[이코노믹데일리] 국내 대표 보안기업 SK쉴더스가 해킹 조직에 의해 내부 문서 일부가 유출되는 사고를 당했다.
당초 “해커를 유인하기 위한 가짜 데이터”라고 해명했던 것과 달리 직원의 개인 이메일에 보관된 실제 업무 문서가 포함된 사실이 확인되면서 뒤늦게 한국인터넷진흥원(KISA)에 침해 사고를 신고했다. 이번 사태는 단순한 해킹을 넘어 국내 최고 수준의 보안 기업마저 기본적인 보안 원칙을 지키지 못했다는 점에서 업계 전반의 신뢰성에 큰 타격을 주고 있다.
이번 사건은 지난 17일 신생 해커 조직 ‘블랙 슈란탁’이 다크웹을 통해 “SK쉴더스의 고객 정보, 네트워크 자료 등 24GB 규모의 데이터를 해킹했다”고 주장하면서 시작됐다. 이들은 통신·금융·제조·공공기관 고객 정보, 내부 네트워크 구성도, API 키, 심지어 대형 통신사와 반도체사의 기술검증(PoC) 자료까지 포함돼 있다고 주장하며 샘플 파일을 공개했다. 이에 대해 SK쉴더스는 즉각 “해커를 유인하기 위한 가짜 시스템인 허니팟이 공격당한 것일 뿐 실제 내부 자료 피해는 없다”고 선을 그었다.
하지만 해커가 공개한 샘플 파일에서 다른 기업의 자료와 개인 증명사진 등 실제 데이터로 의심되는 정황이 발견되면서 SK쉴더스는 하루 만에 입장을 번복했다.
내부 조사 결과 허니팟을 구축하는 데 사용된 가상머신(VM) 브라우저에 특정 직원의 개인 이메일 계정(지메일)이 자동 로그인 상태로 남아있었고 해커가 이를 통해 메일함에 보관된 실제 업무 문서를 탈취한 것으로 확인된 것이다. 결국 ‘가짜 덫’ 안에 있던 ‘진짜 통로’를 통해 자료가 유출되는 황당한 사고가 발생한 셈이다.
SK쉴더스 관계자는 초기 대응 미비를 인정하며 “샘플 데이터를 다시 점검하던 중에 직원 개인 이메일에 있던 일부 업무 문서를 확인했다”며 “메일을 전수 조사하고 포렌식을 하고 있다”고 밝혔다. SK쉴더스는 이 같은 사실을 확인하고 18일 오전 KISA에 침해 사고를 공식 신고했다.
이번 사고는 국내 보안 생태계 전반에 심각한 경고음을 울리고 있다. 보안 기업은 고객사의 시스템 구조, 네트워크 인프라, 인증정보 등 최고 수준의 민감 데이터를 다룬다. 보안 기업이 뚫릴 경우 그 피해는 해당 기업에만 머무르지 않고 고객사를 겨냥한 연쇄적인 2차, 3차 공급망 공격으로 확산될 수 있다.
특히 SK쉴더스가 SK그룹 계열사의 보안 관제까지 담당해 온 만큼 공격 범위가 그룹 전체로 확산될 수 있다는 최악의 시나리오마저 제기된다. 업계의 한 보안 전문가는 “SK쉴더스가 SK 그룹 계열사 관제 등을 제공해 온 만큼 공격 범위가 SK 그룹 전체로 확산될 위험도 존재한다”고 경고했다.
한편 과거 2020년 미국의 소프트웨어 업체 ‘솔라윈즈(SolarWinds)’가 해킹당해 미 정부 기관을 포함한 전 세계 1만8000여 곳의 고객사가 피해를 본 공급망 공격의 악몽이 국내에서도 재현될 수 있다는 우려가 나온다. ‘보안 회사가 가장 안전하다’는 믿음이 깨진 이번 사건은 단순히 SK쉴더스만의 문제가 아니라 국내 전체 보안 생태계의 신뢰성을 시험하는 중대 국면으로 번지고 있다.
댓글 더보기