ‘프렌첼론, 프랑스 대외안보총국은 메이저리그에 있다’, 2010년 10월 2일, http://bugbrother.blog.lemonde.fr

(2) 2015년 1월 21일자 기자회견

(3) 2015년 3월 19일자 기자회견

(4) 각각 하원 2015년 4월 15일 회기와 2015년 3월 25일자 하원 법사위원회 청문회

(5) 유럽인권위원회(ECHR), '아만 대 스위스‘ 사건, 2000년 2월 6일, n° 27798/95, 제69절.

(6) 접속정보는 특히 IP주소, 접속 시작과 종료 일자와 시간, 사용된 가명은 물론 인터넷 사업자가 보관한 가입자의 성명 또는 회사명, 등록된 우편주소, 메일주소, 전화번호, 사용된 비밀번호 등 행정정보 등을 포함한다.

(7) Didier Bigo 등, ‘National security and secret evidence in legislation and before the courts : Exploring the challenges’, 시민의 자유와 정의와 국내업무 위원회를 위한 연구, 유럽의회, 2014.

 

<보충기사>

 

시위, 법률, 그리고 권리

 

2013년 여름 에드워드 스노든이 미국 국가안보국(NSA)의 활동방법을 폭로하기 시작하면서 대규모 감시에 반대하는 조직이 형성됐다. 어떤 저항은 기술을 통해 이뤄졌다. 전 세계적으로 해커들과 프리웨어 활동가 공동체는 인터넷 사용자가 자신의 사생활을 지키도록 도우면서 그들의 자립성을 키우려고 노력했다. 기본적인 작업 중의 하나는 암호통신법이다. 1949년 유럽 전역의 인권 옹호를 위해 설립됐고 유럽인권재판소(ECHR)를 독립기구로 둔 유럽평의회는 최근 보고서를 통해 ‘각국이 자국 정보기관에서 실시하는 대규모 감시프로그램의 한계를 정하겠다고 수용할 때까지는 사생활 보호를 위한 암호화를 일반화하는 것이 개인의 정보를 지키도록 돕는 가장 효과적인 보호책’(1)이라고 평가했다.

이 분야에서 테일스(Tails) 운영체제, 토(TOR) 익명인터넷네트워크, 로랑 쉠라 프랑스 인터넷활동가가 2013년 9월 내놓은 칼리오픈(Caliopen) 메시징 프로젝트 등 수많은 프로젝트가 다시 관심을 끌었다. 제도화된 기관으로는 전 세계의 인터넷 프로토콜 표준화를 담당하는 국제인터넷표준화기구(IETF) 등이 스노든 사건으로 암호화의 중요성에 대해 인지하게 됐다.

인터넷 감시를 쉽게 만드는 독점기업과 투쟁해야 하는 또 다른 숙제도 있다. 프랑스단체인 프라마소프트는 2014년 말에 미국의 거대플랫폼에 대한 대안으로 ‘자유롭고 권력분산형이며 윤리적이고 연대적’인 인터넷을 제안하기 위해 ‘인터넷, 구글에서 벗어나자’라는 캠페인을 벌였다. 이러한 시도는 점차 추종자를 모으기 시작했다. 2014년 11월 국제 패널을 대상으로 한 연구에서 스노든 사건에 대해 들어봤다는 응답자의 39%가 공공기관이나 민간기업의 감시에 대비한 조치를 취했다고 답했다.(2) 독일인 중 2천만 명은 사생활 보호를 중시하는 서비스나 어플리케이션을 이용하는 등 자신들의 인터넷 이용방식을 바꿀 것이라고 했다.

법적인 투쟁도 계속 진행 중이다. 오스트리아 개인정보보호 활동가인 막스 슈렘스는 페이스북을 상대로 여러 소송을 제기했다. 그중에는 미국기업이 개인정보에 대한 유럽법을 위반했다는 점을 앞세워 은연중에 유럽 관계당국의 형세관망주의를 비난하는 내용의 집단소송도 있고 이 소송에는 2만 5천 명이 참여했다.

국가 감시에 있어서 유럽연합사법재판소는 2014년 4월 역사적인 결정을 내렸다. 디지털권리아일랜드의 제소로 유럽연합사법재판소는 데이터 보관에 관한 2006년 협약이 무효라고 선언했다. 마드리드와 런던 테러가 발생한 이후 채택된 이 협약은 인터넷사업자가 가입자의 접속정보 전체를 최소 6개월에서 최대 2년까지 보관해 행정 및 사법당국의 요청이 있으면 제공하도록 규정하고 있다. 재판소는 이번 판결을 통해 ‘어떤 사람의 행동이 심각한 범법행위와 간접적 또는 조금이라도 관련이 있다는 기미’가 없다면 그 사람과 관련된 정보를 무분별하게 수집할 수 없도록 했다. 이 판결은 유럽에서 도미노 현상을 일으켰다. 오스트리아와 슬로베니아와 루마니아 헌법재판소와 네덜란드 법원은 그 이후 관련 국내법을 배제했지만 프랑스와 헝가리에서는 국내사법기관에 항소가 제출된 상태이다.

스노든의 폭로가 가져온 투명성 덕분에 ECHR은 조만간 영국 정보기관의 통신 감시 활동에 대한 의견을 밝힐 예정이다. 미국연방고등법원은 2015년 5월 7일에 정부가 자국 시민의 전화를 대규모로 감청하기 위해 애국법을 원용하는 일을 금지하는 결정을 내렸는데 이 소송은 매우 정치적인 영향을 미칠 판례로 남을 수도 있다. 일반화되는 감시를 막기 위한 제도적인 방어막으로 이제 판사만이 남은 것 같다.

 

글·펠릭스 트레게Félix Tréguer

 

번역·서희정

 

 

<각주>

(1) Pieter Omtzigt, ‘대규모 감시에 대한 보고서’, 유럽평의회, Strasbourg, 2015년 4월.

(2) ‘Global Survey on Internet Security and Trust’, Centre for International Governance Innovation - Ipsos, Ontario, 2014년 4월.