정보보호 수준이 낮은 원자력 발전소 협력사는 설 곳이 사라진다.
26일 한국수력원자력은 협력사 보안관리 강화대책을 내놓고 정보보호가 취약한 협력사에 입찰제한 등 계약에 불이익을 준다고 밝혔다. 협력사에서 보안사고가 발생하면 입찰 참여가 제한된다. 협력사는 정기적으로 보안 진단을 받아야 한다.
정부합동수사단은 지난 17일 한수원 자료유출 경로를 추적한 결과, 원전 관련 도면 등 상당수가 협력사에서 빠져났다고 밝혔다. 공격자는 이메일에 악성코드를 삽입해 PC를 감염시킨 뒤 자료를 빼냈다. 한수원이 자체 정보보호를 강화해도 협력사가 허술하면 언제든 제2의 정보유출 사고가 발생할 수 있다. 빠져나간 정보 민감도를 떠나 원전 관련 문서가 유포됐다는 것만으로 사회를 혼란에 빠뜨린다.
최근 원전 부품 공급사 중 한 곳 홈페이지가 해킹당해 악성코드 유포지로 악용됐다. 해당 회사는 악성코드 유포 사실을 통보받고도 기술적 조치를 취할 수 없을 만큼 기술 기반이 열악했다.
한수원은 내부 보안강화는 물론이고 협력사 정보보호 수준을 끌어올린다. 우선 협력사 등급을 분류한다. 중요정보 접근 경로별로 협력사 보안 등급을 나눈다. 협력사 보안평가지수도 개발한다. 한수원과 업무가 연계되는 협력사는 본사 정보보안 정책이 적용된다. 중요 정보는 모두 암호화하고 인가된 사람에게만 접근권한이 부여된다. 원전 등 도면에 워터마크가 적용된다. 협력사 정보보안 협의체도 구성한다.
원전과 관련된 기업 대부분은 전문 정보보호 담당자가 없다. 원전과 관련된 기술자료나 도면을 다루지만 제대로 된 통제나 모니터링이 되지 않는다. 사회 혼란이나 지적재산권을 노리는 사이버 테러는 급증했지만 대응 체계는 허술하다. 해커는 6개월에서 1년 이상 오랜 시간 동안 지능형지속위협(APT) 공격을 감행하며 보안이 허술한 협력사를 이용한다.
김갑용 한수원 정보시스템 실장은 “협력사에 보안인식을 확대하는 일이 시급하다”며 “전 사업소 상주협력사에 순회 정보보호 교육을 시행하고 보안준수 가이드를 제공할 것”이라고 말했다.
염흥열 순천향대 교수는 “한수원이 자체적으로 협력사 보안상태를 점검하는 데 한계가 있다”며 “한국정보방송통신대연합이 시행하는 ‘정보보호 준비도 평가’ 등 기존 인증을 활용해 기업 보안 투자와 의식을 높일 수 있다”고 설명했다.
<[표]한국수력원자력 협력사 보안관리 강화대책 내용>
![[표]한국수력원자력 협력사 보안관리 강화대책 내용](https://img.etnews.com/photonews/1503/668721_20150326140810_148_T0001_550.png)
김인순기자 insoon@etnews.com
