한국수력원자력이 보안USB를 사용하기 시작한 2009년부터 원전사이버 위기에 따라 보안USB 운영을 ‘대여방식’으로 전환한 2015년 1월 이전까지 직원들에게 지급한 보안USB 중 회수가 확인된 것은 전체 약 64%에 불과한 것으로 조사됐다.
특히 동일기간 퇴직자 전원에게 지급된 보안USB도 반납되지 않는 등 원전 기술에 대한 관리감독에 구멍이 뚫린 것으로 드러났다.
김정훈 의원실이 19일 한국수력원자력에 자료요청을 통해 받은 답변 자료인 ‘한국수력원자력 보안USB 지급 및 회수 현황’에 따르면 지난 2009년부터 2014년까지 한국수력원자력이 구입한 업무용 보안USB는 총 9487개이며, 이 중 회수가 확인된 건수는 6096개로 전체 약 64%에 불과했다.
더욱이 회수가 확인된 업무용 보안USB 6906개는 2011년 구입한 8500개에 대한 회수 내역일 뿐, 나머지 2009년(437개), 2010년(300개), 2012년(100개), 2014년(150개) 구매한 987개에 대한 회수는 확인이 불가했다.
또한 한국수력원자력은 업무용 보안USB 지급 대여방식 도입 이전(2009년~2014년) 직원들에게 지급한 보안USB 회수(퇴직 시, 반납 등)에 관한 규정이 있음에도 불구하고, 퇴직자들에 대한 업무용 보안 USB 회수를 제출받지 않았다.
한국수력원자력이 제출한 답변 자료인 ‘업무용 보안USB 지급방식 운용기간 퇴직자 보안USB 제출 현황’을 살펴보면, 2009년~2014년까지 한국수력원자력 퇴직자는 총 1490명 중 보안USB 지급(대상) 퇴직자는 1181명(미지급 대상 309명 제외)이며, 이 중 업무용 보안USB를 제출한 직원은 단 한명도 없었다.
업무용 보안USB 지급대상 퇴직자 1490명을 업무별로 구분하여 살펴보면 ▲원자력 업무 퇴직자가 529명 ▲기술직 157명 ▲사무직 133명 ▲발전직 115명 등의 순이었다.
이와 관련해 한국수력원자력은 김 의원실에 “개인별로 지급된 보안USB는 부서장 책임으로 관리된다”면서 “퇴직 시 보안USB 회수 절차(회수 여부 확인)가 명확하게 마련되지 못해 현재에는 확인할 수 없다”고 답변했다.
하지만 김 의원실은 “한국수력원자력 ‘정보-시스템지침-05 OA 전산설비 관리 6.2.7 퇴직 시, 가항’규정에는 ‘퇴직 시 개인용 설비는 반드시 주관부서에 반납하여야 한다’고 명기 됐다. 한수원은 해당 지침을 위반했음에도 미반납과 관리부실로 징계를 받은 직원이 단 한명도 없다”고 질타했다.
문제는 이에서 그치지 않는다. 이러한 퇴직자들이 반납하지 않은 업무용 보안USB는 퇴직 이후에도 지급 시, 부여된 사용기간의 잔여기간이 남아 있다면, 외부에서도 접속이 가능했다는 게 김 의원실의 설명이다.
한국수력원자력도 김정훈 의원실에 “‘보안USB 등록일 기준 최대 1년(수명)이고, 외부 사용기간 정책(반출)은 최대 90일이다. 발급 받은 후, 1년의 잔여기간이 남아 있을 시 가능하다”고 답변했다.
또한 미반납한 보안 USB를 가지고 외부에서 접속해 인쇄도 가능한 것으로 확인됐다.
김정훈 의원은 “1급 보안시설인 원전을 운영하고 관리하는 한국수력원자력에서 직원들에게 지급한 보안USB 10개 중 6개 이상이 미반납됐다”며 “분실된 보안USB도 300개가 넘으며, 퇴직 직원들에 대한 보안USB 반납 여부는 일체 확인되지도 않았다는 것은 국가 안보와 국익을 위협하는 심각한 문제”라고 지적했다.
이어 “한국수력원자력은 분실 또는 지급된 보안USB를 반납하지 않은 채 퇴직한 직원들에 대한 전수조사를 실시해야 한다”며 “현재 퇴직자 중 2직급 이상의 임직원에 대한 재취업 현황 파악을 전 직원으로 확대해야 한다”고 철저한 조사와 재발방지 대책 마련을 주문했다.
임중권 기자 im9181@kukinews.com