한국수력원자력(한수원)이 협력사 보안관리 강화대책을 내놨다. 정보보호 수준이 낮은 협력사는 불이익을 주고 보안 사고가 발생하면 입찰 참여를 제한하는 등 강도 높은 관리에 나설 계획이다. 온 나라를 불안에 떨게 한 한수원 자료유출 사고 배경에 협력사가 있기 때문이다. 보안이 허술한 부품 협력사 홈페이지가 해킹을 당해 악성코드 유포지로 악용된 것으로 조사됐다.
결과는 충격적이다. 해당 협력사는 악성코드 감염 자체를 막지도 못했을 뿐만 아니라 유포 사실을 통보받고도 대응조차 못했다. 이 회사뿐만 아니라 협력사 대부분 제대로 된 정보보호 전문가가 없는 것으로 나타났다.
철통 보안을 자신했던 한수원은 이 사건으로 톡톡히 망신을 당했다. 1년이 넘게 해커가 협력사들을 공격했지만 사건이 터지고 나서야 대책이 나온 것만 봐도 보안 인식이 얼마나 허술했는지가 증명된다. 기본조차 지키지 않았다. 협력사가 주요 자료를 다루고 있지만 이에 대한 통제가 사실상 없었던 것으로 드러났다.
정보 중요도에 따라 등급을 나눠 접근을 제한하는 것은 정보보호 기본 중에 기본이지만 이번 대책에서 처음 적용한다. 한수원 내부 보안에 자신했지만 전체적인 보안 정책에 큰 구멍이 존재하는 것이다. 협력사에만 책임을 떠넘기면 안 되는 이유다.
대책은 시작에 불과하다. 우선 한수원과 협력사를 포함해 모든 관계 기관 보안 의식을 높여야한다. 수년간 발생한 사고를 통해 첨단 보안 시스템이 만능이 아니라는 교훈을 얻었다. 대형 해킹 사고는 인재에서 출발했다. 방심은 해커가 노리는 구멍이다. 이번 사고는 협력사가 구멍이었다. 해커들은 앞으로도 뚫고 들어갈 구멍을 집요하게 찾아낼 것이다. 이를 막기 위해서는 구성원이 보안 인식부터 갖춰야 한다. 한수원 자체적으로 모든 보안을 책임지겠다는 생각부터 버려야한다. 협력사 보안 상태 점검도 전문기관에 맡겨야 제대로 지켜진다. 무엇보다 정보보호는 ‘완성’이나 ‘완벽’은 없다는 사실을 잊지 말아야 한다.
오피니언 많이 본 뉴스
-
1
[ET시론]대한민국 AI의 심장, AI 데이터센터
-
2
[데스크라인] 폐쇄적 정책의 후과
-
3
[사설] 금융사 보안공시에 파격 인센티브 주라
-
4
[김장현의 테크와 사람] 〈104〉인공지능 시대의 문해력
-
5
[GEF 스타트업 이야기] 〈89〉기부 시장의 '매슈 이펙트'와 컴포저블 거버넌스의 시대
-
6
[ET단상] 비트코인 하락, 디지털금융의 미래를 묻다
-
7
[사설] '반도체 소부장 주권' 더 높여가야
-
8
[기고] 과징금의 목적은 처벌이 아니라 예방이다
-
9
“AI로 안전관리 고도화” 한국승강기안전공단 창립 10주년
-
10
[김태형의 혁신의기술] 〈55〉AI 네이티브(Native), 우리는 어떤 시대에 살고 있는가(상)
브랜드 뉴스룸
×



















