뉴스 트렌드 생활정보 International edition 매체

“내부 전용망도 안심 못해”… 原電 제어망 뚫렸을 가능성

입력 | 2014-12-22 03:00:00

[원전 해킹 파장]
전문가들이 본 유출피해




21일 서울 강남구 영동대로의 한국수력원자력 본사 로비. 이날 한수원 임직원들은 원전 정보 유출과 관련해 비상근무태세에 돌입했다. 장승윤 tomato99@donga.com

“외부와 완벽히 분리된 폐쇄망도 결국 사람이 부주의하면 뚫릴 수 있다.”(윤광택 시만텍코리아 보안전문팀 총괄이사)

“현재 유출된 것으로 드러난 문건들보다 훨씬 더 중요한 기밀들을 해커가 빼내갔을 가능성도 배제할 수 없다.”(이경호 고려대 정보보호대학원 교수)

국내 원전설계도 등 한국수력원자력 비밀문건 유출사건에 대해 21일 보안 전문가들은 현재까지 알려진 것보다 더 큰 피해를 입었을 가능성이 높다고 입을 모았다.

한수원은 일반 ‘업무망’과 원전 설비를 제어하기 위한 ‘제어망’을 물리적으로 완전히 분리해 운영하고 있다. 그러나 설비 업그레이드 등을 진행할 때 한수원과 협력업체 직원들이 업무망과 제어망을 잠깐이라도 연결했거나 악성코드에 감염된 이동식저장장치(USB메모리)를 사용했다면 제어망도 해킹으로부터 자유로울 수 없다는 우려가 나온다.

○ 전문가들이 본 유출 시나리오

보안업계와 학계 전문가들의 설명을 종합한 문건 유출 시나리오는 다음과 같다.

우선 해커들이 e메일이나 소셜네트워크서비스(SNS)를 활용해 자신들의 은밀한 사이트로 한수원 직원과 협력업체 직원들을 유인한다. 이 사이트를 찾은 사람들의 스마트폰이나 PC에 해커가 숨겨둔 악성코드가 전염된다. 국가정보원이나 한국인터넷진흥원(KISA)에서 매일 악성코드를 유포할 우려가 있는 사이트를 찾아 차단하지만 한계가 있다. 해커로서는 수천, 수만 번 시도 끝에 하나라도 성공하면 한수원 업무망에 숙주 PC를 심을 수 있는 것이다. 해커들은 이 PC를 기반으로 업무망 PC를 하나 둘씩 장악해 나간다.

악성코드가 일반 업무망에서 원전 제어망으로 넘어가는 것은 직원들의 부주의 때문이라고 봐야 한다. 중앙부처 공무원으로 근무했던 A 씨는 “일부 직원이 습관적으로 일반 인터넷용 PC와 내부 전용 PC를 연결해 사용하다 문제가 된 적이 있다”고 말했다.

구태언 테크앤로 법률사무소 변호사는 “조직적으로 활동하는 해커의 경우 폐쇄망(원전 제어망 등)에 인터넷선이 연결되는 순간을 수개월씩 기다리는 경우도 있다”고 전했다.

원전 설비를 업그레이드하거나 보수작업을 할 때 설비업체 또는 협력업체 직원이 외부에서 가져온 노트북을 제어망에 연결하거나 USB를 꽂아도 문제가 될 수 있다. 임종인 고려대 정보보호대학원장은 “한수원의 경우 협력업체 직원들까지 제어망 패스워드를 공유하다 국감에서 지적당한 적이 있다”며 “소프트웨어를 담아온 USB가 악성코드 감염경로가 될 가능성이 크다”고 지적했다.

2010년 이란 부셰르 원전의 핵 개발용 원심 분리기 중 20%를 망가뜨린 ‘스턱스넷’도 USB가 주 전염경로였다는 분석이 나온 바 있다. 스턱스넷은 이스라엘 정보기관인 모사드가 이란의 핵 개발을 저지하기 위해 개발했다.

○ 훨씬 더 큰 피해도 우려


만에 하나 원전 제어망과 연결된 PC가 한 대라도 감염되면 악성코드가 제어망 전체로 퍼지는 것은 시간문제다. 원전 제어와 관련한 각종 비밀문건이 해커들의 명령에 따라 밖으로 새어나올 수 있는 것이다.

추가 피해 가능성에 대해서는 전문가들의 의견이 엇갈린다. 임 원장은 “만약 제어망이 감염됐다면 추가적인 문건 유출뿐만 아니라 해커들이 냉각시스템 등 주요 설비를 조종하거나 파괴하는 것도 가능하다”며 시급한 조치가 필요하다고 강조했다. 반면 윤 이사는 “한수원을 해킹했다고 주장하는 곳은 지금까지 빼낸 일부 문건을 공개했다”며 “‘원전 반대’ 주장에 이목을 집중시키려 하는 등 다른 정치사회적 배경이 있을 것”이라고 말했다.

보안 전문가들은 추가 피해 가능성이 0.01%밖에 되지 않더라도 만약의 경우를 대비해야 한다고 강조한다. 우선 한수원과 협력업체, 설비업체 등의 인력들이 사용한 노트북과 USB 등을 전수 조사해야 한다. 또 한수원 내 일반 업무망과 제어망이 잠깐이라도 연결된 적이 있었는지를 찾아내야 한다. 그러나 악성코드 감염의 매개체 역할을 한 노트북이나 USB에는 접속기록 자체가 지워졌을 가능성도 배제할 수 없다. 이 때문에 원전 제어망과 관련한 수사도 한수원 자체 조사에 맡길 게 아니라 검찰이 직접 나서야 한다는 목소리가 설득력을 얻고 있다. 이 교수는 “유출된 문건에 대한 수사도 중요하지만 추가 피해를 막으려면 원전 전체에 대한 보안조사가 빨리 이뤄져야 한다”고 지적했다.

김창덕 drake007@donga.com·이세형·김재형 기자