“사고 조사보다 숨겨있을지 모를 악성코드를 먼저 찾아야 한다. 세월호 때처럼 구조할 수 있는 골든타임을 놓치면 안 된다. 사고조사를 위한 현장보존이 아닌 사이버테러 위협을 대응할 시점이다.”
이번 원전 사이버 테러 위협 사건을 지켜본 정보보호 전문가들의 한결같은 목소리다. 국가주요기반시설을 운용하는 한국수력원자력(한수원)의 총제적인 부실 대응이 ‘제2의 세월호’ 사고를 만들 수 있다는 지적이다. 이번 한수원 내부문서 유출 사건은 국가 전력망 사이버 안보 체계의 허점을 그대로 드러냈다. 원전반대그룹(Who Am I)이 내부 문건을 빼내고 다섯 차례나 인터넷에 공개하며 여론 선동 사이버심리전을 구사하는 동안 속수무책이었다.
이번 도면 등 주요 문건 해킹사고가 내부자 소행인지 해커의 소행인지와 어떤 경로로 유출됐는지 등을 파악하지 못한 것은 물론이고 사고 초기 긴급대응 매뉴얼도 전혀 작동하지 않았다. 1급 보안 시설에서 하드디스크드라이브 부팅이 안 되는 PC가 여러 대 발견됐는데도 악성코드 감염 조사도 뒤늦게 진행했다.
◇국가주요기반시설 정보보호 체계 다시 점검해야
한수원은 지난해 3·20 사이버테러 후 인터넷PC와 업무PC를 각각 분리해 사용하기 시작했다. 지난해 대규모 사이버테러를 겪으며 외부 해킹을 원천 차단하기 위한 조치였다. 3·20 사태 후 시스템 보안은 강화됐지만 임직원의 허술한 보안 의식은 나아지지 않았다. 이번 사건은 보안 솔루션을 아무리 많이 설치해도 철저한 정보보호 의식과 프로세스가 없다면 무용지물이 될 수밖에 없다는 교훈을 남겼다. 한수원은 내부망과 외부망을 분리 운용하는 망분리 작업 외에도 방화벽·침입방지시스템·안티바이러스·문서보안 등 다양한 정보보호 솔루션을 도입했다.
문재도 산업통상자원부 차관은 “한수원은 지난 3년간 매년 100억원씩 다른 공기업보다 많은 금액을 정보보안에 투자했는데도 지금 같은 상황이 발생했다”며 “시스템 상 문제라기보다 보안의식에 문제가 있을 수 있다”고 지적했다.
신종회 한국마이크로소프트 최고보안담당자는 “알려지지 않은 공격을 특정 보안기술로 막아내는 것은 사실상 불가능한 일”이라며 “망분리 작업만 완료하면 해킹사고로부터 안전하다는 맹신에서 벗어나 내부 업무망 환경을 미국 연방정부 USGCB(Gov`t Configuration Baseline)와 같은 억제된(Lock Down) 규정처럼 재정비해야 한다”고 말했다. 그는 “권한과 계정관리 등 기본적 보안사항이 철저히 유지될 수 있도록 엄격한 체계가 마련돼야 한다”고 덧붙였다.
◇보안은 사람과 프로세스
기업 정보보호의 최우선은 바로 ‘사람’과 ‘프로세스’다. 최신 보안기능이 탑재된 솔루션을 설치하고 운영하더라도 구성원이 꼭 지켜야 할 수칙을 지키지 않으면 무용지물로 전락하고 만다.
한수원은 보안 솔루션 도입에 100억원씩 투입하면서도 이를 운영하고 관리할 담당자는 9명밖에 두지 않는 등 소극적이었다. 전체 직원 1만9600여명 가운데 정보보호 관련 인력은 53명이다. 이 중 사이버보안 인력은 9명에 불과하다. 이들 인력만으로는 원전 도면 유출 내용이 알려진 후 내부 시스템에 잠복했을지 모를 악성코드나 해킹 흔적을 찾기에 역부족이었다.
1급 보안 시설은 외부 전문가 출입도 철저히 차단된다. 내부인력은 현재 숨겨져 있을지 모를 보안 위협을 대응하기보다 청와대와 산업통상자원부 보고에 이리저리 끌려 다니는 상황이다. 본업인 사이버 위협 대응을 할 시간이 없다는 말까지 나온다.
김승주 고려대 사이버국방학과 교수는 “한수원 보안팀은 어딘가 숨겨져 있을지 모를 논리폭탄 악성코드를 찾고 내부 시스템을 정상 복원하는 데 집중해야 한다”며 “그 다음이 원인 규명”이라고 말했다. 김 교수는 “현재 한수원은 사고원인 조사에 급급하다”며 “검찰 수사인력이야 신고가 접수됐으니 당연히 투입되는 게 옳지만 재난구조에는 오히려 한국인터넷진흥원(KISA)나 민간 보안기업과 같이 사이버침해사고 대응에 충분한 경험을 가진 기관과 협력하는 방식을 택했어야 했다”고 덧붙였다.
국가 전력망 운용 핵심 공기업인 한수원은 사이버테러에 대응하면서 이를 총괄 지휘하는 최고정보보호책임자(CISO)조차 두지 않고 있다. 다른 국가주요기반시설도 상황은 크게 다르지 않다. 금융권이 올해 임원급 CISO를 배치하고 총제적인 보안과 위험 관리에 들어간 것과 비교된다.
최운호 UN CISO는 “한수원 같은 공기업에 사이버위협을 예방하고 사고 발생 시 총괄 지휘할 전문지식을 갖춘 CISO가 없는 게 한심스럽다”며 “이번 사고와 같은 사이버테러 위협 사태 발생 시를 대비해 만든 에너지 정보공유분석센터(ISAC)는 도대체 무슨 일을 하고 있는지 반문한다”고 말했다.
김인순기자 insoon@etnews.com