국가 최고 보안시설인 핵발전소의 보안에 치명적 구멍이 뚫린 사실이 드러나, 큰 충격을 안겨주고 있다.

한국수력원자력 정규직원들이 자신이 해야 할 일을 용역업체 직원들에게 떠맡기기 위해 핵 발전소 내 업무용 컴퓨터 ID와 비밀번호를 용역업체 직원들에게 알려주고, 방사성 폐기물 배출 허가 승인 등 중요 업무 처리를 맡겨온 사실이 드러난 것.

원전 부품 위조 파문에 이어 보안 파문까지 터지면서 한수원의 존재 자체가 의문시되는 심각한 상황 전개다.

23일 <뉴스타파> 단독보도에 따르면, 영광 핵 발전소 내 방사성 폐기물 배출 등 방사선 관리 업무를 담당하는 한수원 직원들은 용역업체 직원들에게 핵 발전소 내 업무용 컴퓨터에 접속할 수 있는 자신의 ID와 비밀번호를 알려주고, 자신들이 해야 할 관련 업무 일지 작성 등을 대신 하게 한 것으로 드러났다.

심지어 방사성 폐기물 배출의 최종 허가 승인권을 갖고 있는 한수원 간부 직원의 ID와 비밀번호도 공유해, 발암물질인 방사성 폐기물 배출의 최종 승인 결재까지 용역업체 직원들에게 맡겼다.

이로 인해 용역업체 직원들이 마음만 먹으면 대외비는 물론 1급 보안 정보인 핵발전소 설계도면에까지 접근할 수 있는 것으로 드러났다. 한수원 직원 계정과 비밀번호로 내부 컴퓨터 망에 접속할 경우 용역업체 직원들도 자신이 근무하는 핵발전소는 물론 전국의 핵 발전소 23기 전체의 설계도면까지 열람할 수 있는 것.

핵발전소 설계도면은 정부 1급 보안으로 분류돼 있다. 국가 1급 보안 정보가 한수원의 허술한 보안 관리 때문에 사실상 노출돼 있었던 셈이다. 또 설비, 자재 등 핵발전소 운영 및 유지와 관련된 정보, 그리고 한수원 본부 내 각종 대외비 정보에도 쉽게 접근할 수 있는 것으로 드러났다.

산업통상자원부 훈령은 비밀번호 공유를 엄격히 금지하고있다. ‘정보보안 세부지침 39조’에는 “동일한 비밀번호를 여러 사람이 공유해 사용하지 말 것”이라고 명시하고 있다. 산자부는 물론 한수원을 포함한 산하 공공기관이 적용 대상이다.

한수원은 내부 보안 강화를 위해 한 달에 한번 꼴로 직원들에게 컴퓨터 접속 비밀번호를 재설정하도록 요구하고 있지만, 그때마다 한수원 직원들은 전화로 용역업체 직원들에게 변경한 비밀번호를 알려준 것으로 드러났다.

방사선 관리 용역업체 직원들은 지난 2003년 핵발전소에 업무용 내부 컴퓨터망(SAP)이 도입된 이후부터 적어도 10년 동안 한수원 간부 직원들의 동의와 묵인 하에 이런 행태가 지속돼 왔다고 증언했다.

이같은 행위는 영광(한빛), 고리 핵발전소 등 최소한 2곳에서 확인됐다.

한수원 내부 규정을 보면 업무일지 작성은 물론 방사성 폐기물 배출의 허가는 반드시 한수원 정규 직원이 결재하도록 하고 있다. 하지만 한수원 직원들의 업무 편의를 위해 이 같은 보안 규정이 전혀 지켜지지 않은 것이다.

용역업체 직원들은 <뉴스타파>와의 인터뷰에서 방사선 안전관리를 담당하는 한수원 직원들이 업무에 능숙하지 못해 자신들에게 관련 업무와 결재 진행을 부탁했으며, 한수원 간부가 일찍 퇴근하는 등 관련 업무를 볼 수 없을 경우에도 ID와 비밀번호를 알려줬다고 증언했다.

김혜정 원자력안전위원회 비상임위원은 “핵 발전소 운용은 단계 단계서에서 각각 책임에 맞게 확인을 하고 결재가 이뤄져야 하는 데 그런 과정이 대리결재를 통해 무너진 상태”라며 “이는 핵 발전소에서 도저히 있을 수 없는 일”이라고 말했다.

김인성 전 한양대 컴퓨터공학과 교수도 “편의성 때문에 비번을 공유했다는 것은 전체적으로 보안(시스템)이 망가져 있는 것이고, 누구라도 접근해서 데이터를 가져갈 수 있다고밖에 생각할 수 없다”고 개탄했다.

한수원 본부는 <뉴스타파>가 관련 사실 확인을 요청하기 전까지는 이런 사실을 전혀 파악하지 못하고 있었다. <뉴스타파>가 취재에 들어가자 한수원 본부 관계자는 “그릴 리 없다”, “그래서는 안된다”는 원칙적 답변만 내놨다.

<뉴스타파>는 "핵발전소는 국가 최고 보안시설로 엄격한 보안이 요구되는 곳이다. 실제 한수원 직원들은 업무용 컴퓨터의 비밀번호를 정기적으로 바꾸지 않았거나, USB 메모리를 책상 위에 놓고 퇴근했다는 이유만으로도 징계를 받기도 했다. 2011년부터 지금까지 한수원 자체 감사를 통해 경고 등의 징계를 받은 직원만 수십 명에 이른다"면서 "하지만 정작 가장 중요하다고 볼 수 있는 컴퓨터 내부망 보안에는 큰 구멍이 뚫려 있었던 것"이라고 지적했다.

보도후 야당이 이를 문제 삼는듯 파문이 급확산되고 있다.

인재근 새정치민주연합 비대위원은 24일 비대위회의에서 "원자력 발전소의 안전 불감증이 심각하다"며 "한수원 직원들이 핵발전소 컴퓨터망 아이디와 비밀번호를 용역업체 직원들과 공유했다고 한다. 일지작성 등 업무처리를 맡기기 위해서였다고 하는데 심지어 방사성 폐기물 배출허가 최종승인도 맡겼다고 한다"며 보도 내용을 전했다.

인 위원은 이어 "핵발전소에서 대리결제라니 경악스럽다. 간부들의 동의와 묵인 없이 불가능한 일"이라면서 "핵발전소는 국가의 안보영역이다. 사법당국의 철저한 진상조사가 있어야 할 것이다. 국회도 이 문제를 좌시해서는 안 될 것"이라며 전면적 진상조사 착수를 촉구했다.