이미 할 일들은 다 나와 있다. 국정원의 말대로 외국인에 대해서만 RCS를 이용했다고 할지라도 대통령의 허가를 받지 않았다고 하니 통신비밀보호법 상의 불법감청에 해당한다. 국정원은 이에 반박하면서 ‘해킹은 감청이 아니다’라고 주장하였다고 하는데 어불성설이다. 해킹은 감청+압수수색+알파에 해당하는 훨씬 기본권침해가 심대한 수사기법으로서 2008년 독일연방헌법재판소의 해석을 따르자면 감청허가 이상의 절차를 받았어야 했다. 그리고 여기서 알파는 바로 피감시자의 정보통신기기에 통제권의 잠탈(편집자주 : 탈법적인 방법으로 회피)을 말한다.

국정원은 해킹은 “실시간” 정보취득이 아니므로 감청이 아니라고 항변하고 있다. 하지만 “감청은 실시간으로 통신내용을 지득(알게 됨)하는 것”이라는 대법원의 판결취지는 반드시 통신내용을 감시자가 실시간으로 육안으로 또는 육성으로 읽거나 듣고 있어야 한다는 취지가 아니다. RCS해킹이 이루어지면 이 피감시자의 통신기기는 이미 감시자의 도구가 된 것이다. 피감시자가 통신을 시작하는 순간 이미 그 통신은 감시자의 도구를 통해서 이루어지고 있으므로 실시간 감청이라고 볼 수밖에 없다. 2013년 미국 연방지방법원도 해킹은 틀림없이 감청에 해당한다고 결정하였다.

물론 외국인에 대해서 불법감청을 한 것은 내국인에 대해 불법감청을 했다는 것만큼 정치적 폭발력은 없다. 하지만 국정원이 카카오톡 등 국내 앱들과 내수용 갤럭시모델에 대한 해킹요청을 해킹팀 측에 지속적으로 했던 것을 보면 내국인에 대한 불법감청을 계획하고 있었다는 것만큼은 확실하다. 그렇다면 실제로 그 계획이 실현되었는가와 관계없이 국정원의 RCS사업은 국정원의 해킹에 대한 규제 필요성을 웅변한다. 또 실제 내국인에 대한 불법감청이 드러난다고 할지라도 무엇을 이룰 수 있을지를 현실적으로 판단해보아야 한다.

지금 여야는 지금까지 드러난 사실만 가지고 19대 국회에서 무엇을 해야 할 것을 고민하는 것이다. 다음과 같은 3대 과제를 제안한다.

첫째, RCS식 즉 해킹방식의 국가감시를 허용할 것인지에 대한 논의를 시작해야 한다.

해킹은 감시의 깊이나 양적 측면에서 통신비밀보호법 상의 감청이나 형사소송법의 압수수색 범위를 뛰어넘으며, 통신기기의 통제권을 잠탈한다는 면에서 패킷감청의 그것마저도 뛰어넘는다. 컴퓨터가 가진 인류학적 의미를 고려할 때 컴퓨터에 대한 통제권을 취득할 경우 얻게 되는 정보의 양과 종류의 무한함은 말할 것도 없지만 쇼핑, 운송, 금융 등에 있어서도 소유주를 통제할 수 있다.

우리 형사소송법은 원칙적으로 모든 압수와 수색은 “범죄에 관련된 것”으로 한정되어서 이루어져야 한다고 되어 있는데 과연 이 원칙이 지켜질 수 있을까. 지금 우리나라 판사들에게 해킹영장이 청구되면 허가하겠느냐고 설문을 해본다면 대부분 기각한다고 답할 것이다. 또 이렇게 통제권을 취득하는 방식은 정당한 증거에 대해서도 항상 조작의 의심을 가질 수밖에 없게 만들어 효율적인 증거취득방식이 될 수 없다. 또 기기가 악성코드로 감염되면 그 기기의 보안상태가 엉망이 되어 수사기관이 아닌 제3자에 의한 악의적 공격에도 취약해진다.

이런 이유로, 독일에서 테러수사와 관련하여 악성 코드를 심는 감시기법에 대해 논란이 되자 연방헌법재판소는 2008년에 해킹은 일반감청보다 훨씬 높은 기준을 충족할 때만 허용된다고 판결하여 실질적으로 해킹을 금지한 바 있다. 미국에서도 2013년부터 FBI가 금융사기 조사를 위해 청구한 “해킹영장”이 기각된 사례들이 나타나고 있다. 영국에서도 해킹수사에 대해 위헌소송이 제기되자 법무부는 2015년 행동강령을 발표하였지만 국민들은 불충분하다며 거부하고 있다. 우리나라도 늦지 않게 검토가 필요하다.

둘째, 피감시자에 대한 통지의 개선이다.

해킹은 타겟에 대한 감시뿐만 아니라 타겟의 통신기기에 대한 통제권도 잠탈하는 것이기 때문에 통지의 필요가 지대하다. 확인컨대 “영장이 있다고 해서 증거를 훔칠 수는 없다.”. 그런데 선진국 중에서 거의 우리나라만 유일하게 수사가 완전히 종료된 후에야 통신감시에 대한 통지가 이루어진다. 국정원처럼 수사가 수년을 끄는 경우도 많은데 피감청자는 이 기간에 감청당한 것도 모르고 살게 되고 심지어 기나긴 기간을 거치며 통지가 실수로 누락되기도 한다.

수사종료에 관계없이 감시행위 종료 후 통지하도록 하는 통신비밀보호법 개정안은 19대 국회에 감시기법별로 4~5개, 총 17개가 발의되어 있다(참여연대, 이슈리포트 <국회 통과 기다리는 사이버사찰방지 법안 17개>). 통지라도 제대로 이루어진다면 대상자의 저항이 두려워 수사기관들이 해킹을 자제하도록 하는 효과도 있을 것이다.

셋째, 피감시자의 신원확인이 영장이나 통지 없이 이루어지는 상황에 대한 해결이다.

해킹은 타겟이 접촉한 수많은 죄 없는 다른 사람들이 타겟과 나눈 대화를 엿들음으로써 그들의 프라이버시도 같이 침해하는데 이를 막는 유일한 방법은 통신상대방의 익명성을 보장해주는 것이다. 2014년 10월에 노동당 정진우 부대표의 카톡 압수수색이 사람들을 분노케 한 이유도 카톡 내용 취득 자체 보다도 수천 명의 단톡방원들의 신원정보를 당사자에게 아무런 통지나 절차 없이 취득했었다는 점이었다. 2013년부터 평균 1천만 명 가까운 사람들의 신원정보가 영장 없이 취득되고 있다. 이를 해결하기 위한 법안은 19대 국회에 무려 10개가 발의되어 있다. (참여연대 이슈리포트)