대전 유성구의 한국원자력연구원 정문. 프리랜서 김성태
한국원자력원구원이 북한 정찰총국 소속 해커조직으로 추정되는 ‘킴수키(kimsuki)’로부터 해킹 공격을 받기 시작한 건 지난 5월 14일부터다. 그로부터 보름이 지난 같은 달 29일, 한국과학기술정보연구원의 과학기술사이버안전센터(사이버안전센터)는 킴수키의 해킹 정황을 포착하고 원자력연구원에 ‘해킹 공격을 당하고 있다’는 내용의 전자우편(이메일)을 보냈다.
하지만 원자력연구원은 이 이메일을 이틀이 지난 같은 달 31일이 돼서야 확인했다. 사이버안전센터가 이메일을 보낸 토요일에 출근자가 없었기 때문이다. 해킹 발생 15일 동안 사이버 공격에 무방비 상태로 노출됐던 원자력연구원은, 감시 기관의 이메일 경고가 있는 뒤에도 이틀 동안 깜깜이 상태였다. 사이버안전센터가 이메일을 보낸 뒤 해당 기관 담당자에게 확인 전화 한 통만 했더라도 사전에 공격을 차단할 수 있었던 셈이다.
1488건 해킹 탐지…이메일, 문자로만 통보
국가 핵심 기술 방어에 구멍이 뚫렸다. 16일 국민의힘 허은아 의원실이 입수한 자료에 따르면 과학기술정보통신부 144개 유관기관에 대한 해킹 등 사이버 공격을 탐지하는 사이버안전센터는 원자력연구원에 대한 사이버 공격을 올해만 12차례, 최근 3년간(2019년 1월~2021년 8월 말 기준) 모두 38건 탐지했다. 하지만 해당 기관에 대한 전화 통보는 단 한 건도 없었다.
이뿐만이 아니다. 사이버안전센터는 최근 3년간 모두 1488건의 사이버 공격 정황을 탐지했지만, 원자력연구원을 비롯한 144곳의 담당 기관에 단 한 통의 전화도 하지 않은 것으로 나타났다. 대신 사이버안전센터는 이메일, 또는 이메일과 문자메시지를 함께 보내는 방식으로 공격 정황을 해당 기관에 통보했다. 사이버안전센터가 감시하는 기관 중엔 원자력연구원을 비롯해 ‘한국핵융합에너지연구원’ ‘한국항공우주연구원’ ‘한국전자통신연구원’ 같은 국가 핵심 기술을 다루는 연구원이 수두룩하다.
사이버안전센터는 전화 대신 이메일 등의 방식으로 공격 정황을 통보한 데 대해 “전화는 대상기관에 로그기록, IP 정보 등 상세한 정보를 제공하기에 용이하지 않아 이메일을 주된 통보 수단으로 사용했다”며 “다만 공격정보를 통보받은 기관이 사이버안전센터로 추가문의, 또는 기술지원 요청 등이 필요한 경우엔 전화를 사용하고 있다”고 말했다.
허은아 국민의힘 의원. 허은아 의원실 제공
야당은 사이버안전센터의 적극적인 대응을 주문했다. 허은아 의원은 “원자력 등 국가 핵심기술을 보유한 기관에 해킹이 시도됐는데도 정부는 메일을 보내놓고 산하기관이 알아서 조치하기를 바라는 안일한 태도를 보인다”며 “해킹 정황 통보 방식을 ‘전달’이 아닌 ‘도달’을 원칙으로 전면 개선해야 한다”고 지적했다.
