핵발전소 간부 컴퓨터 ID 및 비번, 용역업체 직원에 공유 대리결재 횡행...대외비 및 1급 보안 설계도면까지 접근 가능

- 영광, 고리 핵발전소 정규직원 업무용 컴퓨터 계정(ID)알려주고, 자신들이 해야 할 업무 일지 등을 대신 작성하게 한 것으로 드러났습니다.

3. 심지어 방사성 폐기물 배출의 최종 허가 승인권을 갖고 있는 한국수력원자력 간부 직원의 계정과 비밀번호까지정보를 공유해왔습니다.

5. 이처럼 핵발전소 내부 망 접속계정과 비밀번호 공유를 통한 용역업체 직원의 작업일지 대리 작성과 대리 결재 행위는 영광(한빛), 고리 등 적어도 두 곳의 핵발전소에서 이뤄져 온 것으로 드러났습니다. 특히 이런 황당한 업무 관행은 한수원 간부 직원들의 동의와 묵인 하에 지난 수년 동안 진행돼 온 것으로 확인됐습니다. 하지만 한국수력원자력 본부는 뉴스타파가 관련 사실에 대한 확인을 공식 요청하기 전까지 이런 사실을 전혀 파악하지 못하고 있었습니다. 핵발전소 보안에 큰 허점이 있었던 것입니다.

6. 용역업체 직원들은 뉴스타파와의 인터뷰에서 방사선 안전관리를 담당하는 한수원 직원들이 업무에 능숙하지 못해 자신들에게 관련 업무와 결재 진행을 부탁했다고 밝혔습니다. 또 한수원 간부가 일찍 퇴근하는 등 관련 업무를 할 수 없을 때 용역직원에게 업무를 대신 처리하도록 하기 위해 계정과 비밀번호를 공유했다고 털어놨습니다.

7. 한수원 내부 규정에는 업무일지 작성은 물론 방사성 폐기물 배출의 허가는 반드시 한수원 정규 직원이 결재하도록 하고 있습니다. 하지만 핵발전소 안에서 이런 규정은 전혀 지켜지지 않았습니다. 방사선 안전관리 용역업체 직원 등은 2003년 핵발전소에 업무용 내부 컴퓨터 망(SAP)이 도입된 이후 적어도 10년 이상 비번 공유와 업무일지 대리 작성 및 대리 결재 행위가 지속돼왔다고 증언했습니다.

8. <정보보안 세부지침>에 대한 산업통상자원부의 훈령은 산자부와 산하 모든 공공기관(한수원 포함)에 적용됩니다. 이 훈령 39조, 비밀번호의 관리를 보면 “동일한 비밀번호를 여러 사람이 공유해 사용하지 말 것”이라고 명시돼 있습니다. 한수원 직원들은 이 훈령을 대놓고 위반한 것입니다.

9. 용역업체 직원들도 소속 업체 명의 계정으로 핵발전소 내 컴퓨터에 접속할 수는 있지만, 접근할 수 있는 정보가 제한돼 있고 대외비나 비밀 자료는 거의 볼 수 없습니다. 하지만 공유된 한수원 간부의 계정과 비밀 번호로 접속할 경우 수십만 장에 이르는 핵발전소 설계 도면을 쉽게 열람할 수 있습니다. 자신이 근무하는 핵발전소 뿐 아니라 국내 23개 핵발전소 전체의 설계도면도 열람이 가능합니다. 또 설비, 자재 등 핵발전소 운영 및 유지 관련 정보와 함께 한수원 본부 내 각종 대외비 정보에도 쉽게 접근할 수 있습니다. 핵발전소 설계도면은 정부 1급 보안으로 분류돼 있습니다. 국가 1급 보안 정보가 이렇게 공유된 비밀번호를 통해 사실상 노출돼 있었던 셈입니다.

10. 사정이 이런데도 한수원 본부는 이런 사실을 전혀 알지 못하고 있었습니다. 뉴스타파가 취재에 들어가자 한수원 관계자는 “그릴 리 없다”, “그래서는 안 된다”는 원칙적인 답변을 내놨습니다. 한수원은 그 이후 사실을 확인하고 있다고 밝혔습니다. 하지만 내부적으로는 문제가 된 고리와 영광 핵발전소 등에 계정과 비밀번호를 더 이상 공유하지 말라는 지시를 내린 것으로 확인됐습니다.

11. 핵발전소는 국가 최고 보안시설로 엄격한 보안이 요구되는 곳입니다. 실제 한수원 직원들은 업무용 컴퓨터의 비밀번호를 정기적으로 바꾸지 않았거나, USB 메모리를 책상 위에 놓고 퇴근했다는 이유만으로도 징계를 받습니다. 2011년부터 지금까지 한수원 자체 감사를 통해 경고 등 징계 받은 직원만 수십 명에 이를 정도입니다. 하지만 정작 가장 중요하다고도 할 수 있는 컴퓨터 내부망 보안에는 큰 구멍이 뚫려 있었던 것입니다.

12. 보다 자세한 보도 내용은 오늘(9월 23일) 오후 뉴스타파 홈페이지 (http://newstapa.org)를 통해 업로드 되는 리포트를 참조하시기 바랍니다.

* 담당자: 박중석 팀장 010-3898-4027

2014년 9월 23일 한국탐사저널리즘센터 · 뉴스타파

※ 보도자료 전문(HWP)