• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

한수원 “협력업체·기술문서·인적 보안관리에 중점” 2015.05.13

[인터뷰] 한국수력원자력 정보보안총괄팀 박상형 팀장
“보안강화 조치와 함께 보안 중심의 업무 프로세스 변화로 혁신”

[보안뉴스 김태형] 한국수력원자력(이하 한수원)에서는 지난해 12월 이메일을 통한 APT 공격으로 원전자료 일부가 유출되는 사고가 발생했다. 한수원은 사고 발생이전부터 주요 보안현안을 파악해서 보안강화 정책을 점차적으로 추진할 계획이었지만, 지난해말 사이버테러 사태가 발생하면서 이를 앞당겨 시행 중인 것으로 알려졌다.

 

     ▲ 한국수력원자력 정보보안총괄팀 박상형 팀장

한국수력원자력 정보보안총괄팀 박상형 팀장은 “원전은 기본적으로 안전·보안에 대한 의식이 높다”면서 “작년 12월 사고 이후 한수원 CEO의 의지도 ‘원자력 발전의 시대정신이 효율이 아니라 안전이기에 엄중한 사명감과 낮은 자세로 안전 최우선을 위해 소임을 다하겠다’는 것”이라고 말했다.


한수원은 지난 2011년 3월 일본 동일본 대지진 이후 쓰나미로 인한 후쿠시마 원전사태 이후 안전과 보안에 많은 노력을 기울였다는 설명이다. 특히, 안전과 보안에 대해서는 보다 세부적인 정책을 마련하는 한편, 지역주민이나 국민들의 의견을 최대한 수렴할 방침이다.


그동안 한수원은 원전 내부에 협력사 직원이 들어와서 업무를 진행했다. 이는 협력사 직원도 본사 직원과 같은 도면과 절차서 등의 자료를 공유해야만 업무가 가능했기 때문이다. 하지만 이러한 측면에서 보안에 구멍이 뚫릴 수 있다는 판단 하에 한수원은 협력사에 대한 정보보안 관리 강화와 퇴직자 등 사람 중심의 보안정책, 그리고 원전 기술정보 관리체계 구축 등을 핵심 보안목표로 설정해 정보보안 강화를 추진하고 있다. 


우선 한수원은 협력사에 대한 보안관리를 크게 강화했다. 박 팀장은 “지난해와 올해 상반기 한수원과 계약한 협력업체가 3천개가 넘는다. 이에 협력사 보안관리에 가장 중점을 두고 모든 협력사 계약에 ‘정보보안 계약 특수 조건 정비’를 첨부해 정보유출 사고시 등록취소 및 입찰제한 조치를 추진하고 있다”면서 “또한, 오는 7월 1일부터 시행되는 정부의 ‘원자력발전사업자 등의 관리·감독에 관한 법률 시행령 개정안’에 따라 법적 규제도 받게 된다. 이는 현재 검토 중으로, 오는 6월부터 협력회사 계약체결시 시행될 예정”이라고 설명했다.


원전시설은 ‘원자력 시설 등의 방호 및 방사능 방제 대처법안’에 원자력 시설의 사이버보안 관련 사항이 포함돼 있어 이 두 가지 법률에 의해 규제를 받는다.  


이어서 그는 “3천개가 넘는 협력업체들의 보안수준을 강화하고 보안관리 체계를 정립하기 위해서 협력사별로 등급별 가이드라인을 제공하고 협력업체별 정보보안 규정 적용과 함께 지속적인 관리·점검을 받도록 할 것”이라면서 “이에 따라 기존 한수원 내부망을 이용해 업무를 진행하던 협력업체들은 한수원과 동일한 업무 시스템 보안을 적용하고 있었으나, 이 외에도 업무망 분리, 필요시 PC 가상화로 화면만 제공, 자료저장 원천차단, 자료전달 시스템 구축, 암호화 및 권한부여 후 전송 등을 통해 협력사 보안을 더욱 강화할 것”이라고 덧붙였다.


또한, 협력업체에 대한 정기·비정기 보안수준 진단·점검과 함께 점검결과를 통해 미흡한 부분을 개선토록 하고, 이를 바탕으로 향후 협력업체 평가 및 계약에 반영한다는 계획이다.


두 번째 보안 중점사항은 원전기술 보호를 위해 ‘기술정보총괄팀’을 신설했다는 점이다. 박 팀장은 “기술정보총괄팀에서는 기술자료 및 도면, 절차서 등 전사 중요자산을 분류 및 등급체계를 수립해 문서 전체 라이프사이클별 관리 및 모니터링을 실시하고 있다. 그리고 출력물 생성 사용자 인증, 기록 저장 및 모니터링을 통해 모든 기술정보에 대한 관리지침을 제정하고, 이에 따른 업무 프로세스를 구성중”이라고 말했다.


마지막 세 번째는 사람 중심의 인적보안 정책으로 전환한다는 것이다. 박상형 팀장은 “한수원은 정보보안 실천문화 정착을 위해 전 직원 집합교육 시행은 물론 ‘보안실무 핸드북’을 제작해 전사 및 협력업체 전 직원에게 배포했다”면서 “앞으로 정보보안부서의 감찰기능을 부여해 위규사항 적발 시에는 인사처에 징계를 요구할 수 있도록 했고, 관리본부장 선발 시에는 정보보안관련 업무 경력자를 우대하고 보안 위규자에 대해서는 승격 및 승급대우자 선발에서 제외하도록 했다”고 밝혔다.


이 외에도 한수원은 새롭게 보안위원회 및 자문단을 구성했다. 보안위원회는 2차까지 개최했으며 자문위원은 6월중으로 구성해 운영할 계획이다. 특히, 지난해 연말부터 올해 초까지 총 26명의 보안전문 인력을 추가 채용한 것으로 알려졌다. 이를 바탕으로 한수원은 업무 편의성과 효율성을 고려한 보안정책이 적용될 수 있도록 하는 한편,  변화에 따른 직원 불만사항 및 개선의견을 수렴한 보안업무 소통을 통해 전사 보안수준을 업그레이드 하는데 만전을 기하고 있다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>