“한국수력원자력(한수원)은 사이버 보안에 대한 예방과 침해·대응에 대해 모두 낙제점이다.”
29일 오전, 국회의원회관에서 정의당 탈핵에너지전환위원회 주최로 열린 ‘한수원 해킹 사고 진상 파악 및 재발 방지대책 모색’ 토론에서 한수원의 해킹 대응 태도에 대해 무책임하다는 비판이 쏟아졌다. 한수원 자료 유출은 사이버 보안의 문제 뿐 아니라 원전에 대한 물리적 테러로 확대될 수 있는데도 한수원이 예방과 사후대응에 모두 실패했다는 비판이다.
‘원전반대그룹’이라 불리는 해커는 지난 15일 블로그와 트위터를 통해 한수원의 원전관련 자료를 공개했다. 원전반대그룹은 정부에 국민 친환경 건설 자금으로 100억 달러를 달라거나 25일까지 원전을 멈추라는 등의 요구를 했다. 한수원은 원전반대그룹이 공개한 도면 등이 중요한 자료가 아니라며 국민을 안심시키려 했다.
해킹 사건이 터지자 검찰은 바로 사건에 개입해 북한 소행이 아닌지에 대한 수사를 진행 중이다. 탈핵법률가모임 해바라기 대표 김영희 변호사는 “국민들이 안심할 수 있는 수사가 아니라 해킹과 원전 자체에 대한 불안감만 키우는 꼴”이라고 비판했다. 김승주 고려대 정보보호대학원 교수는 “우리는 어떤 사건이 터지면 신고를 받은 기관이 들어가서 해당 영역에 관한 수사만 진행하는 식”이라며 “영역다툼이 아닌 정보를 공유할 수 있는 조직이 연계해 대응해야 한다”고 말했다.
김 교수는 “세월호 때도 그랬지만 사고가 발생하면 수습·구조를 먼저 해야하고 예방·분석은 이후에 해야 하는데, 이번 원전 해킹 사건에도 문제를 제거하고 원전 내부 시스템을 정비하는 것보다 누구 소행인가를 밝혀내는 것에만 관심이 있다”며 “원전반대그룹이 25일에 사이버 공격이 있을 수 있다고 했으면 24일까지 ‘국민들에게 악성코드가 사라졌다’는 발표를 했어야 하는데 한수원은 25일 오후에서야 그런 발표가 났다”고 비판했다.
김 교수는 해킹에 대한 대비는 정책-기술-인력을 연계해야 한다고 주장했다. 김 교수는 “미국은 매년 초 안보 정책을 세우고 기술력을 가진 컨트롤타워가 연말에 각 기관들에 대해 보고를 받은 뒤 제대로 실행이 되지 않을 경우 예산을 삭감하기까지 한다”며 “기술력을 가진 컨트롤타워가 감사권을 가져야 일사불란한 해킹 대응이 가능하다”고 말했다.
김 교수는 “한수원에서는 유출된 자료가 중요한 것이 아니라고 안심시키려고 하지만 개인정보유출 때도 보듯이 정보들이 모여서 점점 막강한 정보로 발달한다”며 “이번 사건이 전문적으로 분석되면 해킹이 업그레이드 될 수 있다”고 덧붙였다. 김 변호사는 “미국은 핵발전소 운영허가를 받은 사업자는 사이버 보안계획을 제출해야 하고, 각 제출서는 반드시 예정 실행 스케줄에 따라야 한다”고 말했다.
 |
||
| ▲ 29일 오전, 국회의원회관에서 정의당 탈핵에너지전환위원회 주최로 ‘한수원 해킹 사고 진상 파악 및 재발 방지대책 모색’ 토론회가 열리고 있다. | ||
하지만 김 교수에 따르면 우리나라는 미국에 비해 위기 대응이 미흡한 상황이다. 김 교수는 “현재 국가기관시설에 대해 국정원이 점검을 하고 문제가 있으면 지적사항을 발표하는데 하나도 고쳐지지 않는다”며 “감사권이 없어서 예산에 반영되지 않기 때문에 지적에 대한 실효성이 없다”고 비판했다.
일본 사례도 제시됐다. 김 변호사는 “일본은 발전소 감시제어시스템 등을 포함해 전력 시스템은 가능한 한 외부와 접속점을 한정해 폐쇄적인 네트워크를 구성해 물리적 침입방어, 기록매체의 반입 제한 등의 대비를 한다”고 말했다. 하지만 한국의 사이버테러 방지법은 사이버 상에서 국가가 국민들을 상대로 사찰을 강화하는 방향으로 나아갈 가능성이 있지 안전 관리에는 별 도움이 되지 않는다고 김 변호사는 주장했다.
심상정 정의당 원내대표는 “한수원은 자체 능력으로 해킹 방어능력을 갖추고 있지 못하고 있다는 것이 밝혀졌다”며 “사실상 원전 보안을 방치하고 있는 셈”이라고 비판했다. 또한 심 대표는 “해킹 공격으로 인해 원전 주변 주민들의 모의대피훈련이 제대로 되지 않는다는 것이 밝혀졌다”며 “주민 보호를 위한 시스템을 어떻게 만들 것인지가 앞으로의 과제”라고 강조했다.
조승수 정의당 정책위의장은 “원전 정책의 키워드가 ‘비밀주의’가 아닌가 하는 생각이 든다”며 “원래 이 자리에는 산업통상자원부에서도 관계자가 참여하기로 했다가 오지 않았다”고 말했다. 조 정책위의장은 “어떤 문제에 대한 진상 파악은 정부나 공공기관의 공식 자료가 없이는 불가능한데 그들이 정보를 공개하지 않는 것은 무책임한 행동”이라며 “탈핵을 주요 핵심 전략으로 의제설정하고 사이버테러 사건 하나하나에도 정교하게 대처할 필요가 있다”고 주장했다.