한국수력원자력이 정보시스템 유지관리 업무를 외부 업체에 맡기면서 용역계약을 제때 갱신하지 않은 것으로 밝혀졌다. 특히 최근 원전 자료 유출 등으로 한수원의 취약한 사이버 보안 체계에 대한 지적이 이어지는 가운데 이 같은 사실이 밝혀져 충격을 더하고 있다.
국회 산업통상자원위원회 소속 새누리당 이채익 의원은 30일 한국수력원자력으로부터 받은 내부감사 자료를 통해 한수원이 정보시스템 유지관리 업무를 맡은 한전KDN과의 용역계약을 올해 2월 28일 종료했음에도 재계약을 하지 않다가 6월 23일에서야 230억원 규모의 계약을 체결했다고 밝혔다. 이 같은 계약공백으로 한수원의 정보시스템은 114일 동안 유지관리 주체가 불분명한 채로 방치돼 있었던 셈이다.
한수원은 재계약 요청조차 계약 종료 후 2개월이 지나서야 했고, 재계약을 하면서는 계약일을 3월 1일로 소급해서 기재해 계약 공백 사실을 은폐하려 했던 것으로 드러났다.
이로 인해 한수원 간부 4명은 경고처분을 받았다. 정보 보안과 직결된 핵심 설비인 정보시스템은 규정상 용역계약 효력이 빈틈없이 계속 유지되게 해야 한다. 계약공백 기간에 한전KDN이 유지보수 업무를 제대로 이행하지 않거나 그로 인해 예기치 않은 사고가 발생할 경우 책임을 묻기 어렵고, 이런 상황에서 관리 안전을 담보하기 어렵다는 것이다.
이 의원은 “4개월 가까운 계약공백은 규정 위반 문제를 넘어서 정보시스템 관리 자체를 위험에 빠트릴 수 있다는 점에서 심각성이 크다”고 지적했다.
한수원이 매년 한전KDN과 수의계약 형태로 정보시스템 유지관리 용역계약을 체결하면서 업무를 안이하게 처리한 것은 올해가 처음이 아니다. 2012년에는 계약을 제때 갱신하지 않아 91일, 2013년은 41일 동안 계약 공백이 발생했다.
한편 유지관리 용역계약 내용 가운데 일부는 한전KDN이 인력 부족 등을 이유로 2년 이상 직접 업무를 수행하지 않고 다른 업체에 재하도급을 준 사실도 내부감사에서 적발됐다.
게다가 일부는 아예 한전KDN이 수행할 수 있는 업무가 아니거나 규정상 한수원이 직접 수행해야 하는 업무임에도 용역계약에 포함시켰고, 이로 인해 지난해만 6억원 이상의 예산 낭비가 발생한 것으로 드러났다.
이 의원은 “평소 정보 보안에서 핵심인 정보시스템조차 이처럼 허술하게 관리한 것에 비춰볼 때 최근 원전 자료 유출 사태는 예고된 인재로 보인다”고 말했다.
한편 지난 7월 한수원 직원을 위한 여행사 전용 웹사이트 등에서 악성코드가 유포된 정황이 발견됐다. 국내 정보보안업체 빛스캔은 지난 7월 한수원 직원 전용 모두투어 사이트에 악성링크가 삽입됐고 연관된 대부분의 카테고리 사이트들에도 동시에 같은 악성링크가 들어간 것으로 확인됐다.
해당 사이트는 한수원 임직원만 이용하도록 제작돼 일반인이 접근하기 쉽지 않다. 빛스캔은 “현재까지 한수원 사태에서 확인된 사안은 12월 9일 이후 이메일을 통한 감염, 그리고 그에 대한 분석이 대부분”이라며 “악성코드 감염은 이메일뿐만 아니라 이용자가 상시로 이용하는 웹사이트를 통해서도 발생한다는 점에서 볼 때 한수원 모두투어 사이트 등을 통한 악성코드 감염 가능성도 충분히 고려해 봐야 할 것”이라고 지적했다.
하지만 한수원 관계자는 “통보받은 직후 한수원 내부 PC들을 검사한 결과 감염 사실이 없는 것으로 확인했다”고 밝혔다.