해킹된 가상 운영망 '허니팟'…"개인 메일 자동로그인 정보유출 발생 우려"
[메가경제=황성완 기자] 올해 초 통신 3사부터, 정부 전산망까지 해킹 이슈가 끊이질 않는 가운데, 이번엔 보안 전문기업 SK쉴더스의 내부 전산망이 뚫린 것으로 확인돼 파장이 일고 있다.
 |
| ▲SK쉴더스 사이버보안 관제센터 전경. [사진=SK쉴더스] |
◆ 다크웹에 유출 주장…SK쉴더스 “허니팟 데이터였다” 해명
20일 업계에 따르면 SK쉴더스는 지난 주말 한국인터넷진흥원(KISA)에 자사 전산망 침해 사고를 정식 신고한 것으로 전해졌다.
사건을 주장한 곳은 미국 기반 해킹 조직 ‘블랙 슈란탁(Black Shrantac)’으로, 이들은 지난 17일 다크웹을 통해 “SK쉴더스 내부 시스템에서 약 24GB 분량의 데이터를 탈취했다”고 밝히며, 일부 고객사 정보·보안 기술 문서·급여 자료·API 인증키 등으로 추정되는 증거 이미지를 공개했다.
SK쉴더스는 초기 대응에서 “유출된 것으로 보이는 자료는 실제 운영망이 아닌 허니팟(Honeypot) 환경에 저장된 테스트 데이터”라며 “외부 침입 탐지 및 공격 패턴 분석을 위한 가상시스템”이라고 해명했다. 허니팟은 해커의 공격 동향을 파악하기 위해 의도적으로 노출시킨 미끼용 서버로, 일반적으로 실제 시스템과는 물리적으로 분리돼 있다.
그러나 이번 사고의 경우 허니팟 가상머신 내에 있던 직원 개인 이메일 계정이 자동 로그인 상태로 유지돼 있었던 것으로 드러났다. 해커들은 이를 통해 실제 업무 문서 및 사내 자료 일부에 접근한 것으로 알려졌다. 이에 따라 업계에서는 “보안기업 내부조차 계정 관리와 접근통제 정책이 허술했다는 점이 드러난 사건”이라는 지적이 나온다.
한 보안업계 관계자는 “SK쉴더스는 국내 주요 공공기관과 대기업의 물리·사이버 보안 시스템을 위탁 운영하는 회사”라며 “만약 고객사 관련 자료가 실제로 유출됐다면 파급력은 상당할 것”이라고 말했다.
◆ 해커 경고 두 차례 무시…정작 KISA 신고 '일주일 뒤'
KISA는 현재 SK쉴더스로부터 관련 로그와 서버 이미지를 전달받아 침입 경로를 분석 중이며, 사고 규모와 유출 경로에 따라 추가 조사가 이뤄질 가능성도 제기된다.
문제는 SK쉴더스가 해커 조직의 공격으로 내부 문서 일부가 유출된 사실을 뒤늦게 확인한 것이다. 해킹 발생 직후 두 차례나 경고를 받고도 이를 간과해 피해를 키웠다는 지적도 제기되고 있다.
국회 과학기술정보방송통신위원회(과방위) 소속 최수진 국민의힘 의원실이 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면 SK쉴더스는 지난 10일과 13일 해커 조직으로부터 2차례 경고를 받았다.
해커조직이 발신한 정보는 회원가입 서비스 해킹 관련 정보로 SK쉴더스는 테스트 시스템 접속 불가로 이상징후가 있었음에도 자체 시스템의 문제가 없다고 판단한 것으로 전해졌다.
SK쉴더스는 해커로부터 경고를 받은 지 일주일이 넘은 18일이 돼서야 KISA에 사이버 침해 신고를 했다.
아울러 SK쉴더스는 KISA에 '허니팟 기반 보안 테스트 중 개인 메일함(지메일·Gmail) 자동 로그인 설정으로 발생한 정보 유출 신고'라고 보고했지만 피해지원이나 후속지원을 모두 거절했다.
이에 KISA와 과학기술정보통신부가 진상 파악에 어려움을 겪고 있다고 알려졌다.
SK쉴더스 관계자는 “현재까지 주요 고객사 정보나 핵심 시스템의 손상은 확인되지 않았다”며 “사실 관계를 면밀히 검증 중”이라고 강조했다.
[저작권자ⓒ 메가경제. 무단전재-재배포 금지]
