한국수력원자력의 원전 도면 등 원전 관련 내부문서 유출사건에 온 국민의 이목이 집중되고 있다.
이번 문서유출로 인해 원전 안전에 문제가 없는 것인지 국민들은 좀처럼 불안감을 감추지 못하고 있는 상태다. 특히 한국수력원자력은 지난해 원전 불량케이블 납품비리에 100여명의 직원들이 연루되었던 곳이어서 더욱 우려가 커지고 있다.
그런데 한국수력원자력의 올 3분기 내부 감사자료에 따르면 국가기밀을 다수 취급하는 이 회사의 평소 정보관리가 허술하기 짝이 없었던 것으로 밝혀졌다. 문서유출 사고의 위험이 내재돼 있었던 셈이다.
회사 전산망의 ID와 비밀번호를 거래업체 직원에 유출
자체 감사결과 월성원자력본부에 근무하는 직원 A씨는 지난 2011년(날짜 모름) 정보통신 시설 고장보수를 담당하면서 고장보수 용역을 수주한 협력업체 직원에게 회사 전산망의 ID와 비밀번호를 알려줬다. 자신이 자리를 비웠을 때도 용역수행을 위해 필요한 경우 회사 업무 전산망에서 필요한 자료를 다운로드 받아 사용할 수 있도록 한다는 명목이었다. 조사결과 용역업체 직원이 회사의 업무관련 문서를 출력해 가져간 사례는 발견되지 않았으나 마음만 먹으면 주요문서를 함부로 빼내갈 수 있었다고 감사팀은 지적했다.
A씨는 또한 지난 2011년 평소 알고 지내던 정보통신공사 업체 직원의 요청을 받고 입찰에 도움을 주고자 자신의 USB에 몇몇 정보를 다운로드한 뒤 그 USB를 통째로 넘겨주기도 했다.
한국수력원자력의 임직원 윤리행동강령에 따르면 임직원은 직무관련 정보를 소속 부서장의 사전 승인 없이 외부로 유출하거나 부당하게 이용해서는 안된다.
비단 이 직원 뿐만 아니다. 상당수 직원들의 보안의식은 낙제점에 가까웠다.
');}
이 회사의 데이터 유출방지시스템에 따르면 임직원이 중요 보안 키워드인 '비밀'과 '대외비' '설계서' '도면' '주민등록번호' '계좌번호' 등이 포함된 보안성 문서를 이메일로 보내고자 하는 경우에는 부서장의 승인을 받도록 돼있다.그런데 정부 기관에 긴급히 자료를 보내야 할 경우에도 예외없이 부서장의 승인을 받도록 하게되면 정부의 업무수행에 지장을 줄 수도 있다고 보고 예외규정을 두고 있다. 즉 정부에 보내는 보안성 메일에 대한 부서장의 승인이 지연되는 경우 승인신청을 한지 1시간 후에 자동으로 발송되도록 한 것.
감사팀은 이런 시스템이 제대로 작동하는지 점검하기 위해 2014년 4월14일부터 4월20일까지 7일간 회사의 인터넷 망을 통해 외부로 발송된 메일을 전수 조사했다. 이 기간 중 외부로 발송된 메일은 총 8263건이었고 그 중 13.4%인 1108건이 보안성 메일이었다. 보안성 메일 중 89.5%인 992건이 부서장 승인 없이 외부로 자동 발송됐다. 그리고 부서장의 승인 없이 외부로 발송된 992건 중 서버 2대 중 1대를 통해 발송된 376건을 표본 조사한 결과 수신처가 중앙 행정기관과 지방자치단체인 것은 44건(11.7%)에 불과했다. 협력업체가 274건(72.9%)으로 가장 많았다. 나머지 58건은 발송자 자신과 회사 동료, 개인인 제3자인 것으로 드러났다. 보안을 요하는 문서의 상당수가 외부로 무단 반출된 것이다.
퇴직자도 회사 전산시스템에 접속 가능?
임직원이 업무시스템에 접근할 수 있는 권한도 엉성하게 관리되었던 것으로 드러났다.
이 회사 업무시스템에 있는 여러가지 정보는 해당 업무 직원들만 알 수 있도록 돼있다. 가령 '원자력발전소 설계도면'의 경우 모든 직원들이 알아서는 안되기 때문에 해당 업무를 담당한 직원들에게만 조회가 가능하도록 한 것이다.
감사팀은 이번 감사과정에서 현재 건설 중인 신한울 원자력발전소의 사업관리용 프로그램인 '통합원전건설 관리시스템'에 대한 접근권한이 제대로 관리되고 있는지를 점검했다. 이 시스템에는 원자력발전소 2기 건설 업무에 관련이 있는 직원들만 접근권한이 있고 해당 직원이 다른 부서로 전보 발령되는 경우 ID를 폐기해야 한다. 시스템에 더 이상 접근하지 못하도록 하는 것이다.
하지만 점검시점인 올 5월 현재 5개월 전에 다른 부서로 발령이 난 직원 3명에게 접근할 수 있는 권한이 그대로 부여되고 있었다. 또 5개월 전 퇴직한 직원으로부터도 이 시스템 접근권한을 회수하지 않고 있었다. 퇴직한 외부인도 원전건설 정보를 볼 수 있었던 것이다. 만약 외부 불순세력이 퇴직 직원에게 접근해 공작을 펼칠 경우 원전건설 정보가 외부에 유출될 위험이 있었던 셈이다.
또 비밀번호가 적힌 쪽지를 PC에 붙여놓고 있는 직원도 있었고 사내에만 공개되어야 할 자료가 암호화되지 않은 가운데 공용PC의 바탕화면에 깔려있는 경우도 있었다. 아울러 회사가 지급한 보안 USB 대신 일반 USB를 사용해 업무를 보는 직원들도 있었다. 이 USB가 외부에서 분실될 경우 정보유출 우려가 있는 셈이다.
한국수력원자력 관계자는 이같은 감사결과와 관련, "감사팀의 지적사항에 대해서는 대부분 보완조치를 했고 개선작업을 진행 중인 것도 있다"고 밝혔다.
송진현 기자 jhsong@sportschosun.com
