“왜 일주일 뒤 신고했나”…늑장신고에 일 키운 SK쉴더스

[이데일리 권하영 기자] SK쉴더스가 해커 조직으로부터 해킹 경고를 받고도 관계기관에 신고하기까지 일주일 이상 지체한 사실이 드러나며 ‘늑장신고’ 논란에 휩싸였다. 다크웹에서는 이미 일부 신상정보 유출 정황이 포착됐지만, 개인정보보호위원회(개보위)에는 아직 신고가 접수되지 않았다. 기업은 정보 침해·유출을 ‘인지’한 즉시 신고를 해야 하지만, ‘인지 시점’에 대한 모호한 법적 기준이 신속한 신고를 가로막는다는 지적이 나온다.

1차 고도화가 완료된 시큐디움센터에서 SK쉴더스 구성원이 실시간 관제를 수행하는 모습. (사진=SK쉴더스)

해커 경고 후 일주일…늑장신고 부른 제도 공백

20일 국회 과학기술정보방송통신위원회 소속 최수진 의원실(국민의힘)이 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면, SK쉴더스는 지난 17일 자사 내부자료 추정 정보가 다크웹에 업로드된 것을 확인하고 18일 KISA에 침해 사실을 신고했다.

그러나 이보다 앞선 10일과 13일, 해당 해커 조직으로부터 이미 2차례 경고를 받은 상태였다. 현행 정보통신망법 시행령은 사업자가 해킹·디도스 공격 등으로 침해사고 발생을 인지하면 24시간 내 KISA에 의무적으로 신고하도록 규정하고 있다.

SK쉴더스는 당시 해커가 발신한 정보가 회원가입 서비스 해킹이나 테스트 시스템 접속 불가 등 이상 징후와 연관되었음에도, 자체 시스템 분석 결과 문제가 없다고 판단했다. 자사 관련 정보가 다크웹에 실제로 업로드된 17일에서야 해킹 정황을 명확하게 인지하고 신고했다는 입장이다.

이를 두고 일각에서는 늑장신고라고 지적하지만, 해커의 단순 경고만으로는 명확한 침해사고 발생 및 인지로 보기 어렵다는 법적 해석도 존재한다. 현행법은 침해사고 여부가 불명확할 경우 사업자가 KISA에 사고 발생 가능성을 설명하도록 권장하는 수준에 그치고 있기 때문이다.

이러한 제도적 미비로 인해 침해사고 발생 시 기업·기관의 자진신고 없이는 정부의 직권조사가 불가능해 신속한 대응이 어렵다는 문제는 꾸준히 제기되어 왔다. 올해 대규모 해킹 사건이 터진 SK텔레콤(017670)·KT(030200)·롯데카드 등 모두 ‘늑장신고’ 논란을 겪었다. 이에 과학기술정보통신부는 자진신고 없이 직권조사가 가능하도록 법적 근거 마련을 준비 중이나, 실제 법 개정 전까지는 강제성 없이 사업자 협의를 거쳐야 해 사실상 제도 공백이 방치되는 셈이다.

개인정보 유출 시 개보위도 신고 대상

현재 SK쉴더스 내부자료를 확보했다고 주장하는 해커 조직 ‘블랙 슈란탁(Black Shrantac)’은 다크웹에서 일부 내부자료 추정 데이터를 여전히 공개하고 있다.

공개된 자료에는 SK그룹사 및 대외 고객사 대상의 보안컨설팅·개념검증(PoC) 사업 관련 자료들이 확인된다. 데이터 중에서는 채용 응시자(추정)의 학과·학번·이름, 내부 직원(추정)의 이름, 신원확인이 안되는 증명사진 등 일부 개인 신상정보들까지 포함돼 있다. 다만 이 신상정보들이 SK쉴더스 또는 그룹사·고객사 자료인지는 정확히 파악되지 않았다.

통상 해커들이 중요도가 낮은 자료만 선공개 하는 점을 감안하면, 더 민감한 데이터가 존재할 가능성도 배제할 수 없다.

만약 해킹으로 유출된 해당 신상정보들이 개인을 식별할 수 있는 ‘개인정보’에 해당할 경우, SK쉴더스는 침해사고를 다루는 KISA뿐 아니라 개인정보 유출 문제를 다루는 개보위에도 유출 정황 인지 후 72시간 내 신고를 완료해야 한다. 그러나 개보위 관계자는 “SK쉴더스의 신고 접수는 없었다”고 밝혔다.

KISA 신고 논란과 마찬가지로, 개인정보 유출 정황을 ‘인지’한 시점을 두고도 사업자와 당국 간의 이해충돌이 발생할 수 있다. KISA 관계자는 “침해사고 인지 시점은 기업 내부의 의사결정과 보고 체계에 따라 다를 수 있다”고 설명했다. 개보위 관계자도 “상황과 맥락을 따져야 하지만, 일단 조사가 착수되면 사업자가 보고한 인지 시점이 정확한지까지 조사 대상에 포함된다”고 전했다.

보안전문기업 SK쉴더스 해킹 일파만파

SK그룹사를 포함한 주요 고객사들의 정보보안을 책임지는 보안전문기업 SK쉴더스는 미국 소재 해커 조직 블랙 슈란탁으로부터 약 24GB의 데이터가 탈취됐다는 의혹을 받고 있다. 해커 조직은 고객사 정보, 시스템 구성도, 인사·급여 자료, 보안 기술 문서, 응용프로그래밍인터페이스(API) 인증키 등을 확보했다고 주장하고 있다.

SK쉴더스는 초기 대응 시 유출 자료가 해커 공격 패턴 파악을 위해 설치한 가상 환경인 ‘허니팟(Honey pot)’에 저장된 가짜 데이터라고 해명했다. 그러나 이후 조사 과정에서 허니팟에 접속하는 가상머신(VM)에 직원 개인 이메일 계정이 자동 로그인돼 있었고, 해커들이 이를 통해 실제 업무 문서에 접근할 수 있었던 것으로 드러났다.

김승주 고려대 정보보호대학원 교수는 “SK쉴더스는 보안 기술을 제공해온 기업인 만큼, 개인정보뿐 아니라 내부 보고서가 유출됐을 경우 고객사 데이터 유출로 이어져 파장이 클 수 있다”며 2차 피해에 대한 우려를 표했다.