한수원, 이메일 보안 의식 제로 ... 공공기관 보안교육 시급
2014-12-26 09:48
아주경제 장윤정 기자 = 한국수력원자력(한수원) 해킹 사건이 퇴직자 수십명의 이메일 계정을 도용해 발송된 사실이 검찰 수사 결과 발표되면서 국가 기반시설 관리의 총체적인 취약성이 지적되고 있다.
특히 한수원 직원 중 10% 이상이 모의해킹 당시에도 보안에 취약한 이메일을 열람한 것으로 나타나 국가 주요기반시설 관리 직원들을 대상으로 한 보안교육의 필요성이 제기됐다.
한수원 내부 자료 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장)은 합수단은 업무 메일을 가장한 악성 이메일에 첨부된 한글 파일에 악성코드가 보통 9개씩 심어져 있었다고 밝혔다. 합수단은 악성 이메일들이 한수원 퇴직자 수십명의 개인 이메일 계정을 통해 발송된 사실도 파악했다.
합수단의 수사가 계속 진행되는 가운데 한국수력원자력 임직원 10명 중 1명 꼴로 올해 모의해킹 훈련에서 ‘위장 해킹 e메일’을 열어본 것으로 나타나 이미 한수원 해킹은 예고된 재앙이었던 것으로 드러났다.
새누리당 배덕광 의원이 25일 공개한 자료에 따르면 한수원은 훈련 대상 직원 300명 중 32명(10.6%)이 e메일을 열었다.
한수원은 해킹 대비 훈련을 2011년 이후 올해까지 모두 여섯 차례 실시했다. 2011년 당시 지식경제부(현 산업통상자원부)의 지시로 디도스(DDos, 서버 처리 용량을 초과하는 정보를 한꺼번에 보내 서버를 다운시키는 방식) 모의 훈련을 한 게 처음이었다.
지난 2012년 5월엔 직원 100명을 대상으로 올해처럼 해킹이 의심스러운 e메일에 대응하는 훈련을 했는데, 당시는 68명(68%)이 e메일을 열람했다.
이후 지난해까지 진행된 세 차례의 유사 훈련에서도 각각 8.5%(2012년 12월, 400명 중 34명), 8%(2013년 8월, 300명 중 24명), 9%(2013년 10월, 200명 중 18명)가 해킹 e메일을 열었다. 한수원 임직원 10명 중 1명은 해커의 손쉬운 표적이 될 수 있었다.
또한 배덕광 의원실에 따르면 보안 인력도 취약한 상태다. 전체 2만여 명의 임직원 중 사이버보안 업무와 관련 있는 인력은 53명(0.26%)이다. 전담요원은 18명에 불과하다. 해킹 대응을 총괄하는 사이버보안관제센터는 외부 위탁인력 9명이 전부다.
지난달 산업부가 발표한 원전 보안감사 결과에 따르면 전남 영광군의 한빛원전과 부산시 기장군의 고리원전에선 직원 19명
배덕광 의원은 “허술한 보안 의식과 인력 운용에서 보듯 사상 초유의 원전 해킹은 예견된 재앙이었다”며 “한수원은 원자로 제어에는 문제 없다고 변명만 할 게 아니라 보안의 ABC부터 다시 시작해야 한다”고 말했다.