공격, 당한 걸까 자초한 걸까

인터넷 등에 한수원 전·현직 임직원 관련 자료들 수년 전부터 노출돼…

핵산업계 전반의 보안 의식 재점검 위해 유출자보다 유출 원인 따져보는 게 더 시급해

‘원전반대그룹’이 인터넷 파일 공유 사이트 등을 통해 2014년 12월15일부터 모두 다섯 차례에 걸쳐 공개한 국내 핵발전소와 관련한 자료들의 모습. 정용일 기자

말 그대로 ‘크리스마스의 악몽’이었다. 핵발전소를 파괴하겠다는 자칭 ‘원전반대그룹’(Who am I?)의 공언에 정부와 한국수력원자력(한수원) 등의 관계자들은 연말을 뜬눈으로 지새웠다. 일단 원전반대그룹이 핵발전소 파괴의 D데이로 예고한 12월25일에 별다른 징후가 나타나지 않아 한시름 놓는 분위기다. 그러나 이번 사건 이후 정부와 한수원의 핵발전소 사이버테러 대응에 대한 의문은 더욱 증폭되고 있다. 게다가 이번 해킹 사건의 주요 공격 경로로 지목된 한수원 등 핵산업계 전·현직 임직원들의 전자우편 주소 등 개인정보가 인터넷을 통해 오랫동안 노출돼 있었다는 점이 드러나면서, 핵산업계 전반의 보안 의식에 근본적인 문제제기가 불가피할 것으로 보인다.

3개국만 보유한 기술 유출됐을 가능성도

원전반대그룹은 2014년 12월15일부터 모두 다섯 차례에 걸쳐 85건의 핵발전소 관련 자료를 인터넷에 공개했다. 이 과정에서 한수원 전체 임직원의 연락처와 고리·월성 핵발전소 도면의 일부에 해당하는 이미지파일, 그리고 신형 가압수형 원자로(APWR) 시뮬레이터와 ‘원전 안전해석코드’(SPACE)라는 프로그램을 띄운 PC 화면을 캡처한 이미지파일 등이 유포됐다. 한수원에서는 “공개된 자료는 핵심 기술이 아닌 일반적 기술 자료로서 원전 안전에 미치는 영향은 없다”고 해명했지만, SPACE 프로그램은 전세계에서 우리나라를 포함해 3개국만 보유한 기술로 알려졌다.

핵발전소를 상대로 한 공격의 수위가 높아지자 검찰과 국가정보원, 그리고 한국인터넷진흥원(KISA)의 전문가들이 모인 ‘개인정보범죄 정부합동수사단’(합수단)이 수사에 나섰다. 합수단의 수사 내용을 종합해보면, 12월9일부터 나흘간 한수원 직원 수백 명에게 악성코드를 담은 전자우편이 뿌려졌으며, 이를 보낸 IP 주소 대부분은 중국 선양에 집중돼 있었다. 합수단 관계자는 또 “악성코드가 담긴 전자우편 211개 가운데 55개가 한수원 퇴직자 명의의 국내 포털 전자우편 계정에서 전송됐으며, 용의자들이 한수원 퇴직자들의 전자우편 주소를 미리 확보한 뒤 악성코드 공격에 사용한 것으로 보인다”고 설명했다. 수법도 다양했다. ‘○○도면입니다, 견적서, 시방서, 자료 배포, 송전선로’ 등의 제목을 넣어 업무용을 가장한 전자우편에 첨부파일로 들어 있던 한글 워드파일에는 일반적으로 15개 안팎의 악성코드가 심어져 있었으며, 모두 300여 개의 악성코드가 유포된 것으로 합수단은 보고 있다.

원전반대그룹은 한수원 퇴직자들의 정보를 어떻게 확보했을까. 앞서 원전반대그룹은 12월15일 한수원 전·현직 임직원 1만799명의 이름·사원번호·소속·직급·입사 날짜·퇴직 날짜·전자우편 주소·휴대전화 번호 등 8개 항목이 담긴 엑셀 파일을 입수했다고 밝혔다. 한수원은 이 정보가 회사 인터넷 홈페이지에서 아이디·비밀번호를 입력해 접속하는 ‘한수원 커뮤니티’(cms.khnp.co.kr)에서 나온 것으로 추정하고 12월17일부터 접속을 차단하고 있다. 그러나 <한겨레21> 취재 결과, 최근까지 ‘한수원 커뮤니티’에 있던 전·현직 관계자의 소속과 전자우편, 휴대전화 번호 등은 ‘해킹’ 없이도 구글 등의 포털 사이트 검색만으로 알 수 있었다는 사실이 확인됐다. 이는 한수원 커뮤니티 서비스 가운데 하나인 전·현직 직원들의 모임 ‘원우회’에서 나온 엑셀 파일로, 모두 426명의 한수원 전·현직 관계자 이름과 집 주소·직장 주소·전자우편·휴대전화 연락처 등이 실려 있었다. 한수원은 “해당 자료는 2013년 3월 원우회 행사를 위해 작성된 것으로, 한수원 임직원이 관리해왔다”고 설명했다. 이 자료에는 한수원 고리·월성 원자력본부의 본부장·처장급 관계자의 정보뿐만 아니라 한수원을 퇴직한 뒤 한전KPS, UAE원자력공사(ENEC), 한국원자력환경공단(옛 한국방사성폐기물관리공단) 등 핵산업계로 자리를 옮겨 근무하는 고위 관계자의 정보도 담겨 있었다.

없다시피 한 핵산업계의 보안 인프라

한수원 퇴직자들의 개인정보가 오랫동안 노출됐던 사실이 원전반대그룹의 해킹과 직접적인 연관이 있다고 보기는 어렵다. 그러나 이번 해킹의 경로로 지목된 ‘한수원 커뮤니티’ 자체가 예전부터 개인정보 관리 등 기본적인 보안에 취약했다는 점을 보여주는 명확한 사례이기도 하다. 보안 전문가들은 한수원 같은 폐쇄적인 조직 안에서 신뢰를 얻을 수 있는 구성원의 정보를 대량으로 얻는 것 자체가 계정을 뚫지 않고 악성코드를 심는 방법으로 충분히 활용될 수 있다고 본다. 원전반대그룹처럼 전자우편을 통해 악성코드를 전달해 기하급수적으로 유포 범위를 늘려 점점 더 많은 내부 정보를 캐내는 수법을 사용하는 경우 더욱 활용 가능성이 높기 때문이다.

‘원전반대그룹’이 사이버 테러를 하겠다고 위협한 고리 1호기가 위치해 있는 부산 기장군 고리원자력본부의 모습. 류우종 기자

사이버 보안의 허점은 한수원뿐만 아니라 핵산업계의 다른 기관에서도 나타났다. 원전반대그룹이 핵발전소 관련 자료 85건을 유출하는 데 활용한 파일공유 사이트 ‘페이스트빈’(pastebin.com)에는 한수원 직원(@khnp.co.kr) 2명의 전자우편 주소와 계정 비밀번호, 한국전력 직원(@kepco.co.kr) 4명의 전자우편 주소와 계정 비밀번호, 그리고 한국원자력연구원 직원(@kaeri.re.kr) 1명의 전자우편 주소와 계정 비밀번호가 2014년 7월1일부터 무려 다섯 달 동안 노출됐던 것으로 확인됐다. 모두 4485개의 국내 사용자로 추정되는 이들의 전자우편 주소와 계정 비밀번호가 공개돼 있는 이 자료는 12월23일 이후 삭제됐으나, 구글의 캐시(저장된 페이지)에는 남아 있다. 익명성이 보장되는 점 때문에 해커나 개발자들이 주로 이용하는 것으로 알려진 페이스트빈 사이트의 특성상 불특정 다수가 해당 정보를 활용했을 가능성도 있다. 한전은 한수원을 자회사로 가지고 있고, 아랍에미리트(UAE) 원전 수출 사업을 주도하고 있으며, 핵발전소 설계를 전문적으로 맡아서 하는 한국전력기술(KEPCO E&C)과 핵발전소 관리를 전담하는 한전KPS 등의 자회사도 운영한다. 한국원자력연구원은 한국형 원전 개발 사업 등 핵산업과 관련한 다양한 연구에 참여하는 기관이다. 한수원과 한전, 그리고 한국원자력연구원은 “전자우편 계정은 임직원 것이 맞지만, 계정 비밀번호는 틀리다”고 밝혔다. 또 세 업체 모두 “가상사설망(VPN)이나 데스크톱가상화(VDI) 등을 쓰기 때문에 단순히 계정 정보만으로 외부에서 전자우편 등에 접속하는 것은 불가능하다”고 설명했다. 그러나 세 업체 모두 다섯 달 동안 이 정보가 파일 공유 사이트에 돌아다녔던 사실은 알지 못했다.

‘북한의 소행’인지가 중요한 문제 아냐

원전반대그룹과 같은 조직적인 사이버테러에 어떻게 대응하는가에 앞서 기본적인 보안 유지조차 허술한 한수원 등 핵산업계의 모습을 감안한다면, “(핵발전소의) 내부망과 외부망 분리가 됐기 때문에 안전하다”는 한수원의 발표는 신뢰성이 떨어질 수밖에 없다. 앞서 한수원의 망 분리 사업은 2013년 4월에 이뤄졌는데, 이는 감사원이 2012년 12월 고리원자력본부 제1발전소의 제어망 컴퓨터가 악성코드에 감염된 사건에 대해 망 분리가 되지 않은 점을 원인으로 지적한 뒤에 이뤄졌다. 문재도 산업통상자원부 제2차관도 12월24일 기자들을 만나 “한수원의 업무망과 인터넷망이 분리된 것은 지난해고 그 전까지는 허술했다는 것을 인정해야 한다”며 “분리 상황에서도 직원의 보안의식이 떨어져 USB를 꽂는다든지 하는 상황이 발생할 수 있으니 보안의식 강화가 굉장히 중요할 것”이라고 말했다. 결국 망 분리가 완벽하게 이뤄진다고 해도, 프로그램 업데이트를 위한 내·외부망의 회선 연결이나 USB 작업 등을 통한 감염 가능성 등이 있기 때문에 안심할 수만은 없다는 것이다.

그러나 사고 원인 등을 분석해야 할 핵발전소 운영 주체인 한수원의 보안 인프라는 여전히 걸음마 단계다. 2010~2011년 한수원의 사이버보안 관련 예산이 7억~9억원대이고 최근 5년 동안 3개 연도의 예산집행률이 50% 안팎에 머물렀다는 점은 우려를 자아낸다. 그 밖에 전체 임직원의 0.26% 수준인 사이버보안 인력 53명 가운데 35명이 겸직 형태로 근무하고 있다.

이 때문에 보안 전문가들은 원전반대그룹의 핵발전소 해킹 사건을 계기로 정부 차원에서 ‘어떻게(핵발전소가 뚫렸는가)’를 밝히는 과정을 철저히 검증해야 한다고 지적한다. 핵발전소 시스템 가운데 내부망과 외부망에서 침입의 흔적이 있었는지, 구체적으로 한수원의 어떤 부서가 침입을 당했는지, 그리고 해킹을 당한 흔적이 있는 직원이 사용하던 PC는 외부와 어떻게 연결됐는지 등을 구체적으로 조사해 원인 분석에 최대한 접근해야 한다는 것이다. 합수단의 수사는 ‘누가(핵발전소를 해킹했는가)’에 초점이 맞춰지고 있는데, ‘북한의 소행’인지 아닌지에만 집중하는 것이 핵발전소의 안전성 강화라는 ‘사건의 교훈’을 얻는 과정으로 이어지기엔 한계가 있다는 것이다.

김용대 카이스트 전기및전자공학과 교수는 “국내에서 벌어진 디도스 공격 등은 단순히 며칠 동안 전산망이 마비되는 식의 피해가 나타났지만, 이번 원전반대그룹의 해킹을 통해 주요 기관의 정보 유출이 훨씬 더 사회적인 위험을 가져온다는 점을 환기시켰다. 그동안 우리 사회는 해킹 사고가 보안 인프라가 약하기보다 공격 강도가 세서 당했다고 생각해왔는데, 이번 사건을 통해 생각을 전환하는 공감대를 찾아야 한다”고 말했다. ‘진짜 악몽’을 피하기 위한 최소한의 행동인 셈이다.

김성환 기자 hwany@hani.co.kr