한국형 신형 원자로인 APR-1400 관련 핵심 기술 자료를 대량으로 반출한 혐의로 한국원자력안전기술원 전(前) 원장과 직원들이 재판에 넘겨진 가운데, 원자력 규제기관의 정보 보안 체계에 심각한 허점이 있는 것으로 감사 결과 드러났다. 원전 핵심 기술을 검토하는 규제기관의 허술한 보안 관리 실태가 드러나면서 SMR(소형 모듈 원자로)을 비롯한 차세대 원전 기술 보호 체계에 대한 우려도 커지고 있다.
19일 본지가 최형두 국민의힘 의원실을 통해 입수한 원자력안전위원회 산하기관 정보보안 감사보고서에 따르면, 한국원자력안전기술원(KINS)·한국원자력통제기술원(KINAC)·한국원자력안전재단 등 3개 핵심 규제 기관에서 총 16건의 위법·부당 사항이 적발됐다. USB를 비롯해 휴대용 저장장치 관리가 부실했고, 하드디스크를 파쇄하지 않고 방치하는 등 보안 허점이 곳곳에서 드러났다.
◇USB를 단순 IT소모품 취급
감사보고서에 따르면 KINS는 USB 등 휴대용 저장매체를 도입하면서 국가정보원으로부터 보안 적합성 검증을 받지 않은 것으로 확인됐다. USB와 외장 하드디스크를 키보드·마우스 같은 단순 IT 소모품으로 간주해 보안 검증 없이 부서가 요구하는 숫자대로 구매해 나눠줬다는 것이다. 이런 휴대용 저장매체는 대외비 이상의 자료를 저장할 경우 ‘비밀용’으로 별도 관리해야 하지만, 상당수가 ‘일반용’으로 일괄 등록됐던 것으로 조사됐다.
또 저장장치 반출 여부를 임의로 기록하도록 해 관리책임자의 통제 체계도 사실상 없었다. 저장매체별 비밀등급 및 관리번호를 부여·표시하고 비밀 관리 기록부에 등재하도록 한 내부 규정도 제대로 지켜지지 않았다.
하드디스크 관리도 허술했다. 업무용 PC에서 분리한 불용(不用) 하드디스크는 파쇄해야 하는데 창고에 장기간 방치한 사례가 적발됐다. 저장매체가 분리되지 않은 채 방치된 노트북과 태블릿PC도 다수 발견됐다. 원안위는 감사보고서에서 “자칫 저장장치에 담긴 중요한 업무 관련 정보의 외부 유출 가능성이 우려되는 상황”이라고 밝혔다.
◇보안 세부 계획도 세우지 않아
보안 관리 체계 계획 수립과 자체 점검도 부실했다. 정보보안지침에 따라 매년 정보보안 세부추진계획을 수립해 원안위에 제출해야 하는데, KINS는 최근 5년 동안 단 한 차례만 계획을 세우고 4년간(2021~2023년·2025년) 계획 수립조차 하지 않았다. 원자력안전재단은 결과에 대한 심사 분석을 한 차례도 하지 않은 것으로 조사됐다. KINAC도 계획과 심사 분석을 원안위에 제출하지 않았다. 이에 대해 “산하기관이 보안 관리 체계 계획 수립과 심사 분석 결과를 4년 동안이나 보고하지 않았는데도 아무런 조치를 하지 않은 원안위 역시 관리·감독을 제대로 하지 않은 것”이라는 지적이 나온다.
정보보안 위반자에 대한 별도 처리 기준도 없었다. 예컨대 USB 분실로 비밀을 유출했을 경우 징계를 요구해야 한다는 식의 처벌 기준을 세워야 하는데, 이런 기준을 마련하지 않고 일반 징계 기준을 준용해온 것이다. 원안위는 “정보보안 위반의 중대성과 특수성을 반영하지 못해 위반행위에 대한 사전 예방 효과가 현저히 저하된다”며 “각 기관이 노조 합의 등을 이유로 내규 개정을 추진하지 않고 있다”고 지적했다.
◇“부실한 정보 보안이 전략 기술 경쟁력 위협”
내부망과 인터넷망 분리가 제대로 되지 않은 것도 문제점으로 지적됐다. 외부 사이버 침해로부터 중요 정보를 보호하기 위해 내부망과 인터넷망은 철저히 분리·운영해야 하는데, 원자력안전재단은 이메일 시스템을 분리하지 않아 내부망을 통해 외부로 메일을 보낼 수 있는 것으로 조사됐다. 이메일로 내부 자료를 바깥으로 쉽게 빼낼 수 있어 보안이 취약했다는 뜻이다.
원안위는 “원자력안전재단 내부 직원으로만 구성한 보안심사위원회에서 메일 시스템 분리를 여러 차례 보류했다”며 “재단이 보유한 원자력 안전 R&D(연구·개발), 성능 검증 등 주요 업무 정보가 온라인망을 통해 유출될 가능성이 우려되는 상황”이라고 했다. 세 기관은 이번 감사로 기관 주의 처분을 받았다. 각 기관은 본지에 “감사 결과를 인정하고 지적 사항을 시정하고 있다”고 밝혔다.
원전 업계는 최근 국회를 통과한 SMR 특별법을 계기로 차세대 원전 기술 개발이 본격화될 경우, 규제기관이 보유·검토하는 기술 자료의 전략적 가치가 한층 커질 것으로 보고 있다.
최형두 의원은 “원전 기술 개발과 수출 확대를 추진하는 상황에서 이를 심사·검증하는 기관의 정보보안 체계가 허술하면, 전략기술 보호의 최후 방어선이 흔들릴 우려가 크다”며 “규제기관의 보안 역량과 통제 체계를 전면적으로 재점검해야 한다”고 했다.