원자력안전위원회 산하기관인 한국원자력안전재단이 해킹을 당하고도 수년간 경로조차 파악하지 못한 것으로 드러났다.

재단 측은 "'방사선작업종사자종합정보시스템'(RAWIS)을 구축하는 과정에서 OS를 설치하다 유입된 것 같다"는 추정만 하고 있어 비난 여론은 더욱 거세질 것으로 보인다.

23일 바른미래당 신용현 의원에 따르면 지난달 1일 원자력안전재단의 RAWIS에서 디도스(Ddos)공격용 악성코드가 3개나 발견됐다.

RAWIS는 약 19만명 방사선작업종사자의 개인 피폭이력과 건강진단 등 민감한 개인정보가 담겨있다.



신용현 의원은 "원자력안전재단에서 해킹된 시스템은 약 19만명 방사선작업종사자의 개인 피폭이력과 건강진단 등 민감한 개인정보가 담겨 있다"며 "이곳에서 디도스(Ddos)공격용 악성코드가 무려 3개나 발견됐다"고 밝혔다.

이어 “개인정보뿐만아니라 국내 우수 원자력 인적 네트워크까지 파악할 수 있는 시스템에 매년 보안점검을 해왔음에도 4년간 인지조차 하지 못한 것은 물론 발견 후 정확한 유입경로조차 파악하지 못하고 있다"고 비판했다.

재단 측은 감염된 시기를 지난 2015년 4월로 추정하며 개발 업체가 운영체제(OS)를 설치하다 악성코드에 감염된 것 같다고 해명했다.

재단 관계자는 "물론 추정이긴 하지만 대략적인 경로는 파악된 상태"라며 "개발업체가 시스템을 구축하는 과정에서 OS를 설치하다 감염된 것 같다"고 말했다.

개인정보 유출 의혹과 후속조치를 하지 않은 재단에 비판 여론이 거세다.

재단은 해킹 사실을 인지한 후에도 원자력안전위원회와 국가정보원에만 보고했을 뿐 RAWIS에 보관된 개인정보 당사자 19만 명에게는 고지 조차하지 않은 것으로 나타났다. 또 시스템 부실관리와 해킹 사실이 드러날 것을 우려한 재단이 해당 사실을 덮으려는 한 것이 아니냐는 의혹도 제기된다.

신 의원은 "재단의 지금과 같은 정보 보안관리 상태로는 국가안보에 위협이 될 수 있는 기밀자료 유출이 일어나지 않을까 우려하지 않을 수 없다"며 "정보 보안 관리에 실패한 책임을 묻고 재발방지책을 만들어야 한다"고 강조했다.

이에 대해 재단 관계자는 "방사선 작업종사자 종합시스템은 원전 등 타 시스템과 독립돼 있으며 해당 시스템의 정보는 작업종사자 개인정보로써 원전의 안전과는 무관하다"고 반박했다. 이어 "악성코드 발견 즉시 주무부처에 보고했으며 국가사이버안전센터 조사결과, 개인정보 유출은 확인되지 않았다. 이후 발견된 악성코드를 제거하고 후속 보안조치를 실시했다"고 말했다.

그러면서 "모든 시스템에 대한 종합적 보안강화조치 계획을 수립하고 관계기관과 협의하여 이를 조속히 이행할 계획"이라고 덧붙였다. 김성현 기자

중도일보(www.joongdo.co.kr), 무단전재 및 수집, 재배포 금지