SK쉴더스가 해커조직의 공격을 받아 유출된 자료에는 고객사 시스템 정보나 개인정보는 포함되지 않은 것으로 확인됐다. 당초 다크웹을 통해 유출 규모가 24GB에 달한다는 주장까지 제기되며 '대규모 보안 유출'로 알려졌다. 하지만 실제로는 직원 이메일 계정이 해킹돼 영업용 제안서와 참고 문건 일부가 노출된 수준으로 파악된다.

"내부 자료 유출 아니다"

21일 업계에 따르면 SK쉴더스는 최근 다크웹 해커조직 '블랙 슈란탁'이 자사 내부 자료를 해킹했다는 주장을 공개한 직후 긴급 점검에 착수했다. 이 조직은 SK쉴더스가 24GB에 달하는 내부 데이터를 보유 중이라며 증거 이미지를 42건 게시했다.

이날 최수진 국민의힘 의원실은 기자들에 배포한 보도자료를 통해 해커들의 파일에 △SK텔레콤(SK쉴더스의 솔루션을 통한 검증 및 증적자료, 알람과 통보 기능과 자동화 기능에 대한 설명) △KB금융그룹(통합보안관제시스템 구축에 대한 기술과 기능) △금융보안원(소프트웨어 구성도 및 내부정보제공망과 보안관제망) 관련 자료가 담겼다고 주장했다.

하지만 <블로터> 취재 결과 이들 자료는 실제 운영 중인 시스템의 내부 정보가 아니라 영업 제안서나 설명용 문건 수준으로 확인됐다.

SKT 관계자는 블로터와의 통화에서 "고객 정보나 당사 내부 데이터가 유출된 것은 아니다"며 "SK쉴더스 직원의 이메일이 해킹돼, 그 안에 있던 SK쉴더스가 SKT에 제안한 보안 솔루션 관련 자료가 외부로 나간 것으로 파악된다"고 말했다.

금융보안원 관계자도 "실제 내부 자료가 유출되진 않았다"며 "SK쉴더스가 금융보안원에 제안했던 문건이 유출된 수준"이라고 설명했다. KB금융그룹 관계자도 "SK쉴더스 측의 제안서가 유출된 것"이라며 선을 그었다.

사고 '인지 시점' 해석 여지

다만 유출 자료의 성격이 제한적이라는 점에도 불구하고 업계는 이번 사건을 가볍게 보지 않는다. SK쉴더스는 통신·금융·공공·제조 등 주요 산업의 통합보안관제, 클라우드 보안, 물리보안 서비스를 맡고 있다. 이런 기업의 내부 계정이 해킹됐다는 사실만으로도 보안기업의 내부통제 체계가 허술했음을 드러낸 사례로 받아들여지고 있다.

이달 17일 SK쉴더스는 해킹당한 자료가 '허니팟' 기반으로 해커를 유인하기 위한 가짜정보였다고 해명했다. 하지만 이후 실제 자료가 유출된 것으로 나타났다. 허니팟은 해커를 유인하기 위해 일부러 취약하게 설정한 가짜 시스템이나 서버다.

이메일은 보안기업의 주요 커뮤니케이션 채널로 고객사 협업과 기술 제안, 운영 보고가 집중되는 공간이다. 해커가 이메일을 통해 내부 문건을 탈취했다는 것은 직원 계정 보안, 접근권한 관리, 다중인증 체계의 취약성을 노린 공격이 가능한 것으로 유추할 수 있다.

SK쉴더스가 해커 경고를 인지한 뒤 관계기관 신고까지 일주일가량 소요된 것으로 알려지며 '늑장신고' 논란도 불거졌다. SK쉴더스는 이달 17일 자사 내부 자료로 추정되는 정보가 다크웹에 업로드된 사실을 확인하고 18일 한국인터넷진흥원(KISA)에 침해 사실을 신고했다. 하지만 SK쉴더스는 이달 10일과 13일 해당 해커 조직으로부터 두 차례 경고를 받은 것으로 알려졌다.

SK쉴더스는 당시 해커가 보낸 경고가 자체 시스템 분석 결과 별다른 문제가 없는 것으로 판단했다. 이후 자사 관련 정보가 실제로 다크웹에 업로드된 17일에 해킹 정황을 명확히 인지하고 신고했다.

현행 '정보통신망법 시행령'은 사업자가 해킹이나 디도스(DDoS) 공격 등으로 인한 침해사고 발생을 인지하면 24시간 이내 KISA에 의무적으로 신고하도록 규정하고 있다. 다만 이 부분은 법에서 '인지 시점'을 명확히 규정하지 않아 해석의 여지가 크다.

SK쉴더스 관계자는 이번 침해 사고와 관련해 "현재 관계 당국과 적극 협조해 경위를 면밀히 조사 중"이라며 "구체적인 내용이 확인되는 대로 말씀드리겠다"고 말했다.

강준혁 기자