-
[정치닷컴/휴먼리더스=이서원]
한국수력원자력이 보안USB를 사용하기 시작한 2009년부터 원전사이버 위기에 따라 보안USB 운영을 ‘대여방식’으로 전환한 2015년 1월 이전까지 직원들 지급한 보안USB 중 회수가 확인된 것은 전체 약 64%에 불과하며, 동일기간 퇴직자 전원에게 지급된 보안USB가 반납되지 않는 등 원전 기술에 대한 관리감독이 제대로 이뤄지지 않은 것으로 조사되었다.
[사진=김정훈 의원]
김정훈 의원이 한국수력원자력에 자료요청을 통해 받은 답변자료인 『한국수력원자력 보안USB 지급 및 회수 현황』을 살펴보면, 지난 2009년~2014년까지 한국수력원자력이 구입한 업무용 보안USB는 총 9,487개(4억 6,009만 2,000원)이며, 이 중 회수가 확인된 건수는 6,096개로 전체 약 64%에 불과하였다.
더욱이 회수가 확인된 업무용 보안USB 6,906개는 2011년 구입한 8,500개에 대한 회수 내역일 뿐, 나머지 2009년(437개), 2010년(300개), 2012년(100개), 2014년(150개) 구매한 987개에 대한 회수는 확인이 불가한 것으로 나타났다.
한국수력원자력은 업무용 보안USB 지급 대여방식 도입 이전(2009년~2014년) 직원들에게 지급한 보안USB 회수(퇴직 시, 반납 등)에 관한 규정이 있음에도 불구하고, 퇴직자들에 대한 업무용 보안 USB 회수를 제출 받지 않았다.
한국수력원자력이 제출한 답변자료인 『업무용 보안USB 지급방식 운용기간 퇴직자 보안USB 제출 현황』을 살펴보면, 2009년~2014년까지 한국수력원자력 퇴직자는 총 1,490명 중 보안USB 지급(대상) 퇴직자는 1,181명(미지급 대상 309명 제외)이며, 이 중 업무용 보안USB를 제출한 직원은 단 한명도 없었다.
업무용 보안USB 지급대상 퇴직자 1,490명을 업무별로 구분하여 살펴보면, ①원자력 업무 퇴직자가 529명으로 가장 많았으며, 다음으로 ②기술직 157명, ③사무직 133명, ④발전직 115명 등의 순이었다.
이에 대해 한국수력원자력은 「개인별로 지급된 보안USB는 부서장 책임으로 관리되나 퇴직 시 보안USB 회수 절차(회수 여부 확인)가 명확하게 마련되지 못해 현재에는 확인할 수 없다」라고 답변하였다.
그러나 이는 관련 지침을 위반한 것으로 확인되었다. 왜냐하면, 업무용 보안USB를 ‘지급방식’으로 운영하던 당시 한국수력원자력 「정보-시스템지침-05 OA 전산설비 관리 6.2.7 퇴직 시, 가항」 규정에 ‘퇴직 시 개인용 설비는 반드시 주관부서에 반납하여야 한다’고 명기 되어있기 때문이다.
또한 한국수력원자력이 제출한 업무용 보안USB 지급 시, 관리 방식에 대한 답변자료를 살펴보면, 「보안USB 관리는 실무부서에서 부서장 책임 하에 사용 및 관리」하며, 「보안USB 반납․폐기, 추가 도입 시 정보보안 부서에 요청」 하도록 되어 있었다고 답변하였다.
하지만 이런 지침과 관리 방식이 존재함에도 불구하고, 보안USB 미반납 또는 관리 부실로 징계를 받은 직원은 단 한명도 없었다.
이에 대해 한국수력원자력은 「퇴직 시 보안USB를 회수하는 절차가 명확하게 마련되지 않았고 정보보안 위규사항의 징계기준도 마련되지 않았다」고 답변하였다.
한국수력원자력이 업무용 보안USB를 지급한 기간(2009〜2015.1.19.) 동안 「분실된 업무용 보안USB」 현황을 조사한 결과, 분실된 보안USB가 309개나 되었으며, 분실대장 조차 마련되어 있지 않았다.
한국수력원자력은 「과거 규정에는 보조기억매체 분실 시 관리책임에게 사실을 보고하고 정보보안담당자에게 통지하도록 되어 있으나 분실사유서를 제출하는 절차는 마련되어 있지 않았었습니다. 이에 따라 별도 분실대장 운영이나 관련 운영 실태를 점검하지는 못했다」고 답변하였다.더욱이 업무용 보안USB를 도난, 분실, 파손한 지원들에 대한 징계규정 역시 없었다.
구분
한빛원자력본부
고리원자력본부
본사
월성원자력본부
한울원자력본부
한강수력본부
양수
발전소
합계
분실
106개
59개
55개
40개
9개
17개
23개
309개
한국수력원자력은 이러한 기 지급된 업무용 보안USB의 허술한 관리․감독이 1급 보안시설인 원전에서 발생 또는 발생 될 수 있는 문제점에 대한 위험성 역시 간과한 채, 방관한 것으로 확인되었다.
한국수력원자력은 업무용 보안USB의 운영 방식을 지급방식으로 시작한 다음날인 지난 2015년 1월 21일, 全 원전본부에 『보안USB 운영 및 관리방법』 공문을 발송하여 ‘보안USB 일체정비 및 회수’를 지시하였다.
그러나 김정훈 의원실에서 확인 결과, 한국수력원자력은 공문만 원전본부에 발송하였을 뿐, 실제 보안USB 일체정비 및 회수를 보고 받거나 그런 절차를 진행한 적은 일체 없었다.
더욱이 『보안USB 운영 및 관리방법』 공문에는 보안USB 일제정비 및 회수 공문 발송 시 일체정비 결과 회신서식까지 첨부하여 2015년 1월 16일까지 제출하도록 포함되어 있었는데도 말이다.
또한 한국수력원자력은 2014년 12월 대두된 원전사이버 위기에 따라 2015년 1월 20일부터 보안USB를 ‘대여방식’으로 운영방식을 전환하는 과정에서도 기 지급된 업무용 보안USB에 대한 반납 여부 등을 직원 및 퇴직자를 상대로 확인한 적이 있는지 여부에 대해서도 「회수 미확인」이라고 답변하였다.
심각한 문제는 이러한 퇴직자들이 미 반납 한 업무용 보안USB가 퇴직 이후에도 지급 시, 부여되었던 사용기간의 잔여기간이 남아 있다면, 외부에서도 접속이 가능하였다는 것이다.
한국수력원자력은 김 의원실에 ‘퇴직자가 미반납한 보안 USB로 외부 접속 가능 여부’에 대한 질문에 대해 「보안USB 등록일 기준 최대 1년(수명)이고, 외부 사용기간 정책(반출)은 최대 90일」이며, 「(발급 받은 후, 1년의 잔여기간이 남아 있을 시) 가능하다」고 답변하였다.
또한 未반납 한 보안 USB를 가지고 외부에서 접속하여 인쇄도 가능하였다.
더욱 놀라운 것은 국가 1급 보안시설인 원전을 운영하고 있는 한국수력원자력이 2009년 업무용 보안USB를 도입하기 이전에는 직원 개인이 일반USB를 구입하여 사용하였다는 것이다.
실제 한국수력원자력이 제출한 답변자료를 살펴보면, 「2009년 이전 업무용 보안USB는 미존재」였으며, 「회사에서 구매하지 않음」이라고 답변하였다.
또한 업무용 USB 사용 관련 내부규정 조차 「2008년 7월 이후부터 존재」하였다고 답변하였다. 즉, 2008년까지 1급 보안시설인 원전에서 업무용 USB 사용 관련 내부규정도 없이 직원 개인이 구매한 USB에 보안 관련 내용들이 복사되고 출력되어졌다는 것이다.
김 의원은 “1급 보안시설인 원전을 운영하고 관리하는 한국수력원자력에서 직원들에게 지급한 보안USB 10개 중 6개 이상이 미반납 되고, 분실된 보안USB도 300개가 넘으며, 퇴직 직원들에 대한 보안USB 반납 여부는 일체 확인되지도 않았다는 것은 국가 안보와 국익을 위협하는 심각한 문제이다”고 지적했다.
김 의원은 “한국수력원자력 직원 한명 한명은 모두가 그 자체로 아주 중요한 보안USB인 셈인데도 불구하고 현재까지 한국수력원자력은 재취업 심사 대상인 2직급 이상 임직원의 재취업 현황만 반기별로 파악하고 있다”고 밝혔다.
김 의원은 “한국수력원자력은 분실 또는 지급된 보안USB를 반납하지 않은 채 퇴직한 직원들에 대한 전수조사를 실시하고, 현재 퇴직자 중 2직급 이상의 임직원에 대한 재취업 현황 파악을 전 직원으로 확대하여 한다”며 철저한 조사와 재발방지 대책 마련을 주문했다.