[이슈분석]한수원 자료유출 일파만파...원전 보안 이대로 좋은가

15일-아랍에미리트 왕세제에게 보낸 대통령 친서와 한국수력원자력 직원 개인정보.

18일-고리·월성 원자력 발전소 일부 설계 도면과 원전 주변 주민들의 방사선량 평가 프로그램.

19일-원자로 냉각시스템 밸브 도면과 K-REDAP 등 한수원 내부시스템 화면, 비밀 세부분류지침, 내부 유선전화번호, 2급 이상 직원 전화번호 등 문서 9종.

21일-월성 3·4호기 최종안전성분석보고서, 고리 1·2호기 공기조화 계통도면, MCNP 버전5 사용자 매뉴얼, BURN4 등 4종.

한국수력원자력 내부 자료가 연이어 인터넷에 공개되면서 국내 주요 기반보호시설을 노린 사이버 테러 위협이 수면으로 급부상했다. 사이버 공격이 물리적 테러로 이어질 가능성이 높아 긴장감이 고조된다.

한수원은 “15일부터 인터넷에 공개된 자료와 도면의 기술검토 결과 원전 운전과 정비 교육에 필요한 참고문서로 유출 영향은 미미하다”는 분석 결과를 내놨다. 정부합동수사단이 수사에 들어갔지만 도면 유출 사실만을 확인했을 뿐 아직 이렇다 할 성과가 없다.

하지만 연이어 자료까지 공개되며 어떤 기밀이 얼마나 빠져나갔는지 알 수 없다는 분석에 힘이 실린다. 지금까지 공개된 자료가 ‘빙산의 일각’일 수 있다.

최근 소니픽처스가 대규모 해킹 공격으로 주요 미개봉 영화 콘텐츠는 물론이고 기업 내부 기밀자료 등 수십 기가바이트(GB)에 달하는 데이터를 유출한 사건처럼 한수원 내 다른 자료가 유출됐을 가능성도 배제할 수 없다.

◇원전, 크리스마스의 악몽?

블로그에 한수원 내부 문서를 올려놓고 일반인 열람을 유도한 공격자는 ‘크리스마스 선물’이란 표현을 쓰며 일본 후쿠시마 원전 폭파 사건을 언급했다. 공격자는 노골적으로 “1차 공격은 하드디스크드라이브 파괴 몇 개로 끝났지만 2차는 제어시스템 파괴”라고 명시했다. 그는 “아직 한수원은 해킹 상황을 제대로 모른다”며 “우리 그룹이 1만6250개 악성코드를 보냈다”고 썼다. “크리스마스에 여러 기의 원전이 파괴될 수 있으니 국민 안전을 도모하는 조치를 해 올해를 사고 없이 마무리했으면 좋겠다”는 글까지 올렸다.

공격자는 19일 문서 공개 때 해외 파일 공유사이트 ‘패스트빈’을 이용했다. 한국 수사기관이 신속하게 차단할 수 없는 곳에 문서를 올리며 한수원과 정부를 조롱했다.

실제로 최근 한수원 등에 한글 취약점을 이용한 지능형지속위협(APT) 공격이 있었다. 이 공격으로 일부 PC 하드디스크드라이브가 파괴된 것으로 알려졌다.

공격자는 15일 네이버 블로그를 개설하고 1차로 한수원 임직원 정보를 올렸다. 그 이후 본격적으로 원전 설계도면을 글로벌 클라우드 서비스인 ‘드롭박스’에 올리고 링크를 게시했다. 준비작업을 마친 공격자는 기자에게 ‘원전 해킹 정보’라는 이메일을 보내 관련 내용을 알리는 대범함까지 보였다. 검찰 등 수사기관은 본지에서 입수한 공격자 IP(Internet Protocol) 주소를 추적 중이다.

19일 수위는 더욱 높아졌다. 공격자는 트위터에 “바이러스가 언제 작동할지 잘 모른다”며 “흔적 같은 거 안 남기니 찾느라 너무 신경쓰지 말라”고 경고했다. 또 “크리스마스 선물은 방사능 없는 안전한 환경이 아닐까요”라는 설명도 달았다. 원전반대그룹은 “원전 인근에서 상시적인 위협을 받고 있는 주민께 정중히 건의드린다”며 “크리스마스부터 몇 달 동안은 원전에서 멀리 떨어진 곳으로 피하세요”라는 글도 남겼다.

21일 공격자는 또 트위터에 한수원을 맹비난하며 추가 자료를 공개했다. 공격자는 “아직 공개 안 한 자료 10만여장도 전부 세상에 공개해줄게. 제대로 한번 당해봐라”라고 썼다. 그러면서 현재 수사상황을 비웃는 말도 서슴지 않았다. 그는 “합수단 분들도 고생 많으신데 수사할거면 제대로 하라”며 “한수원 덮어줄 생각이면 수사를 중단하라”고 덧붙였다. 공격자는 “고리 1·3호기, 월성 2호기를 크리스마스부터 가동 중단 조치하라”며 “중단 안 되면 자료 모두 공개하고 2차 파괴를 실행한다”고 협박했다.

◇국가 주요기반시설 정보보호 ‘구멍’

한수원은 국내 전력의 29%를 담당하는 최대 발전 회사로 23기에 달하는 원전을 운영한다. 이번 자료 유출 사고는 한수원의 허술한 정보보호 상태를 그대로 보여준다. 자료의 민감도를 떠나 회사 내부 자료가 유출됐다는 사실만으로 정보보호에 큰 허점을 드러냈다.

19일 아침 산업통상자원부(산업부)는 본지 보도와 관련해 입장(설명) 자료를 모든 언론사에 배포하고 ‘한수원, 해킹 수사의뢰…원전 설계도 유출 가능성’에 대해 설명했다. 이 설명 자료가 나온 지 하루가 지나지 않아 공격자는 정부를 조롱하는 듯 또다시 자료를 공개했다.

산업부는 “현재까지 해킹 흔적이 발견되지 않았으며 비상대응체계를 만들어 추가 조사를 진행 중”이라고 밝혔다. 외부인 해킹은 물론이고 내부자 정보유출 가능성까지 폭넓게 조사하고 있다는 설명이다. 유출경로가 어찌됐든 주요 기반시설에 심각한 보안 허점이 노출된 셈이다.

하지만 보안 전문가는 한수원 상황이 최악으로 치닫고 있다고 분석한다. 싱가포르에 본사를 둔 보안기업 NSCH의 허영일 대표는 “공격자는 일부 한수원 웹페이지를 해킹한 후 ‘Who AM I’라는 글을 올려놨다”며 “해킹 흔적이 없다는 조사 결과를 신뢰할 수 있을지 의문”이라고 말했다. 그는 “한수원은 다양한 원격제어와 명령을 할 수 있는 취약한 ‘워드프레스’를 쓰고 있다”며 “당장 검찰만이 아니라 민간전문가를 포함한 공동 대응반을 만들고 정보유출 사건이 아니라 사이버테러로 접근해야 한다”고 덧붙였다.

본지는 입수한 원전 관련 도면 등 주요문건을 18일 한수원 관계자에 전달하고 문건의 진위여부를 물었다. 그 순간까지 한수원은 문건이 유출된 사실을 전혀 알지 못했고 언제 누가 유출했는지도 파악하지 못하고 있었다. 한수원이 중앙지방검찰청에 수사를 의뢰한 것도 본지와 커뮤니케이션하는 과정에서 이뤄졌다.

한수원 정보보호 문제는 이미 여러 번 언론에서 지적됐다. 지난 10월 국정감사에서는 한수원이 내부 컴퓨터망에 접속할 수 있는 ID와 비밀번호를 여러 외주 관리업체에 제공한 사실도 드러났다. 어렵게 해킹을 하지 않아도 ID와 비밀번호만 알면 내부 주요 자료를 얼마든지 빼돌릴 수 있는 상황이었다.

한수원이 국감 때 제출한 ‘원전 사이버보안계획서 현황’에 따르면 국내 23개 원전 가운데 사이버 공격 발생 시 대응방안을 명시한 ‘사이버 공격 대응 매뉴얼’이 있는 곳은 단 한 곳도 없었다. 지난 2010년부터 올해 8월까지 한수원이 파악한 원전의 사이버공격 건수는 1785건에 달하지만 사실상 대비책은 없는 셈이다.

김승주 고려대 정보보호대학원 교수는 “국내 주요 기반시설 관계자는 망 분리를 너무 맹신한다”며 “미국 중앙정보국(CIA)과 국가안전보장국(NSA) 요원이던 애드워드 스노든의 폭로 사례에서 볼 수 있듯이 폐쇄된 망을 우회하는 다양한 기법(air gap jumping technique)이 존재한다”고 말했다. 김 교수는 “망 분리로 업무망 자체를 인터넷과 단절시키면 외부인의 침투를 막는 효과는 있겠지만 바이러스백신 업데이트 등도 함께 차단돼 일단 악성코드가 업무망에 침투하면 탐지나 치료가 어렵다”며 “주요 기반시설의 보안정책을 총체적으로 재점검해야 할 시점”이라고 덧붙였다.

김인순기자 insoon@etnews.com