[단독] SK이노베이션 E&S, 4년 전 해킹 뒤늦게 신고…"보안 불감증 심각"

[앵커]

'SK이노베이션 E&S'가 해킹을 당하고도 4년 동안 신고하지 않은 걸로 드러나 정부가 조사에 착수했습니다. 에너지 사업을 하는 회사의 직원 메일 서버가 해킹을 당해 대외비 문서가 유출됐을 가능성도 배제할 수 없습니다. 하지만 진상을 밝힐 자료들은 이미 사라져 버렸습니다. 심각한 보안 불감증을 드러냈다는 지적이 나옵니다.

임지수 기자가 취재했습니다.

[기자]

지난달 SK이노베이션 E&S가 한국인터넷진흥원에 제출한 침해사고 신고서입니다.

SK이노베이션에 합병되기 전 SK E&S가 해킹을 당했단 내용으로, 2022년 9월 처음 발생했고 사내 네트워크 접속 장애로 11월 인지했다 적혀 있습니다.

그런데 신고 일자는 지난 3월 26일.

해킹 사실을 알고도 4년 가까이 신고하지 않은 겁니다.

알고 보니 제보를 받은 국회 과방위에서 사실관계 확인에 나서자 등 떠밀리듯 뒤늦게 신고에 나선 것으로 확인됐습니다.

[최민희/국회 과학기술정보방송통신위원장 : 제보자로부터 SK E&S에 해킹사고가 있었단 정보를 입수해 확인해봤고 자진 신고하도록 조치했습니다.]

SK E&S 내부 조사에 따르면 해커는 도시가스 시공사 관리 개발 서버에 악성코드를 심고 관리자 권한을 손에 넣었습니다.

소프트웨어 보안 업데이트가 3년 동안 이뤄지지 않은 취약점을 파고든 겁니다.

이어 직원들 메일 서버로 침투해, 2022년 9월부터 3개월간 직원 이메일에 접근했습니다.

내부 조사 결과 파악한 유출 규모는 15GB로, 직원들 개인정보와 대외비 문서가 대량 포함됐을 가능성을 배제할 수 없습니다.

당시 해킹 사고는 대표이사까지 보고가 완료됐지만, 끝내 신고는 이뤄지지 않았습니다.

SK E&S 측은 "신고를 안 한 건 명백한 잘못이지만 정보보호 담당자로부터 보고받지 못해 신고해야 하는 줄 몰랐다"며 "당시 전 직원에게 해킹 사실을 메일로 알리기도 했다"는 입장입니다.

지난달 해킹신고 직후 과기부와 한국인터넷진흥원이 긴급 현장 조사에 나섰지만, 조사가 쉽지 않은 상황입니다.

정확한 유출 규모와 경위를 객관적으로 확인할 자료는 모두 폐기됐기 때문입니다.

회사 측은 침해사고 이후 관련 PC를 전부 재설치했고, 서버와 방화벽 접속 로그 등도 보존 기한을 넘겨 모두 사라졌다고 밝혔습니다.

SK E&S는 전국 7개 도시가스 자회사 등을 운영하는 에너지 회사로, 국가자원안보법으로 지정된 핵심 공급기관입니다.

국가 에너지 안보와 직결된 중요 정보를 다루는 대기업의 심각한 보안 불감증이 드러났단 평가가 나옵니다.

SK E&S 측은 "해킹 대상 메일 서버의 이용자 구성상 중요 자료가 유출됐을 가능성이 낮다"며 "다크웹 유출 모니터링 등을 지속하고 있다"고 밝혔습니다.

[SK 이노베이션 제출 침해사고 신고서 최민희 더불어민주당 의원실 제공]
[영상취재 반일훈 정재우 김대호 영상편집 구영철 영상디자인 김윤나 김관후 남수민 인턴기자 김한결]