19일 SK쉴더스 측은 “17일 해커 유인용 가상 환경인 ‘허니팟’에 로그인되어 있던 직원 개인 이메일 계정(G메일)에서 내부 문서를 확인해 18일 오전 10시 3분 KISA에 신고했으며, 고객 정보보호를 위한 점검과 조치를 신속하게 진행하고 있다”고 밝혔다. 그러면서 “당사는 이번 사안을 매우 엄중하게 인식하고 있으며, 조사 결과를 신속하고 투명하게 안내하겠다”고 했다.
쉴더스 측은 유출 경위에 대해 “문제가 된 허니팟 계정은 크롬 브라우저로 연결되는데 크롬 브라우저에 자동로그인이 돼 있었다”며 “해당 메일함에 있던 일부 내부 문서가 유출된 상황이라 유출 범위를 전수 조사 중”이라고 했다. 해커 유인을 위한 ‘가짜 시스템’ 안에 ‘진짜 개인 이메일’ 계정이 로그인돼 해커가 실제 내부 자료에 접근하게 된 것이다.
고객사 피해 여부에 대해선 “직원의 개인 G메일 계정이어서 SK그룹 내부망과 연결돼 있지 않아 그룹에 영항을 미치지 않는다”며 “혹시 모를 고객사들 피해가 있을지 확인하고 있다”고 덧붙였다.
이번 공격은 해커그룹 ‘블랙 슈란탁(Black Shrantac)’의 주장에서 시작됐다. 이 해커그룹은 17일 다크웹 게시글을 통해 ‘SK쉴더스의 내부 데이터를 총 24GB 규모로 확보했다며 밝혔다. 이들은 유출된 자료에 △고객의 정보 및 요구사항△내부 네트워크 구성 관련 문서와 시스템 구조도 이미지△인사·결제 및 기업 운영 자료, 보안 솔루션과 기술 문서△외부 시스템 접근이 가능한 API 키와 환경 설정 파일△대형 통신사 및 반도체사의 PoC(Proof of Concept) 테스트 자료 등이 포함돼 있다고 주장하고 있다.
논란이 확산되자 SK쉴더스는 처음에는 이를 “해커 분석을 위한 유인용 가짜 시스템인 허니팟에 올려진 가짜 데이터가 유출된 것”이라고 했다. 그러나 이후 조사 과정에서 실제 내부 문서가 포함되어 있다는 점을 추가로 확인했다고 밝혔다.
SK쉴더스는 공공기관, 금융권, 의료기관, 통신사, 반도체기업 등 핵심 인프라 고객을 다수 보유하고 있다. 보안 기업은 고객사의 시스템 구조와 네트워크 인프라 구성, 침해사고 대응 프로세스, API 인증 및 연동 구조, 취약점 리포트 결과 등 민감한 보안 데이터를 대량으로 보유하기 때문에 조사 결과에 따라 복수 고객사를 겨냥한 2차·3차 공격으로 확산될 가능성도 배제할 수 없다.
김승주 고려대 정보보호대학원 교수는 “SK쉴더스가 SK그룹 계열사들의 보안 관제를 맡아온 만큼 그룹 전체에 영향이 있을지 유출 규모를 정확히 파악해야 한다”며 “SK텔레콤 해킹 사태를 겪었음에도 불구하고 보안 전문 기업인 SK쉴더스가 허니팟 계정에 올린 가짜 데이터가 유출된 것이라는 식으로 잘못된 대응을 하는 것은 이해하기 어렵다”고 지적했다.
댓글목록
등록된 댓글이 없습니다.