[이슈분석]총체적 보안 부실 한수원 `사고 안 일어나는게 비정상`

2008년 3월 미국 하치(Hatch) 원자력발전소 응급 셧다운.

2010년 6월 이란 나탄즈(Natnaz) 원자력 시설을 파괴한 스턱스넷 발견.

2014년 1월 일본 후쿠이현 몬주 원자력발전소 악성코드 감염.

[이슈분석]총체적 보안 부실 한수원 `사고 안 일어나는게 비정상`

원자력 관련 시설을 노린 사이버 테러는 현재 진행형이다. 망분리된 한국수력원자력 내부 업무망PC가 악성코드에 감염돼 파괴된 것이 뒤늦게 밝혀졌다. 그동안 한수원 측은 “업무망PC가 인터넷으로부터 철저히 망분리돼 있어 해킹 위험으로부터 안전하다”고 말했지만 결국 보안 허점이 그대로 증명된 셈이다.

◇한수원 PC 4대 파괴, 자료유출은 없다?

한수원은 줄곧 “해킹 흔적이 전혀 없다”고 해명해 왔지만 22일 돌연 말을 바꿨다. 한수원은 이달 11일 PC 4대가 부팅이 안 되는 고장을 일으켜 내부적으로 수리했다고 밝혔다. 한수원은 “안랩에 PC 고장원인인 악성코드 조사를 의뢰했으며 악성코드에 부팅영역을 파괴하는 기능은 있지만 자료 유출 기능은 없는 것으로 확인했다”고 설명했다.

한수원은 최근 자료 유출 사태가 발생하자 해당 PC 4대를 재수거해 추가적으로 상세 조사를 진행 중이다. 한수원 관계자는 “현재로서는 악성코드 메일에 의한 PC고장과 자료유출 간 연관성은 확인된 바 없다”고 전했다.

그동안 인터넷에 공개된 자료의 민감도가 낮아 원전 운영 등에 전혀 피해가 없을 것이라고 말하지만 한수원이 악성코드 감염을 실토하며 불안감은 더욱 높아진다. 망분리만 맹신하다가 인터넷과 연결되지 않은 PC 3대가 파괴됐기 때문이다. USB 등 외부 장치를 모두 차단하는 솔루션을 설치했다고 하지만 결국 내부망에 악성코드가 감염됐다. 누군가 인터넷망과 내부망 PC를 연결했거나 USB로 감염된 파일을 전달했을 가능성이 높다.

이경호 고려대 사이버국방학과 교수는 “이런 사고 발생은 보안관리의 기본이 안 돼 있는 것”이라며 “망분리 키워드만 나오면 대단히 안전할 것 같지만 통계를 보면 일부 범주의 악성코드는 발생 빈도가 같다”고 설명했다.

◇원전 시설 상당수 보안서비스 끝난 OS 사용

국내 원자력 시설 상당수가 윈도XP와 윈도ME, 윈도2000 등 보안패치 서비스 시효가 종료된 운용체계(OS)를 사용 중일 정도로 낙후됐다. 이들 OS를 노리는 제로데이 취약점이 발견돼 악용되면 원전 시설에 치명적일 수 있다.

윈도XP와 윈도2000은 USB 자동실행 기능이 기본으로 설정된다. 인터넷망에서 감염된 USB가 자동 실행 기능을 타고 폐쇄망으로 바이러스를 전달할 위험이 높다.

또 다른 문제는 원자력발전소는 분리된 망에서 제어시스템을 운영한다는 착각이다. 완벽한 망 분리에 대한 맹신이 오히려 사고를 부른다.

이경호 교수는 “이란 스턱스넷과 일본 몬주발전소 사고처럼 원전 제어시스템이 외부와 완전히 분리된 상황에서도 사이버테러는 일어났다”며 “해외 제어시스템 공급사가 노후화한 프로그램을 업데이트하기 위해 인터넷망에 연결하는 과정에서 보안상 허점은 그대로 드러난다”고 설명했다. 그는 “국내에서도 원전 설비 납품 회사들이 관제망에 있는 시스템을 업그레이드하면서 USB나 노트북PC로 제어시스템에 수시 접근하고 있다”며 “이번 기회에 전수 조사를 치밀하게 실시해 제어망에 대한 우려를 불식시켜야 한다”고 덧붙였다.

임종인 고려대 정보보호대학원 원장은 “원전 제어시스템은 대부분 외국기업이 제작한 것으로, 국내 전문가가 문제점을 찾기 어렵다”며 “이번 문제를 단순히 여기지 말고 국제 공조로 철저하게 대응해야 한다”고 강조했다.

◇총체적 보안 고려해야

원전 제어시스템은 문제점이 발견돼도 바로 수정할 수 없는 구조다. 적용 안전성에 대한 충분한 검증이 선행돼야 하기 때문이다. 전용 프로토콜을 사용하는 등 기존 IT시스템과 달라 이에 적합한 보안 기술 연구와 개발이 필요하다.

망이 완전하게 분리됐다고 믿으며 정보보호에 대한 고려가 부족한 국내는 더욱 취약하다. 제어시스템(SCADA)에 최적화한 정보보호 제품이나 관리 인력도 턱없이 부족하다.

국내 전력망의 주축을 이루는 한수원 정보보호 인력은 53명으로 이 가운데 22명이 겸직이다. 한 보안전문가는 “겸직 담당자는 사실상 보안을 모른다고 봐야 한다”며 “업무담당자로 지정되어 있을 뿐 전혀 관계없는 인원일 것”이라고 말했다. 그는 “전담 인력 중 개인정보보호나 인증관련 인력을 제외하면 실제 보안기술을 가진 인력은 5명이 될까 의문스럽다”며 “국가 전력망과 안보에 큰 영향을 끼치는 회사에 사고가 안 생기는 것이 더 의문”이라고 지적했다.

김용대 KAIST 정보보호대학원 교수는 “폐쇄망이므로 보안 장비가 필요 없다고 주장하며 전문 보안 인력을 두지 않은 곳이 상당수”라며 “국내 폐쇄망은 대부분 반쯤 열려 있다”고 지적했다.

<[표]한국수력원자력 정보보안 담당자 인력 현황(총 53명) / 자료:한국수력원자력>


[표]한국수력원자력 정보보안 담당자 인력 현황(총 53명) / 자료:한국수력원자력


김인순기자 insoon@etnews.com