[그린그로스 2.0 이젠 에너지 안보다]<16>정보보안 선봉장, 한국남부발전

글로벌 경기침체로 각 기업들은 정보기술(IT)에 대한 예산을 줄이고 있다. 하지만 정보보호 예산은 꾸준히 증가하는 추세다. 최근 들어 국내에서도 `3.20 사이버테러` 등 보안사고가 잇따라 발생하면서 기업의 경각심이 높아지고 있는 이유다. 특히 국내 산업동맥인 전력분야가 은행, 방송에 이어 제3의 사이버테러 타깃이 될 수 있다는 전망이 나오면서 긴장감이 고조되고 있다. 사이버 공격으로 발전사 전산망이 마비될 경우 엄청난 재산과 인명 피해가 예상된다.

[그린그로스 2.0 이젠 에너지 안보다]<16>정보보안 선봉장, 한국남부발전

발전 5개사 가운데 가장 많은 예산과 인력을 투입하고 있는 곳은 한국남부발전이다. 이 회사의 지난해 ICT 예산은 22억원이었다. 하지만 올해는 2배 늘린 41억원을 투입할 예정이다. 네트워크망과 내부 IPS, 방화벽 등 시설투자를 강화하기 위해서다. 사이버테러 대비 `보안의 끈`을 강하게 동여매고 있는 남부발전 ICT총괄반을 찾았다.

◇ICT총괄 철통관제 “이상 무!”

한국남부발전은 발전사 최초로 `남전 사이버 보안관`을 발족시켜 관리적인 측면의 보안수준을 향상시키고 있다. 발전소별로 1~2명 등 총 9명으로 구성된 사이버보안관을 통해 해당 발전소의 정보보안 지도점검, 실태점검과 정보보안 취약점 발굴 및 개선활동, 대내외 정보보안 합동 감사 등의 임무를 수행한다. 여기에 지난 2011년 12월 인터넷과 업무망을 분리하는 등 사이버침해에 적극 대응하고 있다. 그 중심에 ICT총괄반이 있다.

ICT총괄반을 책임지고 있는 최청 반장(처장)은 “IT가 없으면 발전소에서 전력을 생산할 수 없다”며 “정보보안은 앞으로 발전사업에서 중요한 핵심업무가 될 것”이라고 말했다.

ICT총괄반은 남부발전의 ICT 정책과 정보시스템 운영을 책임지고 있는 관리본부 직속기구다. 정보보안, 정보통신을 담당하는 정보보안팀과 전사적자원관리(ERP) 등 정보시스템 운영과 업무 개선을 담당하는 정보전략팀으로 구성되어 있다.

지난 3.20 사이버테러 등 정보보안 위협이 갈수록 증가되는 가운데 발전소를 사이버 위협으로부터 안전하게 지켜내는 것도 ICT총괄반의 주요 임무다. 남부발전 경영진이 보안인력과 예산을 ICT총괄반에 아낌없이 쏟아 붓고 있는 것도 같은 맥락이다.

이상호 남부발전 사장은 “발전소 제어설비는 사이버침해 시 파급효과가 국가 안보에 큰 위협이 된다”며 “철통방어를 통한 정보보안에 앞장설 것”이라고 강조했다.

제어설비에서도 전담 위탁 인력의 투입으로 정기점검 등 상시 보안관리 활동을 지속하고 있다. 제어기기 제작사와 기술 협력관계 구축으로 지속적인 보안수준을 향상시키고 있다. 남부발전은 한전KDN과의 협업을 통해 각 지역발전소에 IT전문가를 파견, 운영하고 있다.

남부발전의 사이버보안관 KCP(KOSPO Cyber Police) 제도도 눈길을 끈다. 본사 위주의 보안 활동에서 사업소별 정보보안 전문가를 지정, 정보보안 실태점검, 취약점 발굴·개선 등으로 사이버테러에 만전을 기하고 있다. 이 회사는 글로벌 수준의 정보보호 관리체계 구축을 위해 ISO27001 기준으로 보안체계를 전면 개선했으며 올해 안에 인증을 취득할 계획이다.

◇24시간 감시체제 사이버테러 “꼼짝 마!”

남부발전은 정보시스템, 설비 등의 실시간 운영현황과 즉각적인 대응을 위해 K-SIMS(Smart IT Monitoring System)를 운영 중이다. ERP 등 업무시스템, 운영서버, 네트워크, 보안관제 등 전사 ICT 인프라에 대해 24시간 통합모니터링을 진행하고 있다. 중요 정보자산 보호와 직원들의 안전하고 편리한 업무환경을 지원한다.

지난해 12월에는 정보보안 안전성 점검을 위해 발전사로는 처음으로 지식경제부(현 산업통상자원부) 사이버안전센터 해킹전문가 주도로 인터넷에서 사내망 및 발전제어시스템 침투를 위한 모의해킹을 진행했다. 그 결과 기술적, 인적 보안방어로 정보시스템 침투에 실패해 정부로부터 완벽보안을 검증받았다.

남부발전의 발전소 제어시스템은 정보통신기반설비로 지정되어 있다. 시스템 침해사고는 산업사회에 대한 안정적 전력공급을 저해하는 요소가 될 수 있기 때문이다. 외부로부터 공격을 차단하기 위해 발전제어망에 대해 사내외 업무의 망분리를 완료했다. 외부의 침해사고 발생 시 체계적인 대응을 위해 다양한 가상시나리오를 설정하고 이에 대한 실질 훈련을 매년 진행하고 있다.

전규식 홍보팀장은 “지속적인 훈련으로 전직원의 정보보안 의식을 고취시키고 있다”며 “체계적인 훈련으로 사이버위기 대응능력을 배양하고 있다”고 말했다.

빠르게 진화하는 IT트렌드와 다양한 비즈니스 요구에 대응하기 위해 ICT총괄반 직원들은 자기계발 등 개인 역량 강화에 매진하고 있다. 모두 13명의 정보통신 직원 중 정보보호대학원 학위취득 2명, 과정을 진행하고 있는 직원이 2명이다. 올해는 모든 직원이 국제공인 정보보안전문가(CISSP) 자격증과 ERP담당 PI인력의 전문화를 위해 SAP 컨설턴트 자격증을 취득할 방침이다. 인력의 전문화를 통해 명실상부 전문가 집단으로 우뚝 선다는 목표다.

◇함께 가야 멀리 간다, “점프 업!”

남부발전은 국내 중소기업과의 협업을 강화하기 위해 국산 SW 확대에 팔을 걷어 붙였다. 기존 안정성이 검증된 외산제품 위주에서 국산으로 눈을 돌린 것이다. 이는 새 정부의 `창조경제`와 `중소기업 지원` 정책 등에 적극 부응하기 위해 웹서버·DBMS·WAS서버 등 시스템 SW를 국내 중소기업이 개발한 제품으로 도입할 계획이다.

기존 국산 SW의 신뢰성과 안정성 문제가 아직까지 남아있기는 하지만 국내 유망 중소기업들이 기술개발에 매진할 수 있도록 과감히 사업방향을 전환했다.

이 회사 관계자는 “남부발전의 동반성장 정책은 유능한 국산 SW 분야 중견기업들이 글로벌 전문기업으로 거듭나는 성장의 노둣돌이 되기 위한 것”이라고 말했다.

스마트워크 문화도 눈에 띄는 대목이다. 남부발전은 발전사업에 최적화된 모바일 업무서비스 `스마트N`을 구축 중이다. 공기업 본사이전 정책에 따라 내년 본사이전 시점과 맞춰 ICT통합센터와 재해복구(DR)센터 구축, 재택·원격근무 지원을 위한 클라우딩 구축 등 최첨단 스마트 업무환경을 계획하고 있다.

특히 ICT총괄반의 역할을 회사 내 또 다른 정보회사 개념으로 확대할 계획이다. 기존 ICT 총괄반에서 벗어나 고객지향의 사내 컨설턴트, 세일즈맨, 서비스맨, 마켓터로서 자리매김 하겠다는 청사진을 중비 중이다. 이를 통해 남부발전의 ICT 서비스 수준을 한층 업그레이드 시키고 협력 파트너사와의 동반성장을 통해 창조경제를 견인하는 데 큰 기여를 할 방침이다.

소박스// `4대 전략 관리시스템` 최대 매출 `첨병`

남부발전은 비전과 전략목표 달성을 위해 △발전사업 확대 △미래성장사업 최적화 △핵심역량 강화 △책임경영 고도화 4대 전략 관리시스템을 구축 중이다. 특히 지난해 8월 구축된 통합전략 성과관리시스템은 전사 경영목표를 조직단위에서 개인까지 확대하고 모니터링을 통해 비전 달성 실행력을 높였다.

신성장사업관리, 연료구매, 인력개발, 윤리경영 등 경영관리를 효율적으로 추진할 수 있도록 모니터링 하고 피드백을 통해 회사 경영성과를 높이는 동시에 지속가능 경영을 구현하는데 기여하고 있다. 이 같은 정보시스템 활용을 통해 남부발전은 지난해 발전사 최대 매출액인 6조9000억원을 달성했으며 공공기관 청렴도평가 1위, 설비신뢰도 최고수준 등 우수한 경영실적을 달성했다.

남부발전은 지난 수십년간 쌓아 온 노하우를 IT 시스템화 했다. 인사와 급여, 자산관리, 세무, 발전까지 모든 업무를 IT화 시켰다. 이를 위해 국내 중소 IT기업인 이메인텍과 공동으로 발전플랜트 통합관리스시템 OPMS를 구축했다.

남부발전의 발전소 운영관리 노하우를 기반으로 만들어진 OPMS는 기존 전사 통합관리시스템 구축에 값비싼 외산 ERP 솔루션 도입에 따른 비용을 획기적으로 줄일 수 있었다. 또한 발전운영·발전정비·재무회계·그룹웨어 등 수요자들이 자유롭게 운영할 수 있는 시스템 구현했다.

OPMS는 남부발전이 수행하고 있는 `요르단 알 카트라나 O&M 프로젝트`에서 시범운영을 통해 성능을 입증했다.

회사 관계자는 “OPMS를 공동개발한 이메인텍은 국내외 발전사업에 있어 좋은 기회를 얻게 됐다”며 “남부발전은 창조경제와 중소기업 동반성장이라는 핵심 키워드를 통해 튼실한 발전공기업으로 우뚝 설 것”이라고 말했다.

인터뷰// 최청 남부발전 ICT총괄반장(처장)

“IT 없는 전력산업은 생각할 수도 없습니다. IT는 전기와 같습니다. 전기는 24시간 공급지만 우리가 피부로 느끼지 못하는 것처럼 IT 역시 우리의 일상과 함께하지만 전혀 체감하지 못하는 것과 같습니다.”

최청 남부발전 ICT총괄반장(처장)은 IT와 전력산업은 뗄래야 뗄 수 없는 `찰떡궁합`이라고 강조했다.

“남부발전 ICT총괄반은 있는 듯, 없는 듯 업무에 임하고 있습니다. 직원들이 불편함 없이 업무를 할 수 있도록 지원하는 그림자 같은 존재입니다. 13명의 직원은 숨은 일꾼이지만 이들이 없으면 발전소가 돌아갈 수 없는 이치입니다.” 최 반장은 남부발전에서 ICT총괄반의 위치를 이렇게 설명했다.

ICT총괄반은 재무, 실시간 연료공급, 자재 등 회사 전반의 업무정보를 임직원에 실시간 제공하고 있다. 최근에는 공급망관리(SCM Supply Chain Management) 시스템을 `사이버웨어 하우스`로 변경 중이다. 사이버웨어 하우스는 발전소에 공급되는 다양한 부품의 수급을 비용측면에서 효율적으로 처리하기 위한 시스템이다.

“국내 산업이 고도화되면서 협력사들의 자재수급 능력이 높아지고 있습니다. 협력사들의 자재창구를 이용하면 쉽고 빠르게 부품을 공급받을 수 있는데, 굳이 발전사가 물류창고를 갖고 있을 필요가 없지요.”

최 반장은 특수부품을 제외한 일반적인 볼트·너트 등은 협력사와 소싱그룹을 만들어 부품별 단가계약을 체결하면 된다고 설명했다. IT를 통한 업무효율화를 `사이버웨어 하우스`가 만들 수 있다는 판단이다. 효율은 높이고 비용은 줄이는 일석이조의 효과다.

최근 최 반장이 주력하고 있는 것은 사이버테러다. 지난 3.20 사이버테러가 언론과 금융이었지만 다음 대상이 발전소가 될 수 있다는 판단에서다. 이를 위해 정보보호에 대한 직원들의 위기의식 강화에 집중하고 있다. 단순히 스마트폰으로 파일을 내려 받으면 회사 네트워크와 연결돼 발전업무가 해킹될 수 있다는 위험을 스스로 느끼게 하는 것이 중요하다는 생각에서다.

“남부발전 ICT총괄반은 회사를 `글로벌 톱10 파워컴퍼니`로 나아가기 위해 묵묵히 그림자 역할을 담당할 것입니다. IT가 각 부서업무와 융합되면서 효율을 극대화 할 수 있는 조력자가 핵심 업무입니다.”