[사설]원전 협력사 보안 강화…이제 시작이다

한국수력원자력(한수원)이 협력사 보안관리 강화대책을 내놨다. 정보보호 수준이 낮은 협력사는 불이익을 주고 보안 사고가 발생하면 입찰 참여를 제한하는 등 강도 높은 관리에 나설 계획이다. 온 나라를 불안에 떨게 한 한수원 자료유출 사고 배경에 협력사가 있기 때문이다. 보안이 허술한 부품 협력사 홈페이지가 해킹을 당해 악성코드 유포지로 악용된 것으로 조사됐다.

결과는 충격적이다. 해당 협력사는 악성코드 감염 자체를 막지도 못했을 뿐만 아니라 유포 사실을 통보받고도 대응조차 못했다. 이 회사뿐만 아니라 협력사 대부분 제대로 된 정보보호 전문가가 없는 것으로 나타났다.

철통 보안을 자신했던 한수원은 이 사건으로 톡톡히 망신을 당했다. 1년이 넘게 해커가 협력사들을 공격했지만 사건이 터지고 나서야 대책이 나온 것만 봐도 보안 인식이 얼마나 허술했는지가 증명된다. 기본조차 지키지 않았다. 협력사가 주요 자료를 다루고 있지만 이에 대한 통제가 사실상 없었던 것으로 드러났다.

정보 중요도에 따라 등급을 나눠 접근을 제한하는 것은 정보보호 기본 중에 기본이지만 이번 대책에서 처음 적용한다. 한수원 내부 보안에 자신했지만 전체적인 보안 정책에 큰 구멍이 존재하는 것이다. 협력사에만 책임을 떠넘기면 안 되는 이유다.

대책은 시작에 불과하다. 우선 한수원과 협력사를 포함해 모든 관계 기관 보안 의식을 높여야한다. 수년간 발생한 사고를 통해 첨단 보안 시스템이 만능이 아니라는 교훈을 얻었다. 대형 해킹 사고는 인재에서 출발했다. 방심은 해커가 노리는 구멍이다. 이번 사고는 협력사가 구멍이었다. 해커들은 앞으로도 뚫고 들어갈 구멍을 집요하게 찾아낼 것이다. 이를 막기 위해서는 구성원이 보안 인식부터 갖춰야 한다. 한수원 자체적으로 모든 보안을 책임지겠다는 생각부터 버려야한다. 협력사 보안 상태 점검도 전문기관에 맡겨야 제대로 지켜진다. 무엇보다 정보보호는 ‘완성’이나 ‘완벽’은 없다는 사실을 잊지 말아야 한다.