지난해 연말은 핵발전소 해킹으로 온 국민이 불안에 떨어야 했다. 자칭 '원전반대그룹'은 지난해 12월 15일부터 23일까지 1주일여 동안 다섯 차례에 걸쳐 모두 85건의 핵발전소 자료를 인터넷을 통해 공개했다. 15일 한국수력원자력(한수원) 직원 1만 779명 전부의 개인정보 파일부터 고리1, 2호기, 월성1호기 설계도면을 비롯한 주요 정보, 특히 한수원이 500억 원을 들여 국산화에 성공했다고 홍보했던 핵발전소 핵심기술의 실행 화면을 공개해 이 기술이 유출되었다는 의혹이 제기되었다. 또, ‘원전반대그룹’이라 밝힌 해커는 12월 25일까지 고리 1,3호기, 월성 1호기 가동을 중단하지 않으면 2차 파괴를 감행하겠다고 협박했다. 1차 공격은 하드디스크 파괴 몇 개로 끝났지만 2차는 ‘제어시스템 파괴’라고 했다. 해커의 협박 때문에 27일 ‘원자력의 날’을 포함한 크리스마스를 전후로 정부 관련부처와 한수원은 한마디로 발칵 뒤집혔다. 전국의 핵발전소가 비상근무체제에 들어갔고, 산업통상자원부장관은 크리스마스 당일 고리 핵발전소에 가서 철야근무를 하는 성의도 보여 줬다. 그리고 천만다행으로 더 이상의 정보유출이나 핵발전소 가동 중단 사태 없이 우리는 새해를 맞이했다.

이에 대하여 한수원 사장은 “원전의 안전을 100퍼센트 보장한다"고 말했다. 사이버 공격이 행정 업무를 수행하기 위한 업무망(내부망)과 인터넷망(외부망)에 영향을 미칠 수는 있어도 핵심 시스템인 '핵발전소 제어망'에는 접근할 수 없다는 것이다. 청와대 국가안보실은 "사이버 공격에 의한 원전 중단 가능성은 없다"고 평가했다. 그러나 과연 핵발전소의 안전을 100퍼센트 보장할 수 있을까? 사이버 공격에 의한 핵발전소 중단 가능성은 없는 걸까?

사이버 공격은 하루에 한 번꼴

핵발전소 사이버 보안 감독기관이라 할 수 있는 국정원이 지난해 실시한 한수원 정보보안 관리실태 평가 결과, 한수원은 ‘양호’ 등급을 받았다. 이번에 한수원 직원의 이메일이 200개 넘게 도용되고 개인정보가 다 털렸지만 ‘전자우편 보안’에 대해 100점을 받았고, ‘해킹 대응 조직’ 항목에서도 100점을 받았다. 결과적으로 놓고 보면 이렇게 어이 없이 많은 정보가 해킹으로 유출될 수 있었던 시스템인데 어떻게 ‘양호’하다는 평가를 줄 수 있었는지.... 평가가 잘못되었다고 볼 수밖에 없다. 정부와 한수원은 진작부터 사이버 공격에 대하여 대비를 하였어야 하는데도 만연히 손을 놓고 있다가, 이번 사이버공격을 당했다고 할 것이고, 국정원의 정보보안 점검 역시 해킹을 막지 못했다.

후쿠시마 사고를 계기로 정부는 고리 핵발전소 해안방벽 높이 증축 등 핵발전소 안전강화 대책을 세웠다고 홍보했다. 하지만 자연재해에 대한 대책뿐만 아니라 세계적으로 늘고 있는 사이버 공격에 대한 대책도 강화했어야 한다. 더군다나 5년 동안 매일 1건 이상의 사이버 공격을 당하고 있었는데도 아무런 대응책이 없었다는 것은 직무유기 수준이다.

국민들이 핵발전소와 관련하여 사소한 정보나 정말 필요한 자료에 대하여 정보공개를 청구하면 정부는 보안이라는 이유로 거의 대부분 공개하지 않고 있고, 소관 상임위 소속 국회의원들도 핵발전소 관련 정보를 제대로 받아 보지 못하고 있는 것으로 알고 있다. 그렇게 철저한 비밀주의로 인하여 온갖 부정과 비리, 범죄가 만연해지는 것이 가능했음이 핵발전소 부품 시험성적서 위조, 가짜 부품, 뇌물사건 등 근래 쏟아지고 있는 갖가지 핵발전소 관련 사건에서 드러났다. 투명성이 없는 조직은 부패로 이어지기 마련이기 때문이다.

국민에겐 보안, 해커에겐 무방비

정부와 한수원은 국민들에게는 핵발전소를 비밀과 보안으로 무장하여 최소한의 정보조차 내놓지 않으면서, 정작 해커들에게는 무방비 상태였다는 것이 이번에 분명하게 확인이 된 것이다. 국민의 알권리를 침해하는 동시에 국민들을 위험에 빠뜨린 것이다.

정부와 한수원의 주장과 달리 국내 전문가들은 핵발전소 제어망 침투가 기술적으로 가능하다고 하고, 해킹으로 인해 후쿠시마 사고처럼 노심용융 사태로 이어질 수 있다고 경고한다. 실제로 근래에 제어시스템을 노린 악성코드 감염이 확대되고 있고, 완전히 폐쇄된 네트워크 아래에 있는 시스템이라도 감염되는 사례가 많이 보고되어 있다. 일본 경제산업성 보고서도 전력시설과 관련한 제어시스템에 대한 사이버공격이 나타나고 있고, 핵발전소에 대한 사이버 공격으로 후쿠시마 사고와 같은 사태가 발생할 수 있다고 지적하고 있다.

핵발전소는 가동 중은 물론 폐로 후에도 완전한 해체가 이루어지는 그날까지 사고가 절대 나서는 안 되기 때문에 자연재해 대책은 물론, 전쟁, 테러를 포함한, 현실적으로 가장 빈번하게 일어나는 사이버공격에 대해서도 만반의 대비를 다하여야 할 것이다. 미국은 2001년 9.11테러 이후 10년 가까이 연구하여 ‘핵 시설물을 위한 사이버 보안 프로그램’을 마련하였다. 핵발전소 컴퓨터 이용 기준 등 세부 규정도 있고, 사이버 보안이 지켜지고 있는지 외부적인 평가도 확실하게 한다. 우리도 핵발전소 사이버 안전에 대한 법적, 제도적 정비를 제대로 해야 한다. 다만 이러한 사이버 안전 강화를 빌미로 핵발전소 관련 투명성이 더욱 악화되는 것은 경계할 일이며, 사이버 안전 시스템을 치밀하게 마련하되, 국민의 알권리는 철저하게 보장해야 할 것이다. 
 

 <가톨릭뉴스 지금여기 http://www.catholicnews.co.kr>