병원, 원자력발전소, 항공기 등에서 일하는 방사선 작업종사자 19만여명의 개인정보가 중국 영국 등으로 대량 유출된 사실이 뒤늦게 드러났다. 이 정보 관리 책임을 맡은 한국원자력안전재단은 이 사실을 인지하고도 은폐하거나 축소한 것으로 알려져 논란이 되고 있다.

12일 국회 과학기술정보방송통신위원회 박성중 의원(국민의힘)에 따르면 재단이 운영, 관리하는 방사선종사자종합시스템(Rawis:라위스)에 탑재된 개인정보가 2018년 7월 대규모로 빠져나갔다. 라위스는 원자력 및 방사선 관련 시설에서 일하는 종사자의 피폭 정보를 관리하는 시스템이다. 종사자의 성명, 생년월일 등 일반적 정보 뿐 아니라 과거 질병력, 가족력, 백혈구수, 혈소판수 등 민감한 의학적 정보까지 포함돼있다.

재단은 사건이 일어난 2018년 7월 자신의 개인정보 누출을 인지한 한 국민으로부터 해당 사실을 제보받았음에도 별다른 조치를 취하지 않았다. 해당 제보가 원자력안전위원회까지 흘러가 이듬해 4월 별도 감사가 착수된 이후에야 시스템 점검에 들어갔다. 재단은 그로부터 2개월 후 "국가정보원 국가사이버안전센터 조사 결과 개인정보 유출은 확인되지 않았으며, 해당 악성코드는 시스템 접속 장애를 목적으로 하는 DDoS(디도스:분산서비스거부공격)형으로 정보 유출 기능이 없다"는 자료를 냈다.

그러나 박 의원이 입수한 '라위스 시스템 디지털 포렌식 결과 보고서'에 따르면 라위스는 5~7개 악성코드 공격을 받았고, 이 여파로 19만여명의 개인정보가 엑셀 파일 형태로 대량 유출됐다. 이는 국내 뿐 아니라 중국 영국 등 해외로도 퍼져나갔다. 공격에 사용된 악성코드가 자가복제를 통해 500개 이상으로 증식한 사실도 밝혀졌다.

박 의원은 "국민 19만여명의 소중한 개인 정보가 담긴 시스템이 무려 4년간 전세계 해커들의 놀이터로 전락한 것"이라며 "국정원, 원자력안전위 등 관련 부처가 조직적으로 은폐에 가담한 것이 아닌가 생각된다"고 말했다. 원자력안전재단은 원전 폐쇄를 주장해 온 시민단체인 환경운동연합 출신 김혜정 이사장이 운영을 맡고 있다.

이해성 기자 ihs@hankyung.com