“삼성을 써야 할까요, 애플을 써야 할까요? 국민들도 그런 걱정을 하시지 않을까요?” 2월26일 ‘국민보호와 공공안전을 위한 테러방지법안(이하 테러방지법)’에 반대하는 국회 무제한 토론에서 배재정 더불어민주당 의원은 이렇게 말했다. 2014년 9월 카카오톡 감청 논란이 일자 독일산 메시지 앱인 텔레그램으로 ‘사이버 망명’이 일어났듯이, 테러방지법 통과로 국내 스마트폰 이용자가 불안해할 수 있다는 취지의 발언이었다.

3월3일 국회 본회의에서 통과된 테러방지법은 국정원에게 지나친 권한을 부여해 사생활 침해에 악용될 수 있다는 비판을 받았다. 특히 독소조항으로 지적된 것은 제9조 ‘테러 위험인물에 대한 정보 수집’ 조항이다. 이 조항에 따르면 국정원은 테러 위험인물의 거의 모든 개인정보를 합법적으로 수집할 수 있다. 출입국 정보, 금융거래 정보, 통신이용 정보 등이다.

민간 사업자에게 정보를 요구할 수도 있다. 개인정보, 위치정보, 민감정보(사상·신념, 노동조합·정당의 가입·탈퇴 여부, 정치적 견해, 건강, 성생활 등에 관한 정보 등) 등이 포함된다. 위치정보는 기존 법에서 경찰이 긴급 구조, 실종자 수색 시에만 정보 주체의 동의 없이 요청할 수 있었던 정보다. 이젠 테러방지법 덕분에 국정원이 위험하다고 간주되는 인물의 위치정보를 ‘합법적으로’ 손에 넣을 수 있게 되었다. 더욱이 정보를 수집·요구하는 절차마저 법에 명시되지 않은 까닭에 영장을 받아야 할 필요도 없다.

IT 기업들은 방대한 개인정보와 위치정보를 취급한다. 특히 스마트폰은 ‘자아의 확장’이라고 불릴 정도로 많은 정보를 담고 있다. 테러방지법에 따르면, 이런 정보들이 모두 국정원으로 흘러들어갈 수 있다. 삼성전자, LG전자, 애플코리아 유한회사, 구글코리아 유한회사, 네이버, 카카오 등 대표적인 스마트폰 제조사와 IT 기업들은 모두 ‘개인정보처리자’인 동시에 ‘위치정보사업자’다. 국정원은 테러방지법 제9조 3항을 근거로 이들에게 개인정보, 민감정보, 위치정보를 ‘요구할 수 있다’.

전문가들은 기업이 수사기관의 요구를 거절할 수 있을지 의심한다. 3월22일 국회의원회관에서 열린 ‘테러방지법과 사이버테러방지법의 문제점 진단 토론회’에서 오동석 민주주의법학연구회 회장은 해당 조항에 대해 “마치 임의적이고 재량이 허용되는 것처럼 규정하고 있으나, 국정원장 내지 관계기관 장의 요구를 (민간 사업자들이) 재량으로 거부할 수 있을지 극히 의문이다”라고 지적했다. 시민단체 오픈넷은 3월7일 성명을 발표해 “(테러방지법) 제9조 3항은 사업자들의 자발적인 협조를 얻어 정보를 수집하는 제2의 통로를 뚫은 것으로 봐야 한다”라고 주장했다.

이에 따라 테러방지법 이후 애플의 아이폰이 주목받고 있다. 애플은 최근 미국 연방수사국(FBI)의 아이폰 ‘잠금 해제’ 협조 요청을 법원 명령에도 불구하고 단호히 거절했다. 3월22일, 미국 캘리포니아 쿠퍼티노에 있는 애플 본사 강당에서 열린 특별 이벤트에서 팀 쿡 애플 회장(55)은 “우리는 당신이 스스로 데이터를 지키고, 당신의 사생활을 보호할 수 있도록 도울 책임을 갖고 있다고 강하게 믿는다. 우리는 이 책임을 회피하지 않을 것이다”라고 말했다. 수사기관의 요청보다 이용자 정보보호를 우선한다고 다시 한번 강조한 것이다.

보안 원칙은 ‘아이폰 고유 서비스’에만 해당

아이폰은 정말 테러방지법을 근거로 한 수사기관의 ‘무차별 정보 수집’에서 자유로울까? 분명히 특정 종류의 데이터는 그렇다. 애플의 서버에 보관된 개인정보 중 가입자 정보, 이메일, 연락처, 아이메시지(iMessage) 등 민감한 콘텐츠는 모두 아이클라우드(iCloud)에 저장된다. 아이클라우드 서버는 암호화되어 있는데, 그 ‘열쇠’는 미국에 있는 데이터센터에 보관된다. 따라서 한국의 법 집행기관이 애플로부터 아이클라우드의 콘텐츠를 제공받으려면 수색영장 또는 미국 법무부 당국의 협조가 필요하다. 영장 절차가 명시되지 않은 국내법인 테러방지법 제9조에 의한 정보 요청은 어렵다.

예외가 하나 있다. ‘긴급 요청’이다. 애플의 ‘일본 및 아시아 태평양의 법적 절차 지침’에 따르면 △개인의 생명 또는 안전 △국가의 안보 △중요한 인프라 또는 설비의 막대한 피해에 대한 즉각적이고 심각한 실제 위협과 관련된 상황 등에서는 법 집행기관의 정보 제공 요청에 응할 수 있다. 이를 판단하는 것은 애플 본사의 담당자다. 결국 국정원이 의심하는 ‘테러 위험인물’이 국가 안보에 즉각적이고 심각한 실제 위협을 가하는지 애플 본사가 판단해 결정하는 셈이다.

그러나 이런 보안 원칙은 아이메시지, 페이스타임 등 아이폰 고유의 서비스에만 해당된다. 카카오톡, 네이버, 다음, 구글, 페이스북 등이 수집하는 개인정보·민감정보·위치정보는 아이폰과 별개다. 이동통신사가 주관하는 문자메시지(SMS), 통화 내역도 마찬가지다. 익명을 요청한 한 업계 전문가는 “예를 들어 카카오톡을 털면 아이폰을 쓰든, 삼성 휴대폰을 쓰든 아무 상관이 없다. 국내에 서버가 있는 모바일 서비스를 이용한다면 아이폰이라서 안전할 수 있는 상황은 아니다”라고 말했다. 특히 테러방지법으로 인해 국정원에 합법적으로 제공되는 위치정보는 “GPS를 통해 위치를 측정하는 대부분의 기업은 한 번에 20회 정도 GPS를 가동해 평균을 내는 방법으로 꽤 정확한 위치를 추정한다. 내 생각으로는 염려할 정도의 정확성이다”라고 말했다.

실제 기업들에게 테러방지법에 근거해 국정원에 협조할 예정인지 물었다. 애플코리아는 앞서 설명한 대로 긴급 요청이 아닌 경우 미국 법무부의 협조가 필요하다는 본사의 지침을 따른다. 구글코리아 관계자는 “테러방지법이 국회에서 통과된 것이고 시행령이 안 나온 시점이라 아직은 답변드릴 것이 없다”라고 답했다. 삼성전자 관계자는 “우리는 제조사라 위치정보를 저장하고 있지 않다. 요청한다고 해도 제공할 정보가 없다”라고 말했다. 그러나 업계 전문가는 “제조사도 기술적으로는 위치정보를 수집할 수 있다. 기술적 문제가 아니라 각 회사의 정책적 문제다”라고 말했다. 네이버는 3월11일 영장이 없는 한 수사기관에 이용자 개인정보를 제공하지 않겠다고 밝힌 바 있다.

그러나 ‘암울한 선례’가 있다. 통신자료 제공이다. 전기통신사업법 제83조 3항은 수사기관의 통신자료 열람이나 제출 요청에 통신사업자들이 ‘따를 수 있다’라고 규정했다. 테러방지법 제9조와 같은 모호한 조항인데, 통신사들은 이 요청에 거의 100% 응하고 있다. 이동통신사 3사는 앞으로도 계속해서 통신자료 제공 요청에 응하겠다는 입장이다. 시민단체 오픈넷은 이를 근거로 테러방지법 역시 “의무 조항이 아니라 해도 민간 사업자들이 수사기관의 요청에 기계적으로 응할 가능성이 높다”라고 지적했다. 결국 시민의 개인정보 보호는 고스란히 기업의 몫이 되었다. 미국 정부의 광범위한 도·감청을 폭로했던 미국 국가안전보장국(NSA)의 전 직원 에드워드 스노든은 3월22일 FBI와 애플에 관해 트위터에 짧은 논평을 올렸다. “2016년, 일반인들이 자신의 권리를 지키기 위해 사기업에 의존하도록 강요받는 시대. 이것은 경고 신호다.”