원전에 이상 징후가 발생할 수도 있다는 소문이 우리를 긴장케 한다. 사실에 기반을 둔 진단도 있지만 괴담 수준도 몇몇 보인다. 후쿠시마 원전사고를 가까이에서 체험한 한국이기에, 원전에 대한 불안감이 사회적으로 팽배해 있어 더 민감한 듯하다. 원자력은 국내 전력생산량의 40% 이상을 차지하고 있는 주요 전력원이다. 따라서 원전 가동중단은 엄청난 사회적 비용을 초래하게 된다. 냉철하고 체계적인 대응이 필요한 이유다.
그럼, 원전은 얼마나 안전한가. 원자력발전제어시스템은 외부와 차단된 폐쇄망으로 구성됐다. 인터넷과 분리돼 외부접근이 불가능한 폐쇄망은 인터넷에 개방된 망보다 상대적으로 안전하다. 원자력발전제어시스템은 대중에게 알려지지 않은 매우 특수한 시스템이므로 관련정보를 구하기 어렵다. 해커가 취약점을 공격하려고 해도 실제와 유사한 시스템을 접하기 어렵다.
1000억원짜리 비행기를 시뮬레이션으로만 몰아봤지 직접 몰아보지 못한 상황과 비슷하다. 원자력발전제어시스템은 매우 신중하게 설계됐다. 사람의 실수 등 여러 상황에 대비한 시나리오가 다른 시스템보다 잘 돼 있다. 따라서 근본적으로 원자력발전제어시스템은 해킹이 쉽지 않다. 물론, 해킹이 불가능하다는 의미는 아니다. 어떤 시스템도 해킹으로부터 100% 안전하지는 않다.
해킹은 꼭 기술적으로만 이뤄지지 않는다. 기술적 대비책이 아무리 잘 돼 있어도 운영자 즉 사람이 부주의하거나, 해커와 내부자가 결탁하면 사고가 날 수 있다. 사회공학적 해킹이다.
이번 유출원인 중 하나는 내부직원들에게 ‘악성코드가 든 첨부파일’이 업무용 메일로 가장돼 뿌려진 것이다. 특히 권한을 가진 내부자가 결탁되면 아무리 강력한 기술적 보호조치가 있다 해도 해킹을 막을 수 없다. 권한을 가진 내부자는 내부직원뿐 아니라 접근권한을 가진 협력업체 담당자도 포함한다. 망분리로 폐쇄망이 되면 원격에서 네트워크로 직접 접근하는 것이 어려워지기 때문에 요즘엔 협력업체 장비를 경유한 해킹비율이 높아지고 있다. 경제적으로 어려워지면 금전적 이익을 동반하는 해킹 청탁에 굴복할 수도 있다.
지금까지 해킹방어나 내부정보유출방지 대책에 대한 투자도 제한적이었다. 우리가 해킹에 대한 적극적 관심을 가진지는 2~3년밖에 되지 않았다. 따라서 해킹이나 사고로부터 100% 안전한 시스템은 그 어디에도 없고 원자력 시스템도 예외가 아니다. 이는 새삼스러운 일도 아니고 잘 알려진 진실이다.
한국사회를 혼란에 빠지게 하는 것이 해커의 목표라면 원전은 노력 대비 효과가 크지 않다. 더 적은 노력으로 사회를 전면적 혼란에 빠뜨릴 수 있는 해킹수단이 많기 때문이다. 수천만명이 사용하고 있고, 공개돼 있는 유무선 통신망, 금융 인프라에 대한 공격이 해커 입장에서는 훨씬 쉽고, 효과 역시 크다. 우리는 모든 것이 ‘네트워크화된 세상’에 살고 있다. 지금까지는 서비스 확대에 집중해왔기 때문에 상대적으로 ‘해킹에 대비한 보호조치’에 대한 투자와 관심은 낮았다.
아이러니하게도 사이버공격으로부터 가장 안전한 나라는 북한이다. 북한 사이버전사 수준이 세계 최고라서가 아니라 북한의 네트워크화 수준이 세계 최저기 때문이다.
그럼 우리는 안전한 사이버세상을 맞이할 준비가 되어 있는가. 오바마 대통령은 사이버안전을 보장하는 것은 미국 경제체제를 지키는 것이라는 연설을 했다. 선진국일수록 경제가 네트워크기반으로 구성돼 사이버공격에 취약하다. 네트워크 기반 경제체제의 편리함이라는 앞면을 뒤집으면 사이버테러의 위험이라는 뒷면이 드러난다. 화려하고 번쩍이는 앞면 뒤의 그늘, 사이버테러의 위험에 어떻게 대처해야 하는가. 네트워크 기반 경제체제의 앞면에 해당하는 서비스를 확대할 때마다 뒷면에 해당하는 보안 수준을 높여야만 한다.
이번 사고는 우리 스스로 화려한 앞면에만 열광하고 그 뒷면을 무시하지는 않았는지 반성하게 하는 계기다. “우리가 낸 세금을 사고예방과 보안점검에 써도 아깝지 않은가?”라는 질문에 “예”라는 답변은 회피하면서 안전한 세상을 기대해서는 안 된다.
사고가 일어나면 희생양을 찾기 쉽다. 희생양에게 모든 책임을 지운 뒤 시간이 지나면 사고는 잊혀진다. 인원도 예산도 윗분들의 관심도 제한적인 상태에서 묵묵히 일해 왔던 보안담당자가 모든 책임을 지는 일은 없어야 한다. 이는 보안 생태계의 발전을 위해서도, 원자력 보안체계를 위해서도 바람직하지 않은 일이다. 보안사고가 나면 담당자가 모든 책임을 지고 희생된다는 공식이 마련된다면 누가 보안 역군으로 자원하겠는가. 우리가 원하는 것이 더 안전한 세상이라면, 보안인프라에 지속적인 관심과 투자를 기울여 더 안전한 미래를 만들어가야 한다.
김대환 소만사 대표 kdh@somansa.com