|
20일 최수진 국민의힘 의원이 KISA로부터 제출받은 ‘침해사고 신고 내역’ 분석 결과, SK쉴더스는 지난 10월 10일과 13일 해커 조직으로부터 회원가입 시스템 해킹 관련 경고성 메일을 연속 2차례 수신했음에도 자체 시스템에 문제가 없다고 오판한 것으로 확인됐다.
SK쉴더스는 9월 26일 해커 유도용 가상환경(허니팟)을 구성했으며, 테스트 과정에서 개인 Gmail 계정의 자동 로그인 설정으로 인해 해킹 정보가 노출됐다.
이후 10월 10일 18시 57분, 해커 측이 이를 활용해 첫 번째 경고 메일을 발송했고, 13일 오전 두 번째 유사 메일이 재수신됐다.
13일 오전 9시 20분 SK쉴더스는 테스트 서버 전원 차단 및 네트워크 단절 조치를 취했으며, 같은 날 오전 11시경 동일한 경고 메일을 재차 받았음에도 “허니팟 환경이 정상 동작 중”이라고 자체 결론을 내린 것으로 확인됐다.
그러나 10월 17일 오전 11시 14분 다크웹에 SK쉴더스 관련 내부 자료가 게시된 사실을 자체 확인하면서부터 해킹 피해를 공식 인지했다.
문제는 이 과정에서 기술영업 부서 직원의 Gmail 계정 전체(약 24GB)가 해킹당했다는 점이다.
해당 메일에는 SK텔레콤, 금융권, 반도체 기업, 공공기관 등 주요 고객사의 보안 아키텍처, 기술 검토 문서, PoC(개념검증) 자료 등 민감한 정보가 다수 포함된 것으로 알려졌다. 이에 따라 2차·3차 피해 확산 가능성도 거론된다.
10월 18일 SK쉴더스는 KISA에 침해사고를 신고하면서 “허니팟 기반 테스트 중 자동 로그인 설정으로 발생한 개인 메일 유출”이라고 설명했다.
|
이에 대해 최수진 의원은 “대한민국 대표 보안기업이 해커 경고를 일주일 동안 인지하지 못하고, 피해 확산 우려가 큰 상황에서도 기술지원 절차조차 거부한 것은 심각한 문제”라며 “과기정통부와 KISA는 민관 합동조사단을 즉시 구성해 실태 규명 및 후속조치에 나서야 한다”고 강조했다.
SK쉴더스 해킹사건 주요 경과
9월 26일허니팟 테스트 환경(Victim 서버/AD 서버/관리 PC) 생성
10월 10일 18:57해커조직 경고 메일 1차 수신
10월 13일 08:00관련 내용 내부 공유
10월 13일 09:20테스트 서버 차단 및 네트워크 단절
10월 13일 11:38동일 해킹 관련 메일 2차 재수신
10월 15일 09:44해커 측 제시 마감일 경과
10월 16~17일“허니팟 환경 정상 동작” 자체 판단
10월 17일 10:00신규 테스트 위해 디코이 VM 재설치
10월 17일 11:14다크웹 정보 유출 사실 자체 확인
10월 17일 16:00경개인 Gmail 첨부파일 유출 확인
10월 18일 10:03KISA에 침해사고 신고
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
