원전 해킹시도 1843건..정부의 사이버보안 공식검사는 '전무'

[이데일리 이승현 기자·방성훈 기자] 자칭 ‘원전반대그룹’에 의한 원자력발전소 내부문서 대량 유출사건과 관련, 지금까지 원전 규제당국의 사이버보안 검사는 공식적으로 전혀 없었던 것으로 드러났다.

최근 5년간 국내 원전에 대한 해킹시도가 1843건에 달하지만 원전 규제당국이 “우리 소관은 아니다”라며 안이하게 대비한 것으로, 이제라도 제도적 대응책을 강화해야 한다는 지적이다.

25일 원자력안전위원회와 한국수력원자력 등에 따르면, 원전 정기검사(계획예방정비)의 85~100개 검사항목에 사이버보안은 포함돼 있지 않다.

계획예방정비는 원전 가동을 위한 기기의 성능 및 운영 능력 파악을 위해 원전을 수개월간 멈추고 실시하는 가장 기본적이고 중요한 검사다. 검사항목들을 모두 통과해야 원전을 재가동할 수 있지만 이 때 사이버보안 수준은 전혀 보지 않는 것이다.한수원의 자체적인 보안검사를 외부에서 다시 검증하는 시스템이 없었던 셈이다.

원안위는 이에 원전 사이버보안 점검에 대한 법적근거(‘원자력시설 등의 방호 및 방사능 방재 대책법’의 시행령 및 고시)를 최근 완비해 내년부터 점검을 실시하겠다는 입장이다. 미국 원자력규제위원회(NRC)의 경우 지난 2012년부터 원전 사이버보안 검사를 하고 있다.

다만 이것도 원전에 대한 물리적 방호의 일환이여서, 원전 내부 제어망에 대한 사이버보안만 검사할 수 있다. 원전의 외부 인터넷망과 내부 업무망은 항목에서 제외돼 해커의 외부침입 등은 파악하기 어려운 매우 제한적 검사인 것이다.원안위 관계자는 “법령규정에 따른 것이어서 원전의 인터넷망과 업무망을 검사할 수 있는 권한은 없다”고 말했다.

다만 원안위는 산하기관인 원자력통제기술원(KINAC)을 통해 그간 비공식적으로 원전 사이버보안을 점검해왔다. 그러나 법적근거가 없는 검사이기 때문에 문제점을 발견해도 한수원 측에 구속력 있는 제재를 취할 수는 없다.

임만성 KAIST 원자력·양자공학과 교수(원안위 전문위원)는 “원안위 전문위원회에서도 사이버보안을 최근 논의했다”며 “사이버보안은 기밀사항이어서 논의하는 것이 터부시된다. 그러다 보니 이번 사태(내부자료 유출사고)가 생긴 것 같다”고 말했다.

민병주 새누리당 의원(대전 유성 당협위원장)은 “원자력안전법이나 계획예방정비 조치 등에서 사이버보안 부분이 빠졌는데 앞으로 이에 대한 보완이 필요하다”며 “원전 뿐만 아니라 국가 주요시설 전반에 대한 사이버보안 문제를 되짚을 필요가 있다”고 말했다.

지난 23일 자칭 ‘원전반대그룹’이 한국수력원자력의 내부자료를 빼내 트위터를 통해 공개했다. 이 집답은 이날에 앞서 15일과 18일, 19일, 21일 등 5번에 걸쳐 모두 85건의 한수원 내부자료를 블로그와 트위터 등으로 공개했다. 해당 트위터 갈무리.