발전사가 정보보호에 취약한 협력사 입찰을 제한한다. 협력사 보안 챙기기다.
17일 업계에 따르면 지난해 한국수력원자력 원전 자료 유출 사고 후 발전사가 협력사 보안 수준 향상 작업을 벌인다. 보안이 취약한 협력사가 정보 유출 통로로 이용될 우려 때문이다. 사고 발생 시 입찰제한이라는 초강수까지 내놨다.
원전반대그룹이 인터넷에 공개한 문건은 한수원 협력사에서 유출됐다. 공격자는 이메일에 악성코드를 심어 PC를 감염시킨 후 자료를 빼냈다. 협력사는 전력 관련 기술자료나 도면을 다룬다. 통제와 모니터링이 안 된다. 정보보호 담당자도 없다.
한수원은 협력사 정보유출 사고 발생 시 업체 등록을 취소하는 계약 규정을 마련했다. 협력사와 정보보안 계약특수 조건을 제정했다. 보안사고 발생 시 제재하는 조항을 담았다.
협력사가 본사 수준 보안 관리를 적용하도록 시스템, 장비, 인력을 제공한다. 협력회사와 정보보안 협의체를 구성했다. 협력 회사 등급을 분류한다. 연내 정보보안 관리실태 평가기준을 확정한다. 새해부터 협력사 보안 평가를 시행, 2017년부터 계약에 반영한다.
협력사 정보유출 행위를 실시간 분석한다. 시스템을 구축해 사고 발생 시 곧바로 추적한다. 김갑용 한수원 정보시스템 실장은 “한수원 관련 정보가 협력사에서 유출돼도 피해는 본사가 입는다”며 “협력사에 보안의식을 확대하는 일이 시급하다”고 말했다.
한국남동발전은 협력사 국제정보보호경영시스템인증(ISO-27001) 획득을 지원한다. 정보보안 관련 사내 업무 절차와 지침을 정비했다. ISO-27001과 행자부 개인정보표준관리체계인증(PIPL)을 받았다. 이를 협력사로 확대한다. 사내 보안 컨설턴트를 협력사에 파견하고 솔루션을 지원한다. 정보보호 솔루션 제품 교육을 병행한다. 발전소 상주 협력업체와 망을 분리했다. 협력사 직원에 업무전용 PC를 제공하고 전용망을 구축했다. 문서 암호화와 출력제한, USB사용차단 지침을 적용한다. 발전도면과 기술자료 보안 표준 모델을 정립했다. PC에 발전도면이나 기술자료 등 보관이 금지된다. 도면 관리, 전달, 유통 시스템을 정비했다. 사용자는 도면을 읽을 수 있지만 저장할 수 없다.
박항규 한국남동발전 차장은 “보안사고 대부분이 협력사를 경유해 발생한다”며 “협력사 경영자원 보호플랫폼 제공 계획을 수립 중”이라고 말했다.
염흥열 순천향대 교수는 “정보유출 대부분은 중소기업에서 시작된다”며 “오는 23일 정보보호산업진흥법과 함께 시행되는 ‘정보보호 준비도 평가제’를 활용하면 체계적인 협력사 보안강화가 가능하다”고 설명했다. 정보보호 준비도 평가제는 정보보호 준비 수준(Readiness)을 평가하는 민간 인증이다. 보안 투자 비율과 인력, 조직 확충, 개인정보보호, 법규준수 등 기업 보안역량 강화가 목적이다.
김인순기자 insoon@etnews.com