원자력안전위원회 산하 원자력안전재단이 원전 종사자 19만명의 개인 정보 1090만여 건이 노출됐는데도 불구하고 “개인 정보 유출은 확인되지 않았다”며 은폐해온 것으로 11일 나타났다.
국민의힘 박성중 의원실이 입수한 ‘방사선작업종사자 종합 정보 시스템(RAWIS) 개인 정보 노출 의심 사례 정밀 분석’ 보고서에 따르면, 원자력안전재단 시스템 서버는 2015년부터 악성 코드에 감염돼 영국, 중국 등 제3국에서 원격 통제됐다. 중국, 영국 등지의 12개 IP 주소(컴퓨터 등 인터넷에 연결된 기기 고유의 숫자)에서 서버 데이터베이스(DB)에 접속한 기록도 있었다. RAWIS 서버에는 원전 종사자 개인 피폭 이력, 건강 진단(백혈구, 혈소판 등 혈액 검사 항목) 자료 등 민감한 정보들이 들어가 있다. 우리 원전 사업의 인적 네트워크와 그 취약성을 파악할 수 있는 정보 1097만1679건이 다른 국가에 그대로 노출된 것이다.
RAWIS 서버가 악성 코드에 감염됐다는 사실은 작년 5월 원자력안전위 종합감사에서 최초로 드러났다. 당시 재단은 “개인 정보 유출은 확인되지 않았다. 국정원 조사 결과 디도스 공격용 악성 코드 3개가 2015년부터 침투한 사실이 있지만, 정보 유출 목적의 코드가 아니다”라고 했었다.
악성 코드 감염은 재단 측이 작년 4월 보안 전문 업체 P사에 디지털포렌식을 의뢰한 결과 드러났다. P사는 2019년 5월 2일 “개인 정보 유출이 있었고 시스템 전면 중단이 필요하다”는 결과 보고서를 재단 측에 제출했다. P사 보고서에 따르면, ‘디도스 공격용 악성 코드 3개가 단순 발견됐다’는 재단 발표와는 달리 최소 5~7개의 악성 코드가 발견됐고, 그 외에도 다수의 악성 코드가 존재할 것으로 분석했다. 원전 정보들은 기본적인 암호화 조치도 되어 있지 않은 상태였다. 하지만 원자력안전위원회와 원자력안전재단, 국정원 등 세 기관은 이 사실을 공개하지 않았다.
재단은 오히려 보안 검사를 했던 P사에 최근까지 수의계약 형태로 4차례에 걸쳐 억대 계약금을 준 것으로 나타났다. 박 의원은 “유출 내용을 알고 있는 업체에 ‘입막음용’으로 준 것 아니냐”고 했다. P업체는 용역 결과 보고서를 재단 측에 단 한 번도 제출하지 않았다.