대표적 사례가 바로 2010년대 초반에 발생했던 '스턱스넷' 사건이다. 산업시설에 대한 악성코드인 스턱스넷은 이란의 부셰르 원자력 발전소와 나탄즈 우라늄 농축 시설 핵 개발용 원심분리기를 감염시켜 파괴했다. 이 공격으로 원자력시설에 대한 사이버공격이 현실화되었고 이를 계기로 원자력시설 보안이 더욱 중요해 졌다.

또 다른 예로는 지난 2016년 4월, 독일 바이에른 주 원자력 발전소에서 발생한 악성코드 감염 사건을 들 수 있다. 근무자의 무주의한 USB 사용으로 발생한 이 사건으로 원전 가동을 멈추고 시스템 점검에 들어갔다. 다행히 문제가 없는 것으로 판명됐지만 실로 아찔한 순간이었다.

우리나라도 2014년 고리 원전과 월성 원전에 해킹이 발생해 원전의 주요 자료가 유출되는 사건이 있었다. 이제는 국내 원전도 사이버 테러에 결코 안전하다고 할 수 없다. 오히려 IT의 발달만큼이나 사이버 테러의 위험이 더 가중되고 있다. 불미스러운 사태를 미연에 방지하기 위해 한국원자력통제기술연구원(KINAC)의 사이버보안실이 국내 원전 사이버 보안 태세를 꼼꼼하게 점검하고 있다.

해외에서 원전에 대한 사이버 공격이 계속 일어나자 국내에서도 원전의 사이버 보안에 대한 중요성이 대두됐다. KINAC에서 사이버 보안에 대비 한 시기도 비슷한 시기다. 원전에 대한 사이버 보안이라 하면 원전의 여러 디지털 시스템 중에서 안전, 방호, 비상대응과 관련된 시스템에 대한 보안 관리를 뜻한다.

KINAC은 사업자(한국수력원자력)가 자체적으로 사이버공격을 방어할 수 있는 부분에 대한 점검과 교육 등을 담당한다. 이를 넘어서는 사안에 대해서는 정부가 직접 대응한다. 그러므로 KINAC은 가장 먼저 사업자가 담당해야 할 최대한의 위협 수준을 정한다. 그리고 정해진 위협 수준을 방어할 수 있는 보안 계획에 대한 문서를 심사한다. 정해진 계획에 따라 보안 대책 등을 성실히 이행하고 있는지를 검사를 통해 확인하고, 사업자의 훈련에 대한 평가를 시행하여 사이버 침해사건에 대한 대응역량을 강화하고 있다.

사이버보안에 관련해서는 우리나라가 다른 나라에 비해 선제적으로 추진하고 있다고 볼 수 있다. 지금까지 우리나라는 미국 원자력규제위원회(NRC)의 규제 프로세스를 바탕으로 원전 방호를 설계해 왔다. 하지만 사이버 보안 관련 훈련 및 평가는 미국도 아직 시행하지 않는 분야로 국내에 특화돼 있다. 우리나라의 제어 시스템 훈련은 IAEA에서 우수사례로 뽑히기까지 할 정도다.

김시원 연구원은 "원전 사이버 보안은 모든 나라가 동일한 수준으로 수행할 필요는 없으며 각 나라의 위협수준에 맞게 대비를 하면 된다."라고 설명했다. 다만 "우리나라는 사이버 공격 빈도가 높은 편으로 타 국가에 비해 위협수준이 높다고 판단했고, 그래서 다른 나라보다 선제적으로 훈련평가를 시행했다"고 말했다. 그는 "덕분에 사이버 보안 훈련평가 분야만큼은 세계 원전 방호 분야에서 앞선 위치에서 진행할 수 있게 됐다"라고 자랑했다.

2년 주기로 진행하는 정기검사 역시 우리나라만의 독특한 사이버보안 규제 활동이다. 시급하거나 중요한 점검 분야를 우선적으로 선정해 정기적으로 확인하고 있다. 특별검사만 우선 수행하고 있는 다른 나라보다 좀 더 자주, 다양한 점검이 가능하다는 장점이 있다. 결국 우리나라는 IT 강국이라는 칭호에 걸맞게 원전 사이버 보안 분야에서는 세계를 선도하는 역할을 하고 있는 셈이다.

사이버보안실의 신익현 실장은 2011년 국내 원전 사이버보안의 시작부터 함께했다. 국내 원전 사이버 보안 1세대인 만큼 관련 업무에 대한 기대감이 집중돼 있다. 그런 만큼 국내 실정의 문제점에 대해서도 정확하게 짚어낸다. 그는 우리나라 사이버 보안의 문제는 '인식 부족'이며 '보안 문화'가 중요하다고 강조한다.

그는 사이버 보안에 대한 인식 부족의 대표적 예로 '백신'을 꼽았다. 그는 "백신은 발견된 문제에 대비하는 것으로, 백신만으로는 절대 사이버 공격을 완벽하게 막을 수 없다"며 "최신 사이버 공격은 심층적이고 다양한 사이버 보안 대책이 필요하다."라고 말했다. 사람들이 백신만 자주 업데이트 하면 해킹이나 바이러스에 안전하다고 인식하는 자체가 위험하다는 뜻이다. 이어 그는 "사이버 공격자의 능력은 항상 앞서 있고 방어 기술은 이를 따라간다."라며 "정책 결정권자가 사이버 공격의 기술적 능력을 이해할 수 있도록 사이버보안 담당자가 적극적으로 노력해야 할 것"이라고 이야기했다.

또 하나의 문제로 보안 문화를 꼽았다. 소위 이야기하는 '우리가 남인가'라는 문화가 사이버 공격에 쉽게 무너지는 빌미를 제공한다는 것이다. 그는 "이러한 문화는 보안과 관련해 치명적이다"며 "룰(rule)을 만들면 무슨 일이 있어도 반드시 지켜야 한다."라고 강조했다.

김 연구원 역시 "사이버 보안에 대한 사업자의 문화나 인식 수준이 많이 올라가야 한다."라고 꼬집었다. 그렇기 때문에 생기는 어려움도 당연히 존재한다. 그는 "인력 부족, 길지 않은 준비기관과 같은 어려움에는 공감하지만, 이러한 어려움을 감안하더라도 사업자의 사이버보안 관련 인식 수준은 개선이 필요하다."라고 설명했다. 이어 그는 "정해진 법 및 기준 하에서 자체적으로 대비할 능력을 키우는 것이 바람직하며, 적극적인 대응하는 자세가 중요하다."고 어려움을 토로했다. 그는 "사이버 보안 체계를 만들기 위해서는 사업자의 역할이 누구보다 중요하다."라고 말하며 "스스로 문제점을 찾고 해결하는 능력을 키워야 한다."라고 힘주어 말했다.

미래를 준비할 시간도 없이 현안 처리에 급급하게 지내왔다는 사이버보안실의 두 전문가는 이제는 미래에 대한 고민을 하고 싶다고 입을 모았다. 신 실장은 함께 일하는 실원들의 발전을 위해 좀 더 많은 기회를 제공하고 싶다고 밝혔다. 김 연구원 역시 장기적인 발전을 위해 좀 더 깊이 있는 공부와 탐구를 집중해서 하고 싶다고 말했다.

사이버 테러라는 것은 언제 어떠한 형태로 발생할지 미리 알기 어렵다. 게다가 신 실장의 말대로 공격자는 항상 방어하고자 하는 사람을 앞서간다. 물론 규제기관의 철저한 점검과 교육훈련도 필요하지만 사업자들의 자발적인 보안 의식 향상이 무엇보다 중요하다. KINAC을 포함한 정부, 사업자 모두의 철저한 대비로 국민들의 원전에 대한 불안감을 안심으로 바꿀 수 있길 바란다.