[서울이코노미뉴스 박희만 기자] 국내 매출 1위 정보보호 기업 SK쉴더스가 운영하던 서버가 해킹을 당해 내부자료가 유출되는 사건이 발생하면서 논란이 거세지고 있다.
해커 유인용 가상서버인 ‘허니팟(Honeypot)’이 공격받는 과정에서 실제 업무자료가 외부로 유출된 것으로 확인되면서, “보안 전문기업이 자사 시스템은 제대로 지키지 못했다”는 비판이 제기된다.
사건은 지난 17일 미국 기반 해킹조직 ‘블랙 슈란탁(Black Shurantaq)’이 다크웹에 “SK쉴더스로부터 확보한 데이터”라며 관련문서를 공개하면서 드러났다.
공개된 자료에는 SK쉴더스가 SK텔레콤에 제공하는 솔루션 검증·증적·알람 및 자동화 기능 설명서와, SK하이닉스의 보안상태 점검 및 장애 대응자료가 포함돼 있었다.
또 KB금융그룹의 통합보안 관제시스템 구축 기술자료, 금융보안원의 소프트웨어 구성도 및 내부 정보망, 보안관제망 정보도 유출된 것으로 알려졌다.
여기에 HD한국조선해양의 상품 테스트(PoC) 관련문서도 포함됐다.
SK쉴더스는 사건 초기에 “유출된 자료는 실제 데이터가 아닌 허니팟에 저장된 가짜 파일”이라고 해명했다.
허니팟은 해커의 침입경로와 공격패턴을 분석하기 위해 만들어진 가상 환경으로, 일반적으로 실제 시스템과는 완전히 분리돼 운영된다.
그러나 추가 조사결과, 유출 원인은 허니팟내 크롬 브라우저에 자동 로그인돼 있던 직원의 개인 지메일 계정이었던 것으로 드러났다.
해당 계정에는 업무에 활용된 다수의 문서가 저장돼 있었고, 이를 통해 외부 침입자가 실제 메일함에 접근해 자료를 탈취한 것으로 파악됐다.
즉 허니팟이 완전한 격리환경이 아니었고, 직원의 개인계정이 연결된 상태에서 운영된 관리부실이 사고의 직접적 원인이었다.
SK쉴더스는 해킹조직이 다크웹에 일부 자료를 공개한 지난 18일 한국인터넷진흥원(KISA)에 침해사고를 공식 신고했다. 그러나 실제 사고 발생시점은 이보다 앞선 10일경으로 추정된다.
해커측이 두 차례 경고를 보냈음에도 불구하고 정식신고까지 8일이 걸린 점은 ‘늑장 대응’이라는 비판을 낳았다.
현행 정보통신망법에 따르면 기업은 침해사고를 인지한 시점부터 24시간 이내에 KISA에 신고해야 한다.
SK쉴더스는 “대표자가 사고를 인지한 후 24시간 내에 신고를 완료했으며, 법적 절차에는 문제가 없다”는 입장을 밝혔다.
그러나 전문가들은 “허니팟에서 이상징후가 포착된 시점이나 해커의 경고를 인지한 시점이 ‘사고 인지’로 간주될 수 있다면, 대응이 늦었다는 비판을 피하기 어렵다”고 지적한다.
또 다른 논란은 KISA의 기술적 피해 지원을 요청하지 않은 점이다.
일반적으로 기업은 침해사고 발생시 ‘보호나라’ 또는 118 상담센터를 통해 원인분석 및 기술조치를 요청할 수 있다. 필요시 KISA는 전문인력을 직접 파견해 현장 지원을 제공한다.
SK쉴더스 측은 이에 대해 “KISA의 기술 지원체계는 주로 중소기업을 대상으로 운영되고 있으며, 당사는 이미 사이버 위협 정보공유시스템(C-TAS)에 참여 중”이라며 “별도의 기술 지원은 요청하지 않았다”고 밝혔다.
하지만 업계에서는 “국내 대표 보안기업이 테스트용 시스템을 통해 해커의 침입을 허용한 것은 기본적인 보안수칙조차 지키지 못한 심각한 관리부실”이라며 비판의 목소리를 높이고 있다.
특히 외부근무 중인 보안 엔지니어가 개인 지메일 계정을 로그인한 상태로 허니팟을 운영한 사실은, 보안기업으로서 상식적으로 있을 수 없는 실수라는 지적이다.
이번 사건은 SK쉴더스의 보안 관리체계 전반에 대한 신뢰를 흔드는 동시에 국내 정보보호산업 전반의 관리·감독시스템이 제대로 작동하고 있는지 다시 한 번 점검해야 한다는 경고음을 던지고 있다.