[기고]한수원 사이버 공격의 본질과 교훈

최명길 중앙대 경영학과 교수

직원 마약 복용, 원자력 부품 품질 검증서 위조, 최고경영자의 금품 수수, 납품 비리, 연말을 뜨겁게 달군 원자력 정보 공개 협박. 한국수력원자력은 국민적 관심을 받는 이슈를 생산하며 걱정과 지탄의 대상이 되고 있다. 한수원에 대한 사이버공격은 국민의 불안을 증폭시켰고 국민의 삶의 터전을 위협하는 실존 위협이 되었다.

한수원의 정보유출 사건은 정보보안의식 저하와 내부 통제의 약화가 불러온 사건이다. 한수원 공격은 사회 불안을 가중시켰다는 점에서 공격 목적이 어느 정도 성공한 것 같다. 이번 사이버공격은 해커의 경제적 이득 또는 정보절취 차원을 넘어 국민 생활을 위협하는 국가안보 차원으로 진화한 사례이다.

한수원 사이버 해킹사고는 해커가 한수원 사이트를 해킹하여 직원 메일 계정으로 해킹 메일을 유포하고 절취한 문건을 5차례 공개하여 원자력 가동을 중단토록 협박한 것이다. 언론보도에 따르면 한수원은 원전 운영망과 일반 업무망을 분리 운영하고 있으며 7000여 건의 해킹 메일 공격이 있었지만 4대의 PC가 피해를 당했다 한다. 대규모 공격이 이루어진 것과 비교할 때 직접적인 피해 숫자는 경미했다. 그러나 피해 숫자와 상관없이 피해 결과가 불러온 사회적 혼란이 매우 심각했다는 점이 이번 사건의 중요한 본질과 교훈이다.

이번 사태를 통해 정보보안의 교훈을 냉철하게 살펴보자. 정보보안은 정보보안의식, 정보보안의식을 구체화시킨 경영관리체계 구축과 운영, 정보보안기술 등 3개의 축으로 확립된다. 이 중에서 하나라도 문제가 생기면 정보보안은 무너질 수밖에 없다. 한수원 정보유출사고는 저하된 정보보안의식, 정보보안관리의 느슨한 운영 등이 원인이다. 한수원은 직원의 정보보안의식 개선, 정보보안 관리 강화, 사이버예방강화 등 운영 개선과 근본적인 정보보안 책임문화를 확립해야 한다.

국내의 열악한 보안환경을 감안하면 한수원은 비교적 우수한 보안 인프라를 갖추고 있는 것이 사실이다. 언론 보도에 따르면 한수원에 대한 국정원의 정보보안관리실태평가는 정보보안 조직 및 예산, 전자우편 보안 분야 등은 정보보안 활동 기반을 마련했다는 점에서 '양호' 등급을 받았다. 그러나 사이버 예방활동, 정보통신기반시설 보호 등은 낙제점으로 평가했다고 한다. 한수원은 전반적인 보안 수준이 양호하다는 평가를 받았지만 보안관리실태평가에서 지적된 취약점에 대한 소홀한 개선과 대비가 사고의 원인인 것으로 보인다. 보안시스템이 아무리 우수하더라도 발견된 취약점을 개선하지 않는다면 보안의 문제가 발생할 수밖에 없다.

우리나라는 선진국의 보안관리평가와 같은 보안관리실태평가제도를 시행하고 있다. 필자는 한수원의 전반적인 보안 수준과 취약점 존재를 정확하게 평가했다는 점에서 정보보안관리실태평가 결과는 적합하다고 판단한다. 정보보안관리실태평가는 민간 전문가와 공공 전문가가 함께 참여하여 보안수준, 취약점 평가를 기반으로 적합한 개선책을 제시함으로 정보보안 강화에 기여하고 있는 제도이다.

정부는 이번 사이버공격을 한수원만의 문제가 아닌 범국가적인 사이버안보 확립 차원에서 접근하여야 하며 적극적인 사이버보안활동을 전개해나가야 한다. 또한 공공기관의 열악한 조직ㆍ인력ㆍ예산 등을 적극 지원하는 것과 동시에 엄격한 평가를 통해 문제점을 개선할 수 있도록 보안평가제도 등의 보안관리체계를 고도화하고 더욱 강화하여야 하겠다.

최명길 중앙대 경영학과 교수