[파이낸셜리뷰=이정우 기자] 최근 한국형 원자로 핵심기술이 해외로 유출됐다는 의혹이 제기된 가운데 한국수력원자력(이하 한수원)이 보안USB 관리가 엉망인 것으로 드러낫다.

한수원은 지난 2014년 12월, 원전사이버 위기에 따라 휴대용 저장매체 보안강화를 위해 015년 1월 20일부터 보안USB를 ‘대여방식’으로 운영하고 있다.

한국수력원자력이 보안USB를 사용하기 시작한 지난 2009년부터 원전사이버 위기에 따라 보안USB 운영을 ‘대여방식’으로 전환한 2015년 1월 이전까지 직원들에게 지급한 보안USB 중 회수가 확인된 것은 전체 약 64%에 불과했다.

동일기간 퇴직자 전원에게 지급된 보안USB가 반납되지 않는 등 원전 기술에 대한 관리감독이 제대로 이뤄지지 않은 것으로 조사됐다.

회수 확인만 64%

국회 정무위원회 김정훈 자유한국당 의원이 한수원의 자료 요청에 의해 받은 답변자료인 ‘한국수력원자력 보안 USB 지급 및 회수 현황’에 따르면 지난 2009년~2014년까지 한국수력원자력이 구입한 업무용 보안USB는 총 9천487개(4억 6천9만 2천원)이며, 이 중 회수가 확인된 건수는 6천96개로 전체 약 64%에 불과했다.

더욱이 회수가 확인된 업무용 보안USB 6천906개는 2011년 구입한 8천500개에 대한 회수 내역일 뿐, 나머지 2009년(437개), 2010년(300개), 2012년(100개), 2014년(150개) 구매한 987개에 대한 회수는 확인이 불가한 것으로 나타났다.

뿐만 아니라 한국수력원자력은 업무용 보안USB 지급 대여방식 도입 이전(2009년~2014년) 직원들에게 지급한 보안USB 회수(퇴직 시, 반납 등)에 관한 규정이 있음에도 불구하고, 퇴직자들에 대한 업무용 보안 USB 회수를 제출 받지 않았다.

한수원이 제출한 답변자료인 ‘업무용 보안USB 지급방식 운용기간 퇴직자 보안USB 제출 현황’을 살펴보면, 2009년~2014년까지 한국수력원자력 퇴직자는 총 1천490명 중 보안USB 지급(대상) 퇴직자는 1천181명(미지급 대상 309명 제외)이며, 이 중 업무용 보안USB를 제출한 직원은 단 한명도 없었다.

원자력 업무 > 기술직 > 사무직 順

업무용 보안USB 지급대상 퇴직자 1천490명을 업무별로 구분해 살펴보면, 원자력 업무 퇴직자가 529명으로 가장 많았으며, 다음으로 기술직 157명, 사무직 133명, 발전직 115명 등의 순이었다.

이에 대해 한수원은 “개인별로 지급된 보안USB는 부서장 책임으로 관리되나 퇴직 시 보안USB 회수 절차(회수 여부 확인)가 명확하게 마련되지 못해 현재에는 확인할 수 없다”고 답변했다.

그러나 이는 관련 지침을 위반한 것으로 확인됐다. 왜냐하면, 업무용 보안USB를 ‘지급방식’으로 운영하던 당시 한국수력원자력 ‘정보-시스템지침-05 OA 전산설비 관리 6.2.7 퇴직 시, 가항’ 규정에 ‘퇴직 시 개인용 설비는 반드시 주관부서에 반납하여야 한다’고 명기 돼있기 때문이다.

또한 한수원이 제출한 업무용 보안USB 지급 시, 관리 방식에 대한 답변자료를 살펴보면, ‘보안USB 관리는 실무부서에서 부서장 책임 하에 사용 및 관리’하며, ‘보안USB 반납․폐기, 추가 도입 시 정보보안 부서에 요청’ 하도록 돼 있었다고 답변했다.

징계 1명도 없어

하지만 이런 지침과 관리 방식이 존재함에도 불구하고, 보안USB 미반납 또는 관리 부실로 징계를 받은 직원은 단 한명도 없었다.

이에 대해 한수원은 “퇴직 시 보안USB를 회수하는 절차가 명확하게 마련되지 않았고 정보보안 위규사항의 징계기준도 마련되지 않았다”고 답변했다.

한수원이 업무용 보안USB를 지급한 기간 동안 ‘분실된 업무용 보안USB’ 현황을 조사한 결과, 분실된 보안USB가 309개나 돼있으며, 분실대장 조차 마련돼 있지 않았다.

이에 대해 한수원은 “과거 규정에는 보조기억매체 분실 시 관리책임에게 사실을 보고하고 정보보안담당자에게 통지하도록 돼 있으나 분실사유서를 제출하는 절차는 마련돼 있지 않았었다. 이에 따라 별도 분실대장 운영이나 관련 운영 실태를 점검하지는 못했다”고 답변했다.

한수원은 이러한 기 지급된 업무용 보안USB의 허술한 관리․감독이 1급 보안시설인 원전에서 발생 또는 발생 될 수 있는 문제점에 대한 위험성 역시 간과한 채, 방관한 것으로 확인됐다.

한수원은 업무용 보안USB의 운영 방식을 지급방식으로 시작한 다음날인 지난 2015년 1월 21일, 全 원전본부에 ‘보안USB 운영 및 관리방법’ 공문을 발송해 ‘보안USB 일체정비 및 회수’를 지시했다.

그러나 김 의원실에서 확인 결과, 한국수력원자력은 공문만 全 원전본부에 발송하였을 뿐, 실제 보안USB 일체정비 및 회수를 보고 받거나 그런 절차를 진행한 적은 일체 없었다.

더욱이 ‘보안USB 운영 및 관리방법’ 공문에는 보안USB 일제정비 및 회수 공문 발송 시 일체정비 결과 회신서식까지 첨부하여 2015년 1월 16일까지 제출하도록 포함돼 있었다.

또한 한수원은 2014년 12월 대두된 원전사이버 위기에 따라 2015년 1월 20일부터 보안USB를 ‘대여방식’으로 운영방식을 전환하는 과정에서도 기 지급된 업무용 보안USB에 대한 반납 여부 등을 직원 및 퇴직자를 상대로 확인한 적이 있는지 여부에 대해서도 ‘회수 미확인’이라고 답변했다.

외부 접속 가능성

심각한 문제는 이러한 퇴직자들이 미반납 한 업무용 보안USB가 퇴직 이후에도 지급 시, 부여됐던 사용기간의 잔여기간이 남아 있다면, 외부에서도 접속이 가능했다는 것이다.

한수원은 김정훈 의원실에의 ‘퇴직자가 미반납한 보안 USB로 외부 접속 가능 여부’에 대한 질문에 대해 ‘보안USB 등록일 기준 최대 1년(수명)이고, 외부 사용기간 정책(반출)은 최대 90일’이며, ‘(발급 받은 후, 1년의 잔여기간이 남아 있을 시) 가능하다’고 답변했다. 또한 미반납 한 보안 USB를 가지고 외부에서 접속해 인쇄도 가능했다.

더욱이 국가 1급 보안시설인 원전을 운영하고 있는 한수원이 2009년 업무용 보안USB를 도입하기 이전에는 직원 개인이 일반USB를 구입하여 사용했다.

실제 한수원이 제출한 답변자료를 살펴보면, ‘2009년 이전 업무용 보안USB는 미존재’였으며, ‘회사에서 구매하지 않음’이라고 답변했다.

또한 업무용 USB 사용 관련 내부규정 조차 ‘2008년 7월 이후부터 존재’했다고 답변했다. 즉, 2008년까지 1급 보안시설인 원전에서 업무용 USB 사용 관련 내부규정도 없이 직원 개인이 구매한 USB에 보안 관련 내용들이 복사되고 출력돼졌다는 것이다.

김 의원은 “1급 보안시설인 원전을 운영하고 관리하는 한국수력원자력에서 직원들에게 지급한 보안USB 10개 중 6개 이상이 미반납 되고, 분실된 보안USB도 300개가 넘으며, 퇴직 직원들에 대한 보안USB 반납 여부는 일체 확인되지도 않았다는 것은 국가 안보와 국익을 위협하는 심각한 문제이다”고 지적했다.

또한 “한수원 직원 한명 한명은 모두가 그 자체로 아주 중요한 보안USB인 셈인데도 불구하고 현재까지 한수원은 재취업 심사 대상인 2직급 이상 임직원의 재취업 현황만 반기별로 파악하고 있다”고 밝혔다.

이에 김 의원은 “한수원은 분실 또는 지급된 보안USB를 반납하지 않은 채 퇴직한 직원들에 대한 전수조사를 실시하고, 현재 퇴직자 중 2직급 이상의 임직원에 대한 재취업 현황 파악을 전 직원으로 확대하여 한다”며 철저한 조사와 재발방지 대책 마련을 주문했다.