‘보안기업도 털렸네’ SK쉴더스 해킹에 고객사 정보까지 유출

해커, 고객사 보안자료 24GB 공개 주장
SKT·KB금융·금융보안원 등 자료 유출
신고 지연 등 ‘늑장 대응’ 도마 위 올라
해커 경고 일주일 뒤 신고…‘인지 시점’ 논란

해킹. (사진=게티이미지뱅크)

국내 대표 보안기업 SK쉴더스가 해킹 공격을 받아 SK텔레콤·KB금융그룹·금융보안원 등의 내부 자료가 유출된 것으로 확인됐다. 핵심 고객사의 민감 정보가 다크웹에 공개되며 2차 피해가 우려되고 있다.

21일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 다크웹 해커집단 ‘블랙 슈란탁’이 SK쉴더스 데이터 24GB를 해킹했다고 주장하면서 증거 사진 42건을 공개했다. 해커들은 지난 10일과 13일 2차례에 걸쳐 SK쉴더스에 금품을 요구했다. 그러나 회사가 응하지 않자 해킹 증거를 다크웹에 게시했다.

이 자료에는 SK쉴더스가 SK텔레콤에 제공 보안 솔루션 설명서, KB금융의 통합보안관제시스템 기술 자료, SK하이닉스의 보안 시스템 점검 및 장애 대응 솔루션 문서 등이 포함됐다. 금융보안원의 내부망 구성도와 HD한국조선해양의 제품 테스트 자료도 노출된 것으로 알려졌다.

SK텔레콤·KB금융·금융보안원 등은 내부 자료나 개인정보 유출은 없었다고 해명했다. 이들 기관은 다크웹에 올라온 자료는 기관 내부 자료가 아닌, SK쉴더스가 기관에 제출한 보안 솔루션 사업 제안서라고 설명했다.

SK쉴더스 측은 “일부 자료는 허니팟(공격자 유인을 위한 가짜 자원) 기반 정보”라고 해명했다. 이에 최 의원은 실제 직원 관련 데이터가 누출됐다고 반박했다.

SK쉴더스 해킹 관련 안내문. (사진=SK쉴더스 홈페이지 갈무리)

또한 사고 인지 이후 대응 과정도 도마에 올랐다. SK쉴더스는 이달 18일 KISA에 침해사고를 공식 신고했다. 그러나 실제 사고 발생 시점은 이보다 훨씬 앞선 10일로 추정된다. 이 사이 해커에게 두 차례 협박을 받기도 했다. 정식 신고까지 약 8일이 소요된 점을 두고 ‘늑장 대응’ 논란이 이어졌다.

현행법에 따르면, 기업은 침해사고 발생 사실을 인지한 시점부터 24시간 이내로 KISA에 신고해야 한다. 여기서 ‘사고를 인지한 시점’은 정보보호 담당자, 정보보호 담당부서장, 정보보호 최고책임자나 기업 대표자가 법률상 침해사고로 정의된 사실을 확인했을 때를 기준으로 한다.

회사는 대표자가 침해 사실을 인지한 이후 24시간 이내로 신고했다고 설명했다. 법령상 절차에는 문제가 없어 신고 지연으로 보기 어렵다는 입장이다.

다만 ‘침해사고 인지 시점’을 두고 의견이 엇갈린다. 해커의 직접 경고가 실질적 ‘인지’로 간주되는 상황이라면 법적 기준 충족 여부와 별개로 사고 대응의 적시성에 대한 논란은 피하기 어렵다.

최 의원은 “국내 주요 보안기업인 SK쉴더스가 해킹에 뚫리면서 공공기관·금융사·통신사·반도체기업 등 핵심 고객사의 2차 피해가 우려된다”며 “과기정통부와 KISA는 빠르게 누출된 정보를 파악하고 추가 피해 최소화를 위한 대책을 마련해야 한다”고 강조했다.