‘보안의 보안’이 뚫렸다···SK쉴더스 해킹, 고객사 2차 피해 우려

[사진=SK쉴더스]

[이뉴스투데이 김진영 기자] 국내 대표 보안기업 SK쉴더스가 해커 조직의 공격으로 내부 문서 일부가 외부로 유출되는 사고를 겪었다. 당초 회사 측은 해커 추적용 가상 시스템(허니팟)만 침해당했다고 밝혔으나, 조사 결과 실제 업무 문서가 포함된 자료가 외부로 빠져나간 것으로 확인됐다.

19일 보안업계에 따르면 SK쉴더스는 지난 17일 오전 10시경 한국인터넷진흥원(KISA)에 사이버 침해 사고를 공식 신고했다. 이번 공격은 미국 소재 해킹 그룹 ‘블랙 슈란탁(Black Shrantac)’의 주장으로 시작됐다.

이들은 다크웹을 통해 “SK쉴더스로부터 약 24GB 분량의 데이터를 탈취했다”고 전하며, 고객사 정보·시스템 구성도·보안 기술 문서·API 인증키 등 다양한 자료를 확보했다고 주장했다. 실제로 일부 고객사 문서와 개인 증명사진으로 보이는 이미지가 다크웹에 게시되기도 했다.

초기 대응에서 SK쉴더스는 “유출된 자료는 해커 분석을 위한 가짜 시스템(허니팟)에서 생성된 데이터”라며 진화에 나섰다. 허니팟은 해커의 침입 경로를 추적하기 위해 의도적으로 설치된 유인용 가상 환경으로, 실제 내부망과는 분리돼 있다. 그러나 내부 점검 과정에서 허니팟에 연결된 가상머신(VM)의 웹 브라우저(크롬)에 직원 개인 지메일(Gmail) 계정이 자동 로그인 상태로 남아 있었던 사실이 드러났다.

이메일을 통해 실제 업무 문서가 노출된 정황도 확인됐다. SK쉴더스 관계자는 “허니팟과 연결된 크롬 브라우저에 직원 개인 G메일 계정이 자동 로그인된 상태였다”며 “해당 메일함에 보관된 일부 업무 문서가 함께 유출된 것으로 파악됐다”고 설명했다. 이어 “개인 계정이어서 SK그룹 내부망과는 직접 연결되지 않았지만, 고객사 관련 문서가 포함됐을 가능성을 배제하지 않고 전수 조사 중”이라고 부연했다.

현재 SK쉴더스는 디지털 포렌식 조사를 진행, 내부 보안 프로세스 전반을 재점검하고 있다. 이번 사안에 대해서는 “가짜 시스템 내부에서 개인 계정을 통한 실제 자료 노출이 발생한 설계 외 사고”로 규정했다.

전문가들은 이번 사건을 국내 보안 생태계 신뢰성에 타격을 줄 중대 사고로 보고 있다. 보안기업은 고객사의 네트워크 인프라, 탐지 정책, 인증정보 등 민감한 자료를 대량으로 보유하기 때문에 한 번 침해가 발생하면 2차·3차 피해로 확산할 가능성이 높다. API 키나 접근 토큰이 유출되면 공격자가 고객사 인프라에 원격 침투할 수 있고, 보안관제 정책이 노출될 경우 탐지를 우회하는 장기 잠입형 공격으로 이어질 수 있다.

김승주 고려대 정보보호대학원 교수는 “이번 사안은 통신사 CISO(최고정보보호책임자) 협의체를 통해 공유된 것으로 안다”며 “SK쉴더스가 SK그룹 계열사 보안관제까지 담당해 온 만큼 공격이 그룹 전반으로 확산될 가능성도 배제하기 어렵다”고 말했다.

현재 KISA와 관계기관은 해커 측의 주장과 실제 유출 자료의 진위를 확인하고 있으며, SK쉴더스는 추가 피해 확산을 막기 위한 내부 보안 점검과 재발 방지 대책을 마련 중이다.