[이미지출처: chathamhouse.org "Cyber Security at Civil Nuclear Facilities~"]
원자력은 그 가공할 위력과 함께 선용시의 효익과 불안감이 동시에 주는 기술이며 에너지원 입니다.
또한 원자력 발전의 문제는 그 시설의 운영을 중지하더라도 그 시설 및 산출, 폐기물 등의 관리 문제는 영원히 지속되는 사안입니다.
그렇기 때문에 원자력 발전 시설의 보안관리는 강조에 강조를 더 해도 부족한 것이지요.
마침 원자력 보안에 대한 경각심을 제고하며 보안의 문제점들과 대안을 제시하는 연구 보고서를 chathamhouse.org발표하였습니다.
또한 이 내용은 Help Net Security에 "Nuclear facilities are wide open to cyber attacks"라는 제목으로 포스트 되었는데요.
포스트의 첫 머리가 이렇게 시작합니다.
"원자력 시설과 그것을 관리하는 모든 장비들은 보안이 잘되어있을거야"라고 일반인들은 생각할 수 있지만, 사실, 불행하게도 그것은 잘못된 생각이다.
ChathamHouse.org의 보고서는 "잘못된 생각"을 하나하나 알려주며 대안을 제시합니다.
잘못된 생각, 즉 원자력 시설의 보안 문제점의 대표적인 것들은 다음과 같습니다.
1. (명확하게 분리되어 운영되어야함에도 불구하고) public internet과 직접 연결되는 시설들이 존재한다. 이것은 shodan 등의 검색 엔진 또는 그 외의 해킹 툴로도 해당 시설의 취약점이나 정보를 쉽게 취득할 수 있다.
2. 원자력 발전 시설의 공급망에는 보안 취약점이 존재하고 있다.
3. (시설에 사용된 설비들이 오래된 이유도 있지만) 원자력 설비의 오동작, 고장 등의 우려와 설비의 다운타임의 우려로 인한 패치(Patch)의 부자유도 큰 문제이다.
4. 관계자들의 보안 인식이나, 보안 교육, 훈련 등이 아직까지는 많이 부족하여 만일의 큰 사태에 대한 준비가 되어 있지 못하다.
대안은 다음과 같이 제시 했습니다.
크게 확실한 분리 운영, 준비 태세(보안인식 등) 확립, 설비 들의 취약점 관리 및 제거, 치밀한 assessment를 제시했습니다.
저는 원자력 발전 시설에 종사하는 관리자 뿐만 아니라 모든 관계된 사람들이 동일한 수준의(물론 교육되어 상향된) 보안인식을 갖는 것이 최우선이라고 생각합니다.
그래야만이 안전한 운영을 위한 보안 표준, 보안 규정, 보안 지침, 보안 가이드라인 등이 효과를 발휘할 수 있습니다.
그 다음이 치밀한 assessment입니다.
그것이 단순히 어느 일정 부분의 취약점 분석, 그것을 위한 행위 등에 머물지 않도록 전체적이고 전략적인 assessment가 이루어져야 합니다.
그래야만이 결과를 분석하고 운영에 반영하고 또 관계된 전체로 확산하여 보안의 질을 높일 수 있습니다.
마지막으로 전 국민의 관심과 감시가 뒤따라야 합니다.
바로 우리만이 아니라 후대의 생명까지도 연관되는 문제이기 때문입니다.
-보고서 보기: chathamhouse.org "Cyber Security at Civil Nuclear Facilities~"
-소개기사 보기: Help Net Security에 "Nuclear facilities are wide open to cyber attacks"
