침해사고/위협동향

조석 한수원 사장 “사이버위협 조기탐지 위해 예방시스템 구축 추진”

이민형

-국회 산업통상자원위, 윤상직 산업부 장관과 조석 한수원 사장 호된 질책

[디지털데일리 이민형기자] 최근 기밀정보를 유출당한 한국수력원자력이 사이버위협 대응을 위해 조기탐지 예방시스템을 구축한다. 또 데이터 라이프사이클 체계도 만들어 기밀정보가 외부로 유출되는 일을 사전에 차단한다는 계획이다.

조석 한수원 사장은 30일 국회 산업통상자원위원회 전체회의에서 “원전의 사이버안전 정상화를 통해 국민안전을 지키겠다. 또 보안시스템을 근본적으로 개선해 민간 최고수준으로 만들 것”이라며 “앞으로 사이버보안 대응 능력 향상을 위해 모의훈련을 주기별로 실시할 계획이며, 사이버위협 조기 탐지를 위한 예방시스템과 컨트롤타워도 설치해 운영하겠다”고 말했다.

또 조 사장은 “전직원 및 협력사가 지켜야할 보안 규정을 다시금 만들고 지키도록 할 것”이라며 “발전소별 전문가를 두고, 이들 간 네트워크를 형성해 새로운 기술이나 위협에 대응토록 하겠다”고 덧붙였다.

한편 이날 전체회의는 최근 한수원 정보유출 사태에 대한 현안 보고와 대응책 모색에 초점을 잡고 진행됐으며, 윤상직 산업통상자원부 장관과 조석 한수원 사장 등이 참석했다.

◆“완벽한 보안 주장말라”…산자위 의원들, 조 사장에게 호통=산자위 의원들은 물리적으로 망분리가 돼 있어 안전하다는 한수원의 주장에 대해 ‘말도 안된다’며 호통을 쳤다.

전하진 의원(새누리당)은 “한수원은 망분리가 돼 있어 안전하다고 말한다. 하지만 망연계가 돼 있는 상황에서 100% 안전하다고 말할 수 있나”고 지적하고 “보안은 언제든 뚫릴 수 있다고 생각하고 대책을 세워야 한다”고 강조했다.

망연계 과정에서 문제가 발생하거나 USB메모리 드라이브 등을 통해 감염될 가능성이 충분하다는 것이 전 의원의 주장이다.

전 의원은 이어 “또 한수원은 악성코드가 없다고 주장하는데, 없다는 것을 어떻게 확신할 수 있는가. 백신에 잡히지 않는 알려지지 않은 악성코드가 아직 내부에 있을 수 있음을 염두하라”고 덧붙였다.

김제남 의원(정의당) 역시 알려지지 않은 악성코드의 위험성을 강조했다. 김 의원은 “새로운 악성코드는 백신으로 잡을 수 없다. 이에 대한 대책을 수립하라”고 당부했다.

또 이진복 의원(새누리당)은 업무망에서 외부 인터넷에 접속이 가능했다는 자료를 제시하며 망분리가 제대로 이뤄지지 않았음을 지적했다.

이 의원은 “한빛원자력본부 업무망에서 네이버에 접속할 수 있다는 사실을 발견했다. 내부에서 스마트폰 테더링 등을 통해 사용할 수 있었던 것이 아닌가 추정한다”고 말했다.

이에 대해 조 사장이 “스마트폰 테더링은 사용하지 못하도록 설정돼 있다”고 해명했으나, 이 의원이 “협력사 직원에 대한 보안도 제대로 돼 있다고 확신할 수 있는가?”라고 질의하자 입을 다물었다.

◆산자위, 보안예산 집행률 지적=이날 전체회의에서는 한수원의 보안예산 집행에 대한 문제도 제기됐다.

이현재 의원은 “한수원이 사이버보안에 신경을 쓰지 못한다는 이유는 여러곳에 발견된다. 보안관련 예산을 편성해줬음에도 제대로 집행하지 않고 있다”고 지적했다.

이현재 의원실에 따르면 한수원의 2012년 보안예산은 249억1000만원으로 이 중 5% 수준인 13억5400만원만 집행됐다. 2013년의 보안예산은 217억6200만원으로 이 중 절반 수준인 100억2300만원이 쓰여졌다.

이 의원실은 2013년 집행된 예산의 대부분이 망분리 사업에 들어간 것으로 파악되며, 나머지에 대한 투자는 이뤄지지 않은 것으로 분석했다.

이 의원은 “해마다 사이버보안 예산이 줄어들고 있으며 집행률도 제자리 걸음이다. 한수원의 안전불감증을 나타내는 지표라 본다”고 말했다.

◆윤상직 산업부 장관 “인재(人災) 통감, 원초적인 문제 해결 할 것”=윤상직 산업부 장관은 “이번 사태로 인해 전문가들과 함께 필요한 점검을 다 했다. 원초적인 문제는 사람의 문제였다”고 책임을 통감했다.

윤 장관은 이어 “현장에서 사이버보안에 대한 전반적인 시스템을 점검했다. 망분리가 돼 있어도 사람 문제는 남아있었다”며 “보안시스템을 환골탈태시킬 것이며 임직원들의 보안의식 고취를 위해 노력하겠다”고 덧붙였다.

이 같은 발언은 한수원 임직원을 노리는 스피어피싱 메일의 열람률을 장윤석 의원이 지적했기 때문이다. 장 의원은 “보안점검 때 많은 임직원들이 악성코드가 포함된 이메일을 열람한다. 이를 열람하지 않도록 교육해야 한다”고 제언했다.

조 사장은 “현재 보안교육을 전직원을 대상으로 실시하고 있다. 이런일이 발생하지 않도록 노력하겠다”고 전했다.

한편 윤 장관은 이번 사태를 계기로 산업부 자체 사이버안보 컨트롤타워를 만들고 비상사태시 즉각 보고할 수 있는 브리핑시스템도 갖출 것이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널