[앵커]
국정원은 안보시설의 공격에 대비한 컨트롤 타워 역할을 하고 있기 때문에 보신 것처럼 한수원 해킹 사태에서 그 책임을 피하기 어려워 보입니다. 그런데 이번 보고서를 보면 한수원이 낙제점을 받은 항목도 적지 않습니다. 낙제점을 받은 이후에도 한수원은 개선의 노력을 전혀 하지 않았던 것으로 드러났습니다.
이지은 기자입니다.
[기자]
해커들은 한수원 전 직원의 메일에 악성코드를 심은 뒤 유포했습니다.
무심코 메일을 열었다 바이러스에 감염돼 해킹의 통로가 됐습니다.
메일 보안의 절차와 중요성은 현재 사이버 위기 예방 교육의 핵심입니다.
국정원은 지난해 한수원 보안 평가 중 사이버 예방 활동 분야에 50점을 줬습니다.
최하점입니다.
하지만 이후 한수원은 교육도, 조치도 하지 않았습니다.
해킹 사태가 터지고 나서야 부랴부랴 예방 대책을 내놓은 겁니다.
[조석/한국수력원자력 사장(지난달 30일 산자위) : 전 직원 및 협력사가 준수해야 하는 보안 가이드라인을 만들고 보안사고에 대비한 모의 훈련을 주기적으로 시행하는 등 보안실천 문화를 확립하겠습니다.]
시스템 접근 사용자에 대한 인증 조치는 해킹 방지의 가장 기초적인 부분입니다.
하지만 한수원은 이 대목 역시 66점을 기록해 공기업 평균 점수 72점에도 못 미쳤습니다.
한수원은 정보통신기반시설 보호 분야에서도 낙제점을 받았습니다.
결국 사용해서는 안 되는 개인 USB를 사용해 악성코드에 감염됐습니다.
한수원은 줄곧 이번 해킹이 별 문제가 아니라고만 강조했습니다.
하지만 사이버 대응 능력에 대한 경고를 받고도 이에 대한 대비책을 세우지 않은 것으로 확인됨에 따라 책임론을 피하기 어려울 것으로 보입니다.