• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

한수원 해킹, 전문가 6人의 평가는 ‘총체적 난국’ 2014.12.29

한수원 사고, 정책·사고예방·침해대응 모두 낙제...총체적 점검 필요 

정보통신기반보호법 강화, 전문성 향상, 컨트롤타워 정립 요구돼    


[보안뉴스 김경애] 한국수력원자력(이하 한수원) 해킹사건은 사회기반시설에 대한 사이버보안 체계의 허술함을 여지 없이 드러낸 사례로, 더욱이 사회기반시설의 경우 국가안보와도 직결되기 때문에 총체적이고 발빠른 보안체계 정비가 요구되고 있다.

 ▲ ‘한수원 해킹 사고 진상 파악 및 재발 방지대책 방향 모색 위한 전문가 초청 간담회’
     에서 각 분야 전문가들이 한수원 해킹사고의 재발방지를 위한 의견을 제시하고 있다.

이와 관련 정의당과 탈핵에너지전환위원회가 주최한 ‘한수원 해킹 사고 진상 파악과 재발 방지대책 모색을 위한 전문가 초청 간담회’가 29일 국회 의원회관 제1세미나실에서 개최됐다.

이날 진행된 간담회는 정의당 김제남 의원이 좌장을 맡은 가운데 탈핵법률가모임 해바라기 대표인 김영희 변호사가 핵발전소 사이버보안 및 사이버테러에 대한 의견을 주제로 발표했고, 이헌석 에너지정의행동 대표의 한수원 해킹사고 경과와 향후 과제에 대해 주제발표를 진행했으며, 이후 자유토론 순으로 진행됐다.


특히, 자유토론에서는 한수원 해킹사고와 관련된 재발방지대책으로 정책·예방적 측면과 침해대응 측면, 기술적 측면 등으로 구분해 전문가들의 다양한 의견들이 제시됐다. 다음은 전문가들의 의견을 정리한 내용이다.


김영희 탈핵법률가모임 해바라기 대표(변호사)_ 일본의 전력 시스템 사이버보안은 원격관리 회선의 극소화, 접속시 인증 절차 등을 통해 필요시에만 외부 접속을 가능토록 하는 등 다양한 외부침입 차단대책을 마련하고 있다. 또한, 전력중앙연구소 등을 중심으로 사이버보안훈련에 참가하는 등 방어책에 대한 숙련도를 높이고 있다.


미국은 9.11 테러 이후 핵발전소 보안강화를 위해 10년 가까이 연구해서 사이버보안규제인 NCR를 만들었다. 또한 패트리어트법에 의해 美 연방기관은 사회기반시설을 타깃으로 한 공격에 대해서는 인터넷, 전자메일, 전자통신 등을 추적할 수 있으며, 용의자가 접속하는 모든 서버 열람, 모든 웹페이지에 대한 추적이 가능하다. 뿐만 아니라 美 국토안보법은 주요기반보호 프로그램을 통해 보호하고 있으며, 사이버테러 대응을 위한 총괄기관으로 역할을 수행할 수 있는 법적 근거를 두고 있다.


유럽은 유럽연합(EU)을 비롯해 영국, 프랑스, 독일 모두 ICT 인프라 보호를 위한 독립기관을 설립했다. 각 국가의 독립기관은 사이버테러대책 외에 보안수준을 높이기 위한 연구도 진행하고 있다. 그만큼 사이버테러에 대해서는 강력한 법령으로 대응하고 있다.


그러나 국내의 경우 사이버안보 컨트롤타워는 청와대가 맡고, 실무총괄은 국정원이 담당하며, 미래부와 국방부 등 관계 중앙행정기관이 소관분야를 각각 담당하는 대응체계로 역할을 분담하고 있다.


따라서 ICT 인프라 보호대책이 강화되려면 중립적이면서 독립적인 국회를 통해 통제되어야 한다. 또한, 정보통신기반보호법에 사이버테러 대응방안을 적용해 법안을 강화해야 한다. 일각에서는 사이버테러방지법안을 내놓고 있지만 이 경우 정보기관과 연계되어 사찰 강화와 인권 침해로도 이어질 수 있어 정보통신기반보호법을 강화하는 것이 바람직하다고 본다.

이헌석 에너지정의행동 선임활동가_ 이번 한수원 해킹사고는 그동안 사회기반시설의 사이버보안체계가 얼마나 취약했는지 알 수 있는 사례가 되고 있다. 무엇보다 핵발전소의 사이버공격에 대응하는 컨트롤타워가 어디인지 애매한 점이 가장 큰 문제다. 청와대 안보실인지, 원자력안전위원회(이하 원안위)인지, 한수원인지, 산업부인지 불명확하다.


따라서 물리적 공격 등을 포함한 사이버 공격을 총괄 지휘하는 컨트롤타워가 필요한데, 컨트롤타워 역할은 원안위가 하는 것이 바람직하다고 본다. 원안위가 컨트롤타워를 한다면 물리적 보안에서 사이버 보안까지 확대해야 하고, 장비 보강뿐만 아니라 인적보안도 함께 강화되어야 한다.


특히, 인적보안은 매우 중요하다. 한수원의 경우 시스템에 사용하지 않는 메일 서버, 뉴스 서버가 깔려 있다. 이는 2012년 이전부터 finger 요청을 허용한 것으로, 매번 업데이트를 하지 않으면 뚫릴 수 있는 위험이 있어 finger 허용 금지는 기본조치라고 할 수 있다. 뿐만 아니라 원격에서 root 로그인을 허용하는 등 기본적인 보안수칙을 제대로 준수하지 않았다. 즉 담당자가 보안에 대해 제대로 인지하지 못하고 있었으며, 보안업체에서 설치해주는 대로만 사용하는 등 전문성이 부족했다는 것이다.


게다가 이러한 사항들을 이미 감사원으로부터 지적받았음에도 불구하고 제대로 개선되지 않았으며, 망분리 또한 개선됐다고 했지만 확인작업이 명확히 이루어지지 않았다. 이외에도 패치관리시스템(PMS) 등 보안 시스템 전반에 대한 총체적인 점검이 필요하다.


또한, 네이버 블로그에 4일 동안 노출돼 있었고, 드롭박스에도 노출된 점을 미뤄봤을 때 침해차단 시스템도 보강할 필요가 있다고 본다. 뿐만 아니라 보안담당자들의 직무별로 업무 프로세스를 분석할 필요가 있으며, 이를 바탕으로 보안 중심의 업무 프로세스를 체계적으로 마련해야 한다.


서균렬 서울대학교 원자력핵공학과 교수_ 사이버공격은 대규모 폭격의 전조로 그 이후에는 신속한 폭격이 진행된다. 이번 한수원 해킹 사건은 예견된 인재(人災)로 이러한 사고에 대한 사전 차단이 매우 중요하다.


특히, 유출자료 중 숫자가 적혀 있는 밸브가 있는 도면 유출은 다음 해킹 공격에 있어 매우 큰 파장을 일으킬 수 있다. 따라서 유출된 자료 중심으로 벨브 등을 점검하고 대응해야 한다. 또한, 국방, 통신, 상수도, 가스 등을 보호할 수 있는 강력한 대응체계를 갖춘 제3의 특수사령부가 있어야 한다고 생각한다. 하지만 현재 국내의 보안인력 체계는 너무 미흡하다. 이에 기반시설을 보호할 수 있는 특화된 전문기관을 창설해야 하고, 이러한 역할을 원안위를 통해 담당하도록 한다면 담당분야를 가스, 에너지 등으로 넓히고 원안위의 역할을 대폭 강화해야 한다.


김혁준 나루시큐리티 대표_ 기술적 관점에서 본다면 비단 한수원만의 사건으로 보기 어렵다. 사이버공격으로 인한 정보 유출과 시스템 마비는 한수원 외에도 많이 발생하고 있기 때문이다. 장기적으로 볼 때 사이버테러 대응은 단순히 규제, 투자만으로 해결될 일은 아니다.


우선 진화하는 공격에 맞춰 현재 방어체제를 개선해야 한다. 현재는 과거 10년전의 예방체계 중심으로 시스템을 운영하고 있다. 따라서 공격양상에 따른 방어체계의 근본적인 변화가 없으면 사이버위협은 앞으로 더 빈번히 나타날 수 있다. 그러나 인력 확대의 경우 인력을 투입된다고 해서 바로 결과가 나오는 건 아니다. 현 보안 인력체계는 아무 권한 없이 책임만 지는 형태이기 때문에 권한이 주어져야 한다. 즉, 시스템 변화 없이는 문제가 계속 발생할 수 있기 때문에 시스템 변화가 선행되어야 한다.


김승주 고려대학교 교수_ 한수원내 제어시스템 폐쇄망에서도 수년 전부터 악성코드가 잠복해 있었던 것으로 드러났다. 이는 이미 예방 측면에서 실패했다는 것을 의미한다. 과거부터 폐쇄망에 존재하던 악성코드가 이번 사건으로 발견됐다는 것은 더욱 문제가 심각하다.   

침해대응에도 데드라인이 있다. 골든타임이라는 정해진 시간 안에서는 구조가 우선이지 원인 분석은 나중이다. 이 때문에 내부 시스템을 깨끗이 정비해서 악성코드가 모두 사라졌으니 안심하라는 메시지가 먼저 나와야 한다. 그러나 이러한 메시지는 국가안보실로부터 지난 25일 오후가 되서야 들을 수 있었다.


다음은 정책적인 측면에서 지적하고 싶다. 미국은 사이버테러를 정책, 기술, 인력 등 하나의 제도에서 본다. 그러나 우리나라는 많은 제도가 있지만 모두 소관부처가 다르다. 한수원은 지금껏 국정감사를 통해 인력 문제, 시스템 운영 측면에서의 보안 전문성 미흡, 정책 부재 등에 대해 여러 차례 지적받아 왔지만 개선되지 않았다. 매년 국가정보원에 의해 점검을 받았어도 감사권이 없었기에 개선되지 않았다는 의미가 된다. 이 때문에 컨트롤타워를 만들려면 전문성과 감사권이 있어야 한다.


또한, 이번 한수원 해킹사고는 이메일 계정을 도용한 후, 한글문서의 취약점을 이용해 악성 메일을 보냈다. 이 수법은 가장 고전적이지만  해커에게 있어 가장 효과적인 방법이기도 하다. 안타깝게도 아래 한글 프로그램이 악성코드 유포 통로로 악용되고 있는 게 현실이다. 이 때문에 무조건적으로 국산 SW를 장려하는 관행도 문제가 될 수 있다.


이번 해킹사건은 원전 파괴보다는 사회불안 심리를 일으키는 데 초점을 둔 것으로 보인다. 그러나 이번 자료유출로 인해 다음 해킹은 더욱 위협적일 수 있다. 현재 유출정보에 대해 제대로 파악하지 못한다면 이에 따른 대응도 제대로 이뤄질 수 없기 때문에 더욱 위험해질 수 있다는 얘기다.


윤기돈 녹색연합 사무처장_ 이번 한수원 해킹 사건을 계기로 사이버테러에 대한 좀더 적극적인 대응이 필요해 보인다. 사이버테러에 대비해서 수동으로 제어시스템을 완벽하게 구동할 수 있는지, 정해진 시간 안에 제대로 작동할 수 있는지 등에 대한 총체적인 점검이 필요하다. 특히, 추가 공격은 더욱 진화할 수 있기 때문에 예방 차원에서 수동적인 시스템까지 제대로 운영되는지 꼼꼼히 체크해야 한다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>