창립 20주년 맞는 한국수력원자력 CISO에게 듣는 보안이야기
2014년 북한 사이버공격 사건 겪으며 보안 강화에 더욱 매진하다
프로그래머로 입사, 사건 당시 정보보안총괄부장에서 CISO겸 경영부사장 ‘컴백’
[보안뉴스 권 준 기자] 한국수력원자력(이하 한수원)은 국내 전력의 약 29.8%를 생산하는 우리나라 최대의 발전회사로, 전력을 안정적으로 공급해 국민의 삶을 풍요롭게 하고, 국가 경제발전의 밑거름이 되겠다는 목표에 만전을 기하고 있다. 한국전력공사로부터 분사해 올해로 창립 20주년을 맞는 한수원은 그간 몇 차례 어려움을 겪으면서도 이를 잘 헤쳐 나가며 굳건히 성장하고 있다. 지난 2014년 발생한 북한 사이버공격 사건이 대표적이다. 당시 사건을 슬기롭게 극복하면서 보안 강화의 계기로 삼았고, 이를 통해 보안에 있어서는 모범적인 기업으로 자리매김했다는 평가를 받는다. 이에 <보안뉴스>에서는 2014년 사건 당시 정보보안총괄부장으로써 사건 수습에 최선을 다했고, 현재는 정보보호최고책임자(CISO) 역할을 함께 맡고 있는 박상형 경영부사장을 한수원 경주 본사에서 만나 인터뷰를 진행했다.
▲<보안뉴스>와 인터뷰를 하고 있는 한국수력원자력 박상형 경영부사장/CISO
많이 바쁘실 텐데 인터뷰에 응해주셔서 감사드립니다. 한수원이 창립 20주년을 맞은 가운데 보안을 비롯해 경영 및 관리 전반을 총괄하시는 경영부사장을 맡고 계신데요. 담당하시는 업무 범위에 대해 간략히 소개해주신다면
먼저 우리나라 보안 관련 정책 수립과 보안 산업 발전에 크나큰 역할을 하고 계신 <보안뉴스>에 감사드리고, 저에게 좋은 기회를 주셔서 더욱 감사합니다. 공기업에서 중책을 맡게 되어 어깨가 무겁습니다. 제가 맡고 있는 업무는 회사의 업무 전반을 지원하는 경영관리업무로서, 우수 인재 확보와 육성, 안전한 원자력발전소 운영을 위한 자재 전반의 조달과 구매 및 재고 관리, 노사협력과 복지후생 업무, 그리고 오늘 인터뷰와 관련 있는 일반보안, 물리적 방호, 기술보안, 정보보안 등의 보안업무를 맡고 있습니다.
그간 한수원에서 맡으셨던 직책과 역할에 대해 설명해 주신다면
1981년 한국전력공사에 전산직으로 입사하여 프로그래머로 회사생활에 첫발을 내딛었고, 회사의 정보화 기획업무를 거쳤습니다. 전력산업 구조개편에 따라 2001년에 한국수력원자력으로 분사된 이후. 회사 발족 이듬해인 2002년에는 정보시스템과 프로세스를 혁신하기 위한 경영혁신정보화사업(ERP 프로젝트)의 구축 전반을 담당하기도 했습니다. 그 이후 정보계획부장, 정보보안총괄부장 등의 업무를 맡아 회사의 IT 및 정보보안 분야의 혁신과 선진화를 위해 노력했으며, 신규 원전 준비 현장책임자를 거쳐 노무처장, 인재개발원장 등을 맡으면서 관리업무 전반을 경험하기도 했습니다. 가장 최근에는 4차 산업혁명 기술기반의 디지털 한수원을 총괄하는 디지털혁신추진단장을 거쳐 현재는 상임이사 임원으로 경영부사장을 맡고 있습니다.
현재는 경영관리 전반을 총괄하시지만, 과거 정보보안 업무를 맡으셨던 경험도 있으셨고, 현재 한수원의 CISO 역할을 하고 계시는 만큼 정보보안 분야는 직접 챙기실 것 같은데요
CISO로서 정보보안 업무는 직접 챙겨보려고 노력하고 있지만, 말씀하신 것처럼 경영관리를 총괄하다보니 쉽지 않은 측면도 있습니다. 다만, 다른 업무보다 정보보안이라는 전문영역을 담당했던 경험으로 정보보안 업무를 좀 더 챙기고 직원들 역량이 발휘될 수 있도록 제가 경험한 사항을 전달하고 함께 고민하는 시간을 갖고 있습니다.
근래에는 사이버공격 양상도 디지털 혁신과 IT 기술 발전에 따라 진화하고 있는데, 이를 정확하게 탐지하고 신속하게 분석·조치할 수 있는 관제시스템의 지능화 및 디지털화가 중요하다고 생각합니다. 또한, 회사의 다양한 기술정보, 영업비밀, 원자력 정보 등의 유출 방지에도 더 노력하고 있습니다. 앞으로는 기반시설에 대한 침투 예방, 악성코드 유입 차단, 보안관제 등을 통해 운영 안전성을 담보하는 것도 무엇보다 중요한 일이라고 생각합니다.
▲한국수력원자력 박상형 경영부사장[사진=보안뉴스]
과거 북한의 사이버공격으로 보안사건을 겪으신 이후부터 지금까지 정보보안 분야 최우수 기업으로서의 면모를 유지하고 계신 것으로 알고 있습니다. 해당 사건 이후에 한수원이 보안 강화를 위해 어떤 측면에서 가장 많은 노력을 기울여 왔다고 보시는지요
보안에는 완벽이라는 것은 없기에 최우수 기업이라는 표현이 조심스럽기는 합니다. 과거 보안사건 이후 정보보안의 필요성을 대하는 임직원의 마인드가 가장 크게 바뀌었다고 생각합니다. 회사 자료의 중요성과 가치에 대한 임직원의 인식 변화에 많은 노력을 기울였습니다. 지켜야 할 정보보안 수칙을 임직원이 이해하고 숙지하도록 집합 및 온라인 교육도 강화했고, 위반사례를 드라마 및 애니메이션으로도 제작·배포하고 위반과 우수사례에 대한 신상필벌도 강화함으로써 동일 사건의 재발방지에 만전을 기하고 있습니다.
그 다음으로는 기술적 보호조치 강화입니다. 보안상 모두 언급할 수는 없지만 외부 공격에 대비해 내부망과 외부망을 분리하고 불필요한 접점을 제거했으며, 매일 수천만 건의 이벤트를 신속·정확하게 탐지 및 분석할 수 있는 인공지능 기반 사이버관제시스템도 구축 운영하고 있습니다.
다음으로는 관리적인 노력이라고 볼 수 있겠습니다. 기존 규정과 지침을 정비하고 업무에 필요한 신규 지침들을 상세화했습니다. 임원진 및 외부 전문가 집단으로 구성된 위원회도 신설·운영하여 정보보안 업무관련 중요사항을 결정하고 동향을 공유하고 있습니다. 현장에 사이버보안 전담부서를 신설하고 전문인력을 채용·배치했으며, 협력사 관리에 만전을 기하는 등 보안관리를 위한 양적·질적 향상도 도모했습니다.
2014년 사건 당시 정보보호총괄부장으로서 원만한 사태 수습과 해결에 큰 역할을 하신 걸로 알고 있습니다. 아직까지 부담스러운 얘기일 수도 있지만, 그 당시 어떤 마음가짐으로 업무에 임하셨고, 어떤 과정을 거쳐 사건을 처리하셨는지 궁금합니다
돌이켜보면 당시는 긴박한 순간의 연속이었습니다. 1개월여 동안 퇴근도 못하고 사건에 대처했던 것 같습니다. 당연히 신속하게 막아야 하고, 악성코드의 출처와 원인을 파악·분석·조치하고 회복하는 것이 가장 큰 현안이었죠. 회사 최고경영층과 임원의 총괄 지휘체계를 구성하고, 정보보안 조직뿐만 아니라 회사의 전 조직과 ICT 운영조직의 구성원 모두가 합심하여 문제를 해결하고 정상화하고자 많은 노력을 기울였습니다. 한편으로는, 정부기관과 긴밀한 공조체계를 구축하여 수사와 조사를 통해 정확한 팩트를 확인하고 투명하게 공개하는 것도 중요한 일이라고 생각했습니다. 원전의 안전성 우려로 확대되는 사이버테러 상황에서 불안과 염려를 불식시키기 위해서는 사실에 기반 하지 않은 심리전으로 이어지는 것을 막는 일도 중요했습니다.
이에 당시 저희 부서에서는 첫 번째, 매뉴얼에 따라 ʻ긴급대응반ʼ을 구성하고 초동조치를 했습니다. 사이버 위협, 침해 등 피해상황을 정확히 파악하고 추가 공격을 차단하고자 했습니다. 민간·정부·한수원이 협력하여 사이버보안 관제도 병행했습니다. 정밀분석을 위해 수사기관에 즉각적인 수사도 요청했습니다. 탐지와 분석을 위한 기술적 보호장치도 즉시 증설하고, 공격의 경로가 될 수 있는 인터넷망 등의 사용을 일시 차단하기도 했습니다. 다음으로는 복구를 위한 기술적 보호조치들을 이행했습니다. 추가 방지를 위해 차단한 인터넷망, 업무시스템, 사외 이메일 등의 회복을 위해 이메일 계정변경, 자료전송시스템 정책 강화, 사이버관제센터 확대 구축, PC 보안강화 등의 조치를 취하기도 했죠. 마지막으로는 재발방지를 위한 제도적·정책적 조치를 시행했습니다. 관련 규정·절차 등을 상세하게 정비했으며, 직원 인식 제고를 위한 활동도 강화했습니다. 오늘 인터뷰 기회를 빌려 당시에 도와주셨던 정부 등 관계기관, 학계, 전문가와 수고한 우리 직원 등 모든 분들께 다시 한 번 감사의 말씀을 드립니다.
한수원의 정보보안 관련 조직은 어떻게 구성돼 있나요? 직원들을 대상으로 한 보안교육 및 캠페인 사례도 추가로 소개해 주신다면
정보보안처는 물리와 사이버 보안업무를 총괄하는 조직으로서 정보관리부, 사이버보안부, 보안방호부, 비상계획관 등 여러 부서가 있고, 본사에 약 40여명의 한수원 직원과 다수의 협력사 직원들이 같이 근무하고 있습니다. 기술보안, 사이버보안, 일반보안 및 물리적방호 등의 전략·제도·규정·절차의 수립·운영, 정보공개, 기술적 보호조치 등의 업무를 담당하고 있습니다.
정보보안의 강화는 현장의 업무 편의에 반하는 경우가 많습니다. 불편을 감수하더라도 정보보안 강화를 위해 보안조치가 필요하다는 것을 직원들이 인식할 수 있도록 일반보안, 사이버보안, 개인정보보호 등 온·오프라인 교육과정을 운영하고 있습니다. 또한, 보안관련 규정·지침의 이해 부족으로 위반하는 사례들을 모아 시트콤, 애니메이션 등의 콘텐츠로 제작하여 흥미롭게 이해할 수 있도록 방영하고 있습니다. 이와 함께 사이버보안 헬프데스크 운영을 통해 정보보호시스템의 오류, 불편사항 등도 신속히 해결하고자 노력하고 있습니다. 이외에도 정보보안 관리실태를 조직 평가에도 반영해 한수원 전체 조직 구성원이 규정·지침의 준수를 생활화하도록 독려하고 있습니다.
한수원의 경우 2020년 산업부 주관 정보보안 콘퍼런스 4관왕을 비롯해 2020 사이버공격방어대회 공공부문 우승 등 우수한 보안인력들이 발군의 기량을 발휘하고 있는 것으로 알고 있는데요
2020년에는 직원들이 노력한 결과, 각종 경진대회에서 우수한 성과를 많이 달성했습니다. 말씀하신 사례 외에도 KISA에서 주관한 제19회 K-ICT 정보보호 대상에서는 대상인 과학기술정통부장관상을 수상했고, 제8회 산업통상자원부 주관 사이버보안 경진대회에서는 제어 및 정보 분야에 출전한 2개 팀이 각각 1위의 성적을 거두는 성과도 달성했습니다. 뿐만 아니라 산업통상자원부 등 정부기관에서 주관하는 정보보안 감사, 주요정보통신기반시설 보호대책 이행평가 및 취약점 분석·평가에서도 꾸준히 우수한 성적을 거두고 있습니다.
한수원은 매우 우수한 보안인력들이 근무하고 있는 것으로 알고 있습니다. 이렇듯 우수한 인력을 채용하기 위한 한수원만의 인재상과 기준이 있다면
정보보안처장을 비롯한 부장들은 회사에서 20년 이상 근무한 베테랑들입니다. 특히, 정보보안처장은 IT업무 및 정보보안업무 이외에도 노무업무, 지역협력업무 등 다양한 업무 경험을 통해 책임의식과 역량이 우수합니다. 정보보안처가 유기적으로 신속히 움직일 수 있도록 ‘생각을 두배로, 속도를 두배로’라는 업무태도를 정하고, 모든 조직원이 공유하고 실천할 수 있도록 솔선수범하고 있습니다. 직원 하나하나 면면을 설명하기는 어렵습니다만, 최근 정보보안 분야 전문가들을 많이 채용했는데, 이들이 본사 및 원전본부에서 정보보안 업무를 잘 감당하고 있습니다.
우수한 정보보안 인력을 채용하기 위해서는 우선 회사에서 공통적으로 바라고 있는 인재상에 부합하는 인력을 채용하는 것이 기본입니다. 핵심가치인 ʻKHNP Way(정도추구, 안전최우선, 상호존중, 사회적 가치창출, 최고지향)’를 적극적으로 받아들일 수 있고 몸으로 실천하는 인재입니다. 그 후에 정보보안 경험과 지식에 대한 심층 면접을 통해 우수한 정보보안 인재를 발굴하고자 노력하고 있습니다.
▲한국수력원자력 경주 본사 전경[사진=보안뉴스]
이제 사이버공격은 에너지, 전력, 상하수도 등 국가기반시설을 타깃으로 한 사이버테러 형태로 진화하고 있습니다. 오랜 기간 이러한 공격에 대응해온 한수원 입장에서 사이버테러 공격에 효과적으로 대응하기 위해 가장 중요한 과제는 무엇이라고 보시나요
지난해 말 솔라윈즈(Solar Winds) 사건처럼 앞으로는 공급망을 통한 공격이나 다양한 형태의 공격이 증가할 것으로 보입니다. 기반시설의 안정적인 운영을 담보하면서 악성코드, 랜섬웨어, 바이러스 등의 유입을 검출하고 차단하는 정보보호 인프라를 확충하는 것이 무엇보다 중요하다고 생각합니다. 정확하게 탐지하고 분석 및 대응 조치에 필요한 기반시설 관제체계 구축이 수반되어야 합니다. 4차 산업혁명 가속화에 대비한 차세대 보안기술의 확충도 필요하고, 양자컴퓨팅 보안기술의 접목도 고려해야 합니다.
그 다음으로는 기반시설 사용자 및 관리자의 마인드 변화도 필요합니다. 폐쇄망 또는 독립망 형태로 운영되는 기반시설 특성으로 인해 지금까지는 상대적으로 공격에 노출되는 위험성이 적었습니다. 따라서 정보보호 필요성에 대한 인식이 행정업무망 정보보호에 비해 상대적으로 부족했던 게 사실입니다. 기반시설 정보보호 기준 및 지침 등에 대한 숙지, 이행 및 훈련을 통한 대응력 향상이 무엇보다 중요한 이유입니다. 이에 대한 로드맵 수립을 통해 하나하나 갖추려고 준비하고 있는 중입니다.
올해로 한수원이 창립 20주년을 맞았습니다. 이와 함께 정재훈 사장님도 연임이 확정되어 현재 한수원에서 추진하는 정책이 탄력을 받아 진행될 것 같은데요. 그 가운데서도 보안 부문에 있어 향후 지향하는 비전이나 목표를 설명해 주신다면
사장님께서 정보보안 업무에 대한 관심과 지원이 매우 크시기 때문에 실무진이 업무를 추진하는데 부담도 되지만. 한편으로는 큰 힘이 되고 있습니다. 이를 뒷받침하기 위해 정보보안 분야 비전을 ʻ회사 자산·정보의 위협과 위험으로부터 완벽한 보호ʼ로 정했습니다. 비전의 실현을 위해 단 하나의 정보보안 사고 및 자산·정보 유출도 허용하지 않으려고 노력하고 있습니다. 따라서 목표는 ʻ정보보안 사고 제로화ʼ로 정했습니다. 기술정보관리 사고, 사이버침해 사고, 시설보안 사고 등 보안에 필요한 모든 분야의 사고가 단 한건도 발생하지 않도록 관리하는 것이 목표입니다. 어려운 목표이지만 보안의 작은 구멍 하나가 회사 전체를 위험에 빠뜨리는 경험을 한 바 있습니다. 잠재적인 위험을 선제적으로 예방하고 제거하기 위해 회사와 관련 협력사 모두가 함께 노력해 나갈 예정입니다.
저희 <보안뉴스>도 어느새 창립 15주년이 되었습니다. 2014년 사건 당시에는 저희가 단독 보도를 많이 해서 힘드시기도 하셨을 텐데요. 저희 <보안뉴스>에 하고 싶은 말씀이 있으시다면
<보안뉴스> 창립 15주년을 너무 축하드립니다. 우리나라 보안 분야에 있어 일자리 확대, 시장 성장, 기술 발전 등에 있어 적지 않은 역할을 해오신데 대해 이 자리를 빌려 깊은 감사의 말씀을 드립니다. 물론 사건 당시에는 힘들었던 부분도 많았지만, <보안뉴스>는 언론으로서 나름의 역할을 충실히 했던 것이라고 생각합니다. 그리고 사건 처리과정이 투명하게 공개됨으로써 한수원은 물론 국내 기업 임직원들의 보안의식 개선과 보안문화 정착에 일정 부분 기여했다는 점도 간과할 순 없을 것 같습니다. 앞으로도 <보안뉴스>에서 지금처럼 드론, AI 등 새로운 보안이슈를 적극 발굴하고, 양질의 보안정보를 공유할 수 있는 보안 분야 허브로서의 역할을 충실해 주셨으면 좋겠습니다.
[권 준 기자(editor@boannews.com)]
2014년 북한 사이버공격 사건 겪으며 보안 강화에 더욱 매진하다
프로그래머로 입사, 사건 당시 정보보안총괄부장에서 CISO겸 경영부사장 ‘컴백’
[보안뉴스 권 준 기자] 한국수력원자력(이하 한수원)은 국내 전력의 약 29.8%를 생산하는 우리나라 최대의 발전회사로, 전력을 안정적으로 공급해 국민의 삶을 풍요롭게 하고, 국가 경제발전의 밑거름이 되겠다는 목표에 만전을 기하고 있다. 한국전력공사로부터 분사해 올해로 창립 20주년을 맞는 한수원은 그간 몇 차례 어려움을 겪으면서도 이를 잘 헤쳐 나가며 굳건히 성장하고 있다. 지난 2014년 발생한 북한 사이버공격 사건이 대표적이다. 당시 사건을 슬기롭게 극복하면서 보안 강화의 계기로 삼았고, 이를 통해 보안에 있어서는 모범적인 기업으로 자리매김했다는 평가를 받는다. 이에 <보안뉴스>에서는 2014년 사건 당시 정보보안총괄부장으로써 사건 수습에 최선을 다했고, 현재는 정보보호최고책임자(CISO) 역할을 함께 맡고 있는 박상형 경영부사장을 한수원 경주 본사에서 만나 인터뷰를 진행했다.
▲<보안뉴스>와 인터뷰를 하고 있는 한국수력원자력 박상형 경영부사장/CISO
많이 바쁘실 텐데 인터뷰에 응해주셔서 감사드립니다. 한수원이 창립 20주년을 맞은 가운데 보안을 비롯해 경영 및 관리 전반을 총괄하시는 경영부사장을 맡고 계신데요. 담당하시는 업무 범위에 대해 간략히 소개해주신다면
먼저 우리나라 보안 관련 정책 수립과 보안 산업 발전에 크나큰 역할을 하고 계신 <보안뉴스>에 감사드리고, 저에게 좋은 기회를 주셔서 더욱 감사합니다. 공기업에서 중책을 맡게 되어 어깨가 무겁습니다. 제가 맡고 있는 업무는 회사의 업무 전반을 지원하는 경영관리업무로서, 우수 인재 확보와 육성, 안전한 원자력발전소 운영을 위한 자재 전반의 조달과 구매 및 재고 관리, 노사협력과 복지후생 업무, 그리고 오늘 인터뷰와 관련 있는 일반보안, 물리적 방호, 기술보안, 정보보안 등의 보안업무를 맡고 있습니다.
그간 한수원에서 맡으셨던 직책과 역할에 대해 설명해 주신다면
1981년 한국전력공사에 전산직으로 입사하여 프로그래머로 회사생활에 첫발을 내딛었고, 회사의 정보화 기획업무를 거쳤습니다. 전력산업 구조개편에 따라 2001년에 한국수력원자력으로 분사된 이후. 회사 발족 이듬해인 2002년에는 정보시스템과 프로세스를 혁신하기 위한 경영혁신정보화사업(ERP 프로젝트)의 구축 전반을 담당하기도 했습니다. 그 이후 정보계획부장, 정보보안총괄부장 등의 업무를 맡아 회사의 IT 및 정보보안 분야의 혁신과 선진화를 위해 노력했으며, 신규 원전 준비 현장책임자를 거쳐 노무처장, 인재개발원장 등을 맡으면서 관리업무 전반을 경험하기도 했습니다. 가장 최근에는 4차 산업혁명 기술기반의 디지털 한수원을 총괄하는 디지털혁신추진단장을 거쳐 현재는 상임이사 임원으로 경영부사장을 맡고 있습니다.
현재는 경영관리 전반을 총괄하시지만, 과거 정보보안 업무를 맡으셨던 경험도 있으셨고, 현재 한수원의 CISO 역할을 하고 계시는 만큼 정보보안 분야는 직접 챙기실 것 같은데요
CISO로서 정보보안 업무는 직접 챙겨보려고 노력하고 있지만, 말씀하신 것처럼 경영관리를 총괄하다보니 쉽지 않은 측면도 있습니다. 다만, 다른 업무보다 정보보안이라는 전문영역을 담당했던 경험으로 정보보안 업무를 좀 더 챙기고 직원들 역량이 발휘될 수 있도록 제가 경험한 사항을 전달하고 함께 고민하는 시간을 갖고 있습니다.
근래에는 사이버공격 양상도 디지털 혁신과 IT 기술 발전에 따라 진화하고 있는데, 이를 정확하게 탐지하고 신속하게 분석·조치할 수 있는 관제시스템의 지능화 및 디지털화가 중요하다고 생각합니다. 또한, 회사의 다양한 기술정보, 영업비밀, 원자력 정보 등의 유출 방지에도 더 노력하고 있습니다. 앞으로는 기반시설에 대한 침투 예방, 악성코드 유입 차단, 보안관제 등을 통해 운영 안전성을 담보하는 것도 무엇보다 중요한 일이라고 생각합니다.
▲한국수력원자력 박상형 경영부사장[사진=보안뉴스]
과거 북한의 사이버공격으로 보안사건을 겪으신 이후부터 지금까지 정보보안 분야 최우수 기업으로서의 면모를 유지하고 계신 것으로 알고 있습니다. 해당 사건 이후에 한수원이 보안 강화를 위해 어떤 측면에서 가장 많은 노력을 기울여 왔다고 보시는지요
보안에는 완벽이라는 것은 없기에 최우수 기업이라는 표현이 조심스럽기는 합니다. 과거 보안사건 이후 정보보안의 필요성을 대하는 임직원의 마인드가 가장 크게 바뀌었다고 생각합니다. 회사 자료의 중요성과 가치에 대한 임직원의 인식 변화에 많은 노력을 기울였습니다. 지켜야 할 정보보안 수칙을 임직원이 이해하고 숙지하도록 집합 및 온라인 교육도 강화했고, 위반사례를 드라마 및 애니메이션으로도 제작·배포하고 위반과 우수사례에 대한 신상필벌도 강화함으로써 동일 사건의 재발방지에 만전을 기하고 있습니다.
그 다음으로는 기술적 보호조치 강화입니다. 보안상 모두 언급할 수는 없지만 외부 공격에 대비해 내부망과 외부망을 분리하고 불필요한 접점을 제거했으며, 매일 수천만 건의 이벤트를 신속·정확하게 탐지 및 분석할 수 있는 인공지능 기반 사이버관제시스템도 구축 운영하고 있습니다.
다음으로는 관리적인 노력이라고 볼 수 있겠습니다. 기존 규정과 지침을 정비하고 업무에 필요한 신규 지침들을 상세화했습니다. 임원진 및 외부 전문가 집단으로 구성된 위원회도 신설·운영하여 정보보안 업무관련 중요사항을 결정하고 동향을 공유하고 있습니다. 현장에 사이버보안 전담부서를 신설하고 전문인력을 채용·배치했으며, 협력사 관리에 만전을 기하는 등 보안관리를 위한 양적·질적 향상도 도모했습니다.
2014년 사건 당시 정보보호총괄부장으로서 원만한 사태 수습과 해결에 큰 역할을 하신 걸로 알고 있습니다. 아직까지 부담스러운 얘기일 수도 있지만, 그 당시 어떤 마음가짐으로 업무에 임하셨고, 어떤 과정을 거쳐 사건을 처리하셨는지 궁금합니다
돌이켜보면 당시는 긴박한 순간의 연속이었습니다. 1개월여 동안 퇴근도 못하고 사건에 대처했던 것 같습니다. 당연히 신속하게 막아야 하고, 악성코드의 출처와 원인을 파악·분석·조치하고 회복하는 것이 가장 큰 현안이었죠. 회사 최고경영층과 임원의 총괄 지휘체계를 구성하고, 정보보안 조직뿐만 아니라 회사의 전 조직과 ICT 운영조직의 구성원 모두가 합심하여 문제를 해결하고 정상화하고자 많은 노력을 기울였습니다. 한편으로는, 정부기관과 긴밀한 공조체계를 구축하여 수사와 조사를 통해 정확한 팩트를 확인하고 투명하게 공개하는 것도 중요한 일이라고 생각했습니다. 원전의 안전성 우려로 확대되는 사이버테러 상황에서 불안과 염려를 불식시키기 위해서는 사실에 기반 하지 않은 심리전으로 이어지는 것을 막는 일도 중요했습니다.
이에 당시 저희 부서에서는 첫 번째, 매뉴얼에 따라 ʻ긴급대응반ʼ을 구성하고 초동조치를 했습니다. 사이버 위협, 침해 등 피해상황을 정확히 파악하고 추가 공격을 차단하고자 했습니다. 민간·정부·한수원이 협력하여 사이버보안 관제도 병행했습니다. 정밀분석을 위해 수사기관에 즉각적인 수사도 요청했습니다. 탐지와 분석을 위한 기술적 보호장치도 즉시 증설하고, 공격의 경로가 될 수 있는 인터넷망 등의 사용을 일시 차단하기도 했습니다. 다음으로는 복구를 위한 기술적 보호조치들을 이행했습니다. 추가 방지를 위해 차단한 인터넷망, 업무시스템, 사외 이메일 등의 회복을 위해 이메일 계정변경, 자료전송시스템 정책 강화, 사이버관제센터 확대 구축, PC 보안강화 등의 조치를 취하기도 했죠. 마지막으로는 재발방지를 위한 제도적·정책적 조치를 시행했습니다. 관련 규정·절차 등을 상세하게 정비했으며, 직원 인식 제고를 위한 활동도 강화했습니다. 오늘 인터뷰 기회를 빌려 당시에 도와주셨던 정부 등 관계기관, 학계, 전문가와 수고한 우리 직원 등 모든 분들께 다시 한 번 감사의 말씀을 드립니다.
한수원의 정보보안 관련 조직은 어떻게 구성돼 있나요? 직원들을 대상으로 한 보안교육 및 캠페인 사례도 추가로 소개해 주신다면
정보보안처는 물리와 사이버 보안업무를 총괄하는 조직으로서 정보관리부, 사이버보안부, 보안방호부, 비상계획관 등 여러 부서가 있고, 본사에 약 40여명의 한수원 직원과 다수의 협력사 직원들이 같이 근무하고 있습니다. 기술보안, 사이버보안, 일반보안 및 물리적방호 등의 전략·제도·규정·절차의 수립·운영, 정보공개, 기술적 보호조치 등의 업무를 담당하고 있습니다.
정보보안의 강화는 현장의 업무 편의에 반하는 경우가 많습니다. 불편을 감수하더라도 정보보안 강화를 위해 보안조치가 필요하다는 것을 직원들이 인식할 수 있도록 일반보안, 사이버보안, 개인정보보호 등 온·오프라인 교육과정을 운영하고 있습니다. 또한, 보안관련 규정·지침의 이해 부족으로 위반하는 사례들을 모아 시트콤, 애니메이션 등의 콘텐츠로 제작하여 흥미롭게 이해할 수 있도록 방영하고 있습니다. 이와 함께 사이버보안 헬프데스크 운영을 통해 정보보호시스템의 오류, 불편사항 등도 신속히 해결하고자 노력하고 있습니다. 이외에도 정보보안 관리실태를 조직 평가에도 반영해 한수원 전체 조직 구성원이 규정·지침의 준수를 생활화하도록 독려하고 있습니다.
한수원의 경우 2020년 산업부 주관 정보보안 콘퍼런스 4관왕을 비롯해 2020 사이버공격방어대회 공공부문 우승 등 우수한 보안인력들이 발군의 기량을 발휘하고 있는 것으로 알고 있는데요
2020년에는 직원들이 노력한 결과, 각종 경진대회에서 우수한 성과를 많이 달성했습니다. 말씀하신 사례 외에도 KISA에서 주관한 제19회 K-ICT 정보보호 대상에서는 대상인 과학기술정통부장관상을 수상했고, 제8회 산업통상자원부 주관 사이버보안 경진대회에서는 제어 및 정보 분야에 출전한 2개 팀이 각각 1위의 성적을 거두는 성과도 달성했습니다. 뿐만 아니라 산업통상자원부 등 정부기관에서 주관하는 정보보안 감사, 주요정보통신기반시설 보호대책 이행평가 및 취약점 분석·평가에서도 꾸준히 우수한 성적을 거두고 있습니다.
한수원은 매우 우수한 보안인력들이 근무하고 있는 것으로 알고 있습니다. 이렇듯 우수한 인력을 채용하기 위한 한수원만의 인재상과 기준이 있다면
정보보안처장을 비롯한 부장들은 회사에서 20년 이상 근무한 베테랑들입니다. 특히, 정보보안처장은 IT업무 및 정보보안업무 이외에도 노무업무, 지역협력업무 등 다양한 업무 경험을 통해 책임의식과 역량이 우수합니다. 정보보안처가 유기적으로 신속히 움직일 수 있도록 ‘생각을 두배로, 속도를 두배로’라는 업무태도를 정하고, 모든 조직원이 공유하고 실천할 수 있도록 솔선수범하고 있습니다. 직원 하나하나 면면을 설명하기는 어렵습니다만, 최근 정보보안 분야 전문가들을 많이 채용했는데, 이들이 본사 및 원전본부에서 정보보안 업무를 잘 감당하고 있습니다.
우수한 정보보안 인력을 채용하기 위해서는 우선 회사에서 공통적으로 바라고 있는 인재상에 부합하는 인력을 채용하는 것이 기본입니다. 핵심가치인 ʻKHNP Way(정도추구, 안전최우선, 상호존중, 사회적 가치창출, 최고지향)’를 적극적으로 받아들일 수 있고 몸으로 실천하는 인재입니다. 그 후에 정보보안 경험과 지식에 대한 심층 면접을 통해 우수한 정보보안 인재를 발굴하고자 노력하고 있습니다.
▲한국수력원자력 경주 본사 전경[사진=보안뉴스]
이제 사이버공격은 에너지, 전력, 상하수도 등 국가기반시설을 타깃으로 한 사이버테러 형태로 진화하고 있습니다. 오랜 기간 이러한 공격에 대응해온 한수원 입장에서 사이버테러 공격에 효과적으로 대응하기 위해 가장 중요한 과제는 무엇이라고 보시나요
지난해 말 솔라윈즈(Solar Winds) 사건처럼 앞으로는 공급망을 통한 공격이나 다양한 형태의 공격이 증가할 것으로 보입니다. 기반시설의 안정적인 운영을 담보하면서 악성코드, 랜섬웨어, 바이러스 등의 유입을 검출하고 차단하는 정보보호 인프라를 확충하는 것이 무엇보다 중요하다고 생각합니다. 정확하게 탐지하고 분석 및 대응 조치에 필요한 기반시설 관제체계 구축이 수반되어야 합니다. 4차 산업혁명 가속화에 대비한 차세대 보안기술의 확충도 필요하고, 양자컴퓨팅 보안기술의 접목도 고려해야 합니다.
그 다음으로는 기반시설 사용자 및 관리자의 마인드 변화도 필요합니다. 폐쇄망 또는 독립망 형태로 운영되는 기반시설 특성으로 인해 지금까지는 상대적으로 공격에 노출되는 위험성이 적었습니다. 따라서 정보보호 필요성에 대한 인식이 행정업무망 정보보호에 비해 상대적으로 부족했던 게 사실입니다. 기반시설 정보보호 기준 및 지침 등에 대한 숙지, 이행 및 훈련을 통한 대응력 향상이 무엇보다 중요한 이유입니다. 이에 대한 로드맵 수립을 통해 하나하나 갖추려고 준비하고 있는 중입니다.
올해로 한수원이 창립 20주년을 맞았습니다. 이와 함께 정재훈 사장님도 연임이 확정되어 현재 한수원에서 추진하는 정책이 탄력을 받아 진행될 것 같은데요. 그 가운데서도 보안 부문에 있어 향후 지향하는 비전이나 목표를 설명해 주신다면
사장님께서 정보보안 업무에 대한 관심과 지원이 매우 크시기 때문에 실무진이 업무를 추진하는데 부담도 되지만. 한편으로는 큰 힘이 되고 있습니다. 이를 뒷받침하기 위해 정보보안 분야 비전을 ʻ회사 자산·정보의 위협과 위험으로부터 완벽한 보호ʼ로 정했습니다. 비전의 실현을 위해 단 하나의 정보보안 사고 및 자산·정보 유출도 허용하지 않으려고 노력하고 있습니다. 따라서 목표는 ʻ정보보안 사고 제로화ʼ로 정했습니다. 기술정보관리 사고, 사이버침해 사고, 시설보안 사고 등 보안에 필요한 모든 분야의 사고가 단 한건도 발생하지 않도록 관리하는 것이 목표입니다. 어려운 목표이지만 보안의 작은 구멍 하나가 회사 전체를 위험에 빠뜨리는 경험을 한 바 있습니다. 잠재적인 위험을 선제적으로 예방하고 제거하기 위해 회사와 관련 협력사 모두가 함께 노력해 나갈 예정입니다.
저희 <보안뉴스>도 어느새 창립 15주년이 되었습니다. 2014년 사건 당시에는 저희가 단독 보도를 많이 해서 힘드시기도 하셨을 텐데요. 저희 <보안뉴스>에 하고 싶은 말씀이 있으시다면
<보안뉴스> 창립 15주년을 너무 축하드립니다. 우리나라 보안 분야에 있어 일자리 확대, 시장 성장, 기술 발전 등에 있어 적지 않은 역할을 해오신데 대해 이 자리를 빌려 깊은 감사의 말씀을 드립니다. 물론 사건 당시에는 힘들었던 부분도 많았지만, <보안뉴스>는 언론으로서 나름의 역할을 충실히 했던 것이라고 생각합니다. 그리고 사건 처리과정이 투명하게 공개됨으로써 한수원은 물론 국내 기업 임직원들의 보안의식 개선과 보안문화 정착에 일정 부분 기여했다는 점도 간과할 순 없을 것 같습니다. 앞으로도 <보안뉴스>에서 지금처럼 드론, AI 등 새로운 보안이슈를 적극 발굴하고, 양질의 보안정보를 공유할 수 있는 보안 분야 허브로서의 역할을 충실해 주셨으면 좋겠습니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
