앞으로 한국수력원자력 협력사에서 정보유출 사고가 발생하면 입찰 제한되거나 등록 취소된다. 보안 규정을 어긴 한수원 직원은 인사에 불이익을 당한다.
한수원은 12·9 사이버테러 후 원전 안전 운영을 최우선 목표로 삼고 조직을 보강했다. 보안정보처와 원전 사이버보안팀을 신설했다. 외부 보안전문가 20명을 채용하는 등 조직과 인력을 확충했다. 기존 9명이었던 정보보안 전담인력을 46명으로 늘었다. 정보보안위원회와 외부전문가로 구성된 자문단에 경영진이 직접 참여한다. 직원 보안의식 강화를 함께 주문했다.
정보보안 부서 감찰 기능도 생겼다. 보안 규정을 위반한 사람은 승급 대우자 선발에서 1~2년 제외된다. 한수원은 내부에 대표가 위원장인 정보보안위원회를 신설했다. 컨트롤타워 기능과 위험평가 체계를 구축해 관리체계를 확보했다. 정보보안위원회는 올해 4회 회의를 열어 전반적 한수원 보안 상태를 점검했다.
한수원은 올해 말까지 국제정보보호경영시스템(ISO27001) 인증을 전사로 확대했다. 원전본부 4, 중앙연구원, 양수발전소, 한강수력본부 등이다. 한수원은 기술자료 등 주요정보 보안등급 분류체계도 재정립했다. 생성에서 폐기까지 전(全) 생애주기를 관리하고 시스템화했다.
협력사 보안 강화에 집중했다. 지난 3월 검찰은 한수원 문건 유출이 내부 전산망 해킹이 아니라 협력업체에서 이뤄졌다고 밝혔다. 해커는 수개월 동안 협력사에서 수집한 자료를 이용해 사회적 혼란을 목적으로 유포했다.
한수원은 협력사를 본사 수준에 준하는 보안 관리를 적용했다. 시스템과 장비, 인력 등을 제공했다. 협력사별 등급을 분류하고 정보보안 관리 실태 평가기준을 개발했다. 올해 말까지 기준을 확정해 내년 평가를 시행한다. 2017년부터 한수원과 협력사 계약에 관련 내용이 반영된다. 앞으로 협력사에서 정보유출 사고 발생 시 업체 등록이 취소되거나 입찰제한 또는 과징금이 부과된다.
전 직원 보안 의식도 높인다. 보안 매뉴얼(핸드북)과 사이버 보안 위반 사례집 등 전 직원이 실천하는 가이드라인을 마련했다. 보안사고 모의훈련을 시행하고 직급과 직무별 맞춤형 보안교육을 실시한다. 이를 인사에 반영한다. 한수원은 매년 12월 9일은 ‘한수원 정보보안의 날’로 제정했다. 전 직원과 협력사가 참여하는 다양한 보안의식 혁신활동을 전개한다.
사이버 보안시스템도 보강했다. 한수원은 사이버공격, 악성코드 감염, 시스템 취약점 노출 등 사이버 위협발생 징후 실시간 탐지를 위한 예방 시스템을 마련했다.
제어시스템도 재점검했다. 원전별로 단독 폐쇄망 취약점을 재점검했다. 올 한 해 동안 원전 제어시스템 연계구간을 전수 검사했다.
김갑용 한수원 최고정보보호책임자(CISO)는 “사이버공격 후 경영진을 포함해 임직원이 참여하는 보안인식 변화 활동과 업무 프로세스 개선에 집중했다”며 “원전 안전운영에 만전을 기하겠다”고 말했다.
김인순기자 insoon@etnews.com