해킹으로 추정되는 문건 유출 사고가 발생한 한국수력원자력은 원전을 운용하는 제어망을 비롯해 인트라넷까지 외부로 철저히 격리돼 사이버 공격으로부터 안전하다고 주장하고 있다.
하지만 보안전문가들은 망과 망 사이가 물리적으로 철저히 분리돼 있어도 메모리카드나 USB포트를 통해 얼마든지 침입이 가능하다고 말한다. 실제로 한수원측은 문건 유출 사건이 나자 제어망에 접속할 수 있는 USB포트를 봉인하도록 조치했다고 밝혔다.
실제 해킹을 통해 원자력시설이 무력화된 사례도 있다. 2009~2010년 이란에서는 ‘스턱스넷’이라는 악성코드에 의한 해킹으로 부셰르 원자력발전소와 나탄즈 우라늄 농축시설의 핵개발용 원심분리기 1000여 개가 파괴된 바 있다. 스턱스넷은 독일 제어시스템전문개발사인 지멘스의 산업시설 운용시스템인 SCADA시스템을 공격해 임의로 제어하는 악성코드다.
마이크로소프트사의 취약점을 이용해 USB를 통해 외부에 노출되지 않은 내부망에 연결된 컴퓨터로 확산되며 감염시키는 특징이 있다. 이란은 이를 완벽히 복구하는데 2년이 걸렸다.
일본에서도 해킹 공격이 발생했다. 올 1월 일본 후쿠이현 몬주 원자력발전소가 악성코드에 감염됐다. 이 악성코드는 작업자가 컴퓨터의 동영상 재생 프로그램을 업데이트하면서 감염된 것으로 알려졌다. 악성코드에 감염된 컴퓨터에서 5일간 이메일과 훈력 기록, 직원 개인정보 등 4만2000개 이상의 문서가 유출된 것으로 알려졌다.