[에너지데일리 송병훈 기자] IT(정보통신) 분야의 눈부신 발달은 부정적인 요소도 동반하고 있다. 국가중요시설에 대한 사이버 공격이 그 대표적이다. 따라서 원자력을 도입하는 국가는 연구용 원자로, 상업용 원자력발전소의 운영 뿐만 아니라 어떻게 안전하게 운영할 것인지 규제체계를 갖춰야 한다.
또한 국가중요시설에 대한 사이버 공격이 그 대표적이다. 원자력시설 사이버보안은 핵물질 및 원자력시설에 방사선적 사보타주를 일으킬 수 있는 사이버위협을 예방·탐지·대응하는 일련의 조치를 의미한다. 원전을 포함한 원자력시설 사이버공격의 경우, 그 파급효과를 고려할때, 그에 대한 대비는 필수적이다. 그렇다면, 원자력 도입국이나 정보보안이 약한 국가들은 어떻게 준비해야 할까. 국제원자력기구(IAEA)는 국제협약인 개정핵물질방호협약(CPPNM, Amendment to Covention on Physical Protection of Nuclear Material)에 따른 핵안보지침을 통해 기존 물리적방호 체제 내 사이버보안 신규 분야의 체제 마련을 권고하고 있다.
이와 관련 IAEA가 원자력 선진국의 경험을 전수하는 교육을 만들고, 한국원자력통제기술원(KINAC)이 주관해 우리나라에서 사이버보안 국제훈련과정을 진행하고 있어 관심을 모았다.

▲ IAEA 사이버보안 국제훈련과정

지난 4일부터 15일까지 일정으로 KINAC 교육훈련센터(INSA)에서 진행중인 'IAEA 사이버보안 국제훈련과정(International Training Course for Protecting Computer Based System in Nuclear Security)'은 사이버보안의 중요성이 확대되면서, 원자력시설의 사이버보안에 맞춤형으로 IAEA가 기획한 과정이다. 미국과 한국이 교육과정 개발에 참가했고, 이를 업그레이드해 이번에 한국에서 훈련과정을 진행하고 있는 것이다.

원자력시설에서의 컴퓨터 기반 시스템 보호를 위한 전문역량 및 사이버보안 인식 제고가 주 목적이며, 2016년 12월 IAEA가 원자력안전위원회에 사이버보안 분야 국제훈련과정(ITC) 개최를 요청하면서, 2018년 미국에 이어 두 번째로 원자력통제기술원(KINAC)에서 주관하게 됐다.

교육대상은 20개국(알제리아, 벨라루스, 볼리비아, 중국, 조지아, 헝가리, 인도네시아, 인도, 요르단, 리투아니아, 말레이시아, 파키스탄, 사우디 아라비아, 스리랑카, 타지키스탄, 태국, 터키, 우크라이나, 베트남, UAE)에 이르는 원자력 도입국 및 운영국의 관련자 30명이 참가했다. 강사는 국내·외 15명씩 30명으로 구성됐다.

교육은 강의 40%, 실습 60%으로 구성된 실습형 교육훈련과정이다. 특히 그동안 원자력통제기술원(KINAC)과 원자력연구원(KAERI) 등 국내·외 연구를 통해 개발한 3종의 실습장비(시뮬레이터, 사용후핵연료 저장조 냉각설비, 출입통제 감시시스템)가 적용됐다.

교육 컨셉도 흥미롭다. 서남아시아에 위치한 가상의 국가 안샤르(Anshar) 내 원자력연구시설 SNRI(Shapash Nuclear Research Institute)의 특징을 상세하게 설정하고, 보유한 핵물질, 사이버보안 설비를 규정했다. 그리고 인접국(나부, Nabu)에 사건이 발생한 가상 시나리오에 따라, IAEA 핵심 사이버보안 기반문서(사이버보안 가이드라인)의 각 요소별로 강의 및 실습을 통해 사이버보안 체계를 분석, 점검, 평가하고 보안대책을 적용할 수 있도록 구성됐다.

그리고 실제 실습은 제어시스템을 모사해 만든 장비로 사용후핵연료 저장조 냉각 시스템에 이상을 일으키는 공격 시험과 함께, 복수기(Condenser)에 대한 공격 및 대응을 모사했다. 또한 한국(KINAC)에서 개발한 출입통제 시스템을 활용, 공격 시나리오 구성 및 대응에 나섰다.

▲ 우리나라의 사이버보안 규제는…

이번 훈련과정이 갖는 가장 큰 의미는 현재까지 교육을 주관한 국가가 미국과 우리나라밖에 없다는데 있다. 우리나라가 미국과 함께 국제적으로 사이버보안 분야를 선도하고 있음을 보여주는 사례라는 설명이다.

우리나라의 원자력시설 사이버보안 규제는 IAEA 국제지침에 따라 이루어지고 있으며, 미국, 영국, 프랑스 등 주요 선진국과 대등한 수준으로 수행하고 있는 것으로 평가받고 있다.

이 중 사이버보안 훈련평가 및 건설시설 심사는 타국보다 선제적이고 적극적으로 수행중이며, 국내 사이버보안 훈련평가는 IAEA 및 타국에 우수사례로 소개되고 있다.

KINAC에 따르면, 원자력시설의 제어감시 설비는 인터넷·업무용 설비와 분리해 관리하고 있다. 원자력사업자는 별도 사이버보안 조직 신설, 중요 디지털자산 식별 및 사이버보안 강화를 추진하고 있고, 보안조치에 대해 주기적인 효과성 및 보안성 평가를 수행하고 있다.

또한 원자력안전위원회는 사이버보안 강화를 위해 원자력시설별 정보시스템 보안규정을 마련해 승인을 받도록 했으며, 이에 따라 KINAC은 사이버보안 이행에 대해 정기검사 및 특별검사, 사이버보안 훈련평가를 수행하고 있다.

사이버보안 규제는 크게 심사, 검사, 훈련 평가로 구분된다. 심사는 전자적 침해행위에 대한 원자력시설 컴퓨터 및 정보시스템 보안규정 심사, 검사는 시설별 정기검사, 규정변경 및 사건발생시 특별검사, 그리고 훈련평가는 시설별 위협시나리오에 따른 대응 훈련 절차 및 이행의 적절성을 평가한다. 특히 올해 말까지 사이버보안 7단계 점검을 완료, 사이버보안 체계 구축을 완료할 예정이다.

이와 함께 KINAC은 사이버보안 규제 기술 개발 및 적용을 위해 지속적으로 연구를 진행하고 있으며, IAEA 주관의 국제공동연구에도 참여하고 있다. 또한 국외 우수사례 및 기술도입을 위해 미 원자력규제위원회(NRC), 에너지부 (DoE/NNSA) 산하 국립연구소(INL, PNNL) 등과 주기적으로 협력하고 있다.

▲ KINAC, 그리고 INSA

KINAC은 원자력 관련 안전조치, 수출입통제, 물리적방호, 사이버보안 등의 수단을 통해 원자력의 평화적 이용을 위해 규제업무를 이행하는 핵비확산·핵안보 전문기관이다.

그리고 2014년 개소한 INSA에서의 국제교육을 통해 핵비확산·핵안보 국가 체제 구축을 위한 원자력 이용국가들의 전문인력 양성을 적극 지원하고 있다. 이번 교육도 사이버보안에 대한 국제역량 강화를 위한 것이다.

KINAC측은 특히 보안의 개념에서 가장 약한 곳이 전체의 보안 수준으로 가늠되기 때문에, 약한 곳(weak link)을 보완하기 위해 각 국의 역량강화가 필요하며, 이를 위한 교육을 제공하고 있다고 설명했다.

KINAC 관계자는 "원자력 이용의 선결조건으로 요구되는 핵비확산·핵안보 국가 체제 구축을 위한 원자력 도입국들의 전문 인력 양성을 적극 지원하고 있다"면서 "국내교육은 원자력사업자와 원자력 관련 연구 수행기관을 대상으로 핵비확산·핵안보 규범 및 법령의 철저한 준수에 초점을 두고 있다"고 말했다.

송병훈 기자 다른기사 보기