[원전 해킹 파장] 전문가들이 본 유출피해
21일 서울 강남구 영동대로의 한국수력원자력 본사 로비. 이날 한수원 임직원들은 원전 정보 유출과 관련해 비상근무태세에 돌입했다. 장승윤 tomato99@donga.com
“현재 유출된 것으로 드러난 문건들보다 훨씬 더 중요한 기밀들을 해커가 빼내갔을 가능성도 배제할 수 없다.”(이경호 고려대 정보보호대학원 교수)
국내 원전설계도 등 한국수력원자력 비밀문건 유출사건에 대해 21일 보안 전문가들은 현재까지 알려진 것보다 더 큰 피해를 입었을 가능성이 높다고 입을 모았다.
○ 전문가들이 본 유출 시나리오
보안업계와 학계 전문가들의 설명을 종합한 문건 유출 시나리오는 다음과 같다.
우선 해커들이 e메일이나 소셜네트워크서비스(SNS)를 활용해 자신들의 은밀한 사이트로 한수원 직원과 협력업체 직원들을 유인한다. 이 사이트를 찾은 사람들의 스마트폰이나 PC에 해커가 숨겨둔 악성코드가 전염된다. 국가정보원이나 한국인터넷진흥원(KISA)에서 매일 악성코드를 유포할 우려가 있는 사이트를 찾아 차단하지만 한계가 있다. 해커로서는 수천, 수만 번 시도 끝에 하나라도 성공하면 한수원 업무망에 숙주 PC를 심을 수 있는 것이다. 해커들은 이 PC를 기반으로 업무망 PC를 하나 둘씩 장악해 나간다.
악성코드가 일반 업무망에서 원전 제어망으로 넘어가는 것은 직원들의 부주의 때문이라고 봐야 한다. 중앙부처 공무원으로 근무했던 A 씨는 “일부 직원이 습관적으로 일반 인터넷용 PC와 내부 전용 PC를 연결해 사용하다 문제가 된 적이 있다”고 말했다.
원전 설비를 업그레이드하거나 보수작업을 할 때 설비업체 또는 협력업체 직원이 외부에서 가져온 노트북을 제어망에 연결하거나 USB를 꽂아도 문제가 될 수 있다. 임종인 고려대 정보보호대학원장은 “한수원의 경우 협력업체 직원들까지 제어망 패스워드를 공유하다 국감에서 지적당한 적이 있다”며 “소프트웨어를 담아온 USB가 악성코드 감염경로가 될 가능성이 크다”고 지적했다.
2010년 이란 부셰르 원전의 핵 개발용 원심 분리기 중 20%를 망가뜨린 ‘스턱스넷’도 USB가 주 전염경로였다는 분석이 나온 바 있다. 스턱스넷은 이스라엘 정보기관인 모사드가 이란의 핵 개발을 저지하기 위해 개발했다.
○ 훨씬 더 큰 피해도 우려
만에 하나 원전 제어망과 연결된 PC가 한 대라도 감염되면 악성코드가 제어망 전체로 퍼지는 것은 시간문제다. 원전 제어와 관련한 각종 비밀문건이 해커들의 명령에 따라 밖으로 새어나올 수 있는 것이다.
추가 피해 가능성에 대해서는 전문가들의 의견이 엇갈린다. 임 원장은 “만약 제어망이 감염됐다면 추가적인 문건 유출뿐만 아니라 해커들이 냉각시스템 등 주요 설비를 조종하거나 파괴하는 것도 가능하다”며 시급한 조치가 필요하다고 강조했다. 반면 윤 이사는 “한수원을 해킹했다고 주장하는 곳은 지금까지 빼낸 일부 문건을 공개했다”며 “‘원전 반대’ 주장에 이목을 집중시키려 하는 등 다른 정치사회적 배경이 있을 것”이라고 말했다.
김창덕 drake007@donga.com·이세형·김재형 기자