업무망·인터넷망 망분리 규정 위반사례 발견  내부협력사와의 보안협의체 운영 미흡도 지적돼   


[보안뉴스 김경애] 지난해 개인정보 및 원전자료 유출에 이어 올해 잇따른 내부자료 공개 이슈로 곤혹을 치른 한수원이 이번 국감에서 질타를 받았다. 업무망과 인터넷망의 망분리 규정을 위반한 사실이 드러나는가 하면, 내부전산망 ID와 비밀번호가 외부에 유출된 사실이 도마 위에 오른 것. 또한, 미승인 USB를 사용하다 적발됐으며, 사이버위협에 대비하기 위한 원전본부와 협력회사와의 보안협의체를 구성해 놓고도 활동은 전무했던 것으로 드러났다.

 
업무망·인터넷망 망분리 규정 위반사례 77건
국회 산업통상자원위원회 소속 새정치민주연합 부좌현 의원이 한수원으로부터 제출받은 국정감사 자료에 따르면 한수원은 지난 1~2월에만 총 77건의 업무망과 인터넷망을 혼용하는 망분리 규정 위반사례를 적발했는데, 월성본부 59건, 고리본부 15건, 한빛본부 3건에 달한 것으로 조사됐다.

적발자 대부분은 자료검색, 이러닝 수강, 인터넷 검색 등을 하면서 개인 업무용 PC 또는 공용 PC에 사내외망 LAN선을 혼용해서 사용한 것으로 드러났다.

지난해 산업통상자원부가 실시한 한빛원전과 고리원전의 보안감사 결과에 따르면, 19명의 직원이 내부전산망에 들어갈 수 있는 ID와 비밀번호를 외부에 유출했다. 또한, 협력업체 직원이 미승인 USB를 무단으로 사용하다 적발되기도 했다.

이에 대해 부좌현 의원은 “한수원은 원전 제어망이 단독폐쇄망이라 안전하다고 설명했지만, 이는 누구도 장담할 수 없다”며, “원전을 안전하게 지키기 위해서는 사이버 정보보안의식 제고를 위한 근본적 대책이 마련돼야 한다”고 밝혔다.

한수원 본사와 협력사 간 보안협의체 구성  
또한, 악성 메일 공격과 같은 사이버위협에 대비하기 위한 원전본부와 협력회사 간의 보안협의체를 구성해 놓고도 활동은 전무했던 것으로 드러났다. 또한, 한수원 본사와 협력사 간에는 보안협의체가 구성조차 되지 않았다.

보안협의체는 정부기관 합동 원전본부 사이버 보안실태 특별점검 후속 개선대책에 따라 2011년 4월 월성본부에서 가장 먼저 구성됐고, 한울본부 2013년, 그리고 한빛본부와 고리본부는 지난 7월과 8월에서야 구성을 완료했다.

현재 한수원 각 본부에 상주하는 협력회사 인원은 고리본부 1228명, 한울본부 1156명, 월성본부 1297명, 한빛본부 1500명으로 5181명에 달하지만, 협의체 모임은 연간 1회에도 못 미쳐 형식적으로 운영되고 있다는 지적이다.
향후 대책과 관련해 한수원 측은 수력, 양수발전을 포함해 사내 모든 협력사와 정보보안 협의체를 9월 중으로 구성 완료하고, 한수원 본사와 협력회사간 정보보안 협의체 구성은 10월 중으로 마무리할 계획이라고 밝혔다.

이와 관련 부좌현 의원은 “협력업체나 내부운영자들이 USB 등을 이용하는 과정에서 악성코드에 노출될 가능성은 항상 존재한다”며 “내부 보안수준을 높이기 위해서는 협력업체와의 긴밀한 협력관계 구축이 무엇보다 중요하다”고 지적했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>