‘또’ 털린 SK “범인이 친절하게 알려줬는데도”… 뻔뻔한 늑장 대응, 결국 ‘최악의 결과’

경고 두 번이나 받았는데…
핵심 정보 털리고도 ‘무대응’
결국 고객사들까지 피해 우려

보안업체 SK쉴더스가 해커 조직으로부터 반복적으로 해킹 경고를 받았음에도 이를 무시한 사실이 드러났다.

침해 사실을 확인하고도 신고가 늦어진 데다, 이후 후속 조치에도 소극적으로 대응해 논란이 커지고 있다. 특히 SK쉴더스가 보유한 주요 고객사 정보까지 유출되며 2차 피해 우려가 제기되고 있다.

경고도 했는데… 무시로 일관한 SK쉴더스

20일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, SK쉴더스는 이달 10일 미국 기반 해커조직 ‘블랙 슈란탁’으로부터 해킹 관련 경고 메일을 수신했다.

같은 조직은 13일에도 동일한 내용을 다시 통보했지만, SK쉴더스는 “시스템에 이상이 없다”며 별다른 조치를 취하지 않았다.

SK쉴더스는 17일 오전 11시, 다크웹에 자사 관련 정보가 게시된 사실을 직접 확인한 뒤에야 피해 사실을 인지하고 KISA에 신고했다. 해킹 경고를 받은 지 일주일이 지난 시점이었다.

이번 침해는 기술영업직원이 사용한 지메일 계정(24GB 분량)이 노출되면서 발생한 것으로 파악됐다. 보안 테스트용 ‘허니팟’ 환경에서 자동 로그인 설정이 문제였던 것으로 분석된다.

SK쉴더스는 이튿날인 18일 KISA에 “허니팟 테스트 중 자동 로그인 설정으로 인해 정보가 유출됐다”고 신고했지만, 피해 조치는 전부 거부했다.

이에 따라 KISA와 과학기술정보통신부는 사고 경위를 정확히 파악하지 못한 상태다.

침해된 24GB, 민감 정보 가득

21일 최수진 의원실이 추가로 공개한 자료에 따르면, 블랙 슈란탁은 SK쉴더스에서 탈취한 것으로 보이는 데이터 24GB 분량을 다크웹에 공개하며 증거 사진 42건을 제시했다.

이 데이터에는 SK쉴더스 고객사의 관리자 계정, 보안 시스템 구성, API, 소스코드 등이 포함됐다.

유출된 정보에는 SK텔레콤 서비스 설명 자료, KB금융의 보안관제 시스템 구축 문서, SK하이닉스의 보안 점검 자료, 금융보안원의 내부망 설계도 등이 포함됐다. HD한국조선해양 관련 테스트 자료도 확인됐다.

해커 조직은 두 차례 금전을 요구했지만 SK쉴더스가 응하지 않자 자료를 공개한 것으로 보인다.

SK쉴더스는 “허니팟을 기반으로 한 가짜 정보”라고 해명했으나, 실제 직원의 개인 계정이 해킹당한 사실이 확인되며 신빙성에 의문이 제기됐다.

보안 회사 맞나… 책임론 커져

SK쉴더스는 국내 주요 기업 및 공공기관을 고객사로 두고 있는 보안 전문 기업이다. 그럼에도 해킹 경고를 수차례 받고도 무대응으로 일관했고, 결국 주요 고객사의 정보까지 유출되는 사태로 이어졌다는 점에서 비판을 피하기 어렵다.

최수진 의원은 “보안 전문업체가 해킹 사실을 일주일 가까이 몰랐다는 것은 심각한 문제”라며 “과기정통부와 KISA는 민관 합동조사단을 구성해 정확한 경위를 조사하고 후속 대책을 마련해야 한다”고 밝혔다.

현재 KISA는 SK쉴더스 측 신고만으로는 정확한 피해 규모와 경위를 파악하기 어렵다며, 관련 자료를 분석 중이다.

이번 해킹 사고로 인해 2차 피해로 번질 가능성이 커지고 있으며, 보다 신속하고 구체적인 대응이 필요하다는 지적이 잇따르고 있다.