"해커 유인하다 해킹 당했다"…SK쉴더스 침해사고 어쩌다 작성일 10-21 41 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">직원 지메일 자동 로그인 상태에서 24GB 문서 유출 정황<br>신고 지연·KISA 기술 지원 미요청 등 대응 과정 도마 위에</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="8LFBdmMVtC"> <figure class="figure_frm origin_fig" contents-hash="c6278c1364640abfd1bdc00b9b9934bd51fbe366d6966be36cd6a2f8d143ae5e" dmcf-pid="6o3bJsRfZI" dmcf-ptype="figure"> <p class="link_figure"><img alt="1차 고도화가 완료된 시큐디움센터에서 SK쉴더스 구성원이 실시간 관제를 수행하는 모습.(사진=SK쉴더스 제공) *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/21/newsis/20251021082814342dizx.jpg" data-org-width="720" dmcf-mid="2Lz4aSLxGv" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/21/newsis/20251021082814342dizx.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 1차 고도화가 완료된 시큐디움센터에서 SK쉴더스 구성원이 실시간 관제를 수행하는 모습.(사진=SK쉴더스 제공) *재판매 및 DB 금지 </figcaption> </figure> <p contents-hash="4f0da677f909a84234254865e27c39a4a7468e4d5b8bd065f7abdb669b2c0975" dmcf-pid="Pg0KiOe4ZO" dmcf-ptype="general">[서울=뉴시스]송혜리 기자 = 국내 매출 순위 1위 정보보호 기업인 SK쉴더스 서버 해킹 사건을 두고 논란이 뜨겁다. 이 회사가 운영하던 허니팟(해커 유인용 가상 서버)이 외부 해커에서 공격을 당했는데, 이 과정에서 회사 내부 자료가 유출되는 사고가 발생했던 것. </p> <div contents-hash="bb58d04ab55f3df22b58b8fe719d9923d272c5325e522deb2f69707740a45f10" dmcf-pid="Qap9nId81s" dmcf-ptype="general"> 정보보호 전문기업이 정작 자사 시스템에 대해서는 미숙하게 관리한 것 아니냐는 지적이 나온다. <br><strong><br> </strong> </div> <h3 contents-hash="47394667b444e5356c30db692ed13fba864e257c63b0f254c2a4cdd958272c9a" dmcf-pid="xNU2LCJ65m" dmcf-ptype="h3"><strong>24GB 달하는 정보 탈취 주장…격리되지 않은 환경서 '허니팟'운영</strong></h3> <div contents-hash="faae7e60a2a5e2bf80904eb248da44c5ab8244abca13b7df198611ccd8fd34d1" dmcf-pid="y0AO1fXSXr" dmcf-ptype="general"> <strong> 사건의 시작은 지난 17일. 미국 소재 해킹 조직 블랙 슈란탁(Black Shurantaq)이 다크웹을 통해 SK쉴더스로부터 확보한 데이터라는 문서를 공개했다. 이 해킹그룹은 고객사 정보, 시스템 구성도, 인사·결제 자료, 애플리케이션프로그래밍인터페이스(API) 인증키, 개념검증(PoC) 테스트 자료 등 약 24GB에 달하는 데이터를 탈취했다고 주장했다.<br><br> SK쉴더스는 초기 대응에서 유출된 자료가 허니팟(Honey pot)에 저장된 가짜 데이터라고 해명했다. 허니팟은 해커의 공격 패턴과 침입 경로를 파악하기 위해 의도적으로 설치한 가상 환경으로, 실제 시스템과는 분리돼 있다.<br><br> 허니팟은 원래 외부 해커를 유인해 공격 패턴을 분석하거나 보안 취약점을 파악하기 위한 '미끼 시스템'이다. 실제 중요 정보나 서비스를 담지 않고 외부 공격자를 관찰하는 데 목적이 있다.<br><br> 하지만 추가 조사 과정에서 유출된 자료는 지난달 26일부터 운영된 허니팟 시스템 내 크롬 브라우저에 자동 로그인돼 있던 한 직원의 지메일 계정에서 비롯된 것으로 확인됐다. 해당 메일함에는 업무에 활용된 다수의 문서가 저장돼 있었던 것으로 알려졌다. 해당 허니팟을 완전히 격리된 환경이 아닌, 직원 개인 메일 계정이 로그인된 상태에서 운영하는 실수를 범했다. 이로 인해 외부 침입자는 허니팟을 통해 실제 메일함에 접근할 수 있었고 결과적으로 문서 유출로 이어졌다는 분석이다.<br><br> </strong> </div> <h3 contents-hash="024c14a51b1b5d7df62a5a66f3935e48c9d4c7a72231b1fa78a5fef80acb048a" dmcf-pid="WpcIt4ZvGw" dmcf-ptype="h3"><strong><strong>늑장신고·기술 지원 거부 논란, 왜?</strong></strong></h3> <div contents-hash="5b9a60d59711f0ceeea730ea4c9711ec17d28a5be26d7e3f99b7272e71fec249" dmcf-pid="YUkCF85TtD" dmcf-ptype="general"> <strong> SK쉴더스는 해커 조직으로부터 일부 문서가 유출된 정황을 확인한 뒤 이달 18일 KISA에 침해사고를 공식 신고했다. <br><br> 그러나 실제 사고 발생 시점은 이보다 훨씬 앞선 10일로 추정된다. 해커로부터 두 차례 경고를 받기도 했다. 정식 신고까지 약 8일이 소요된 것을 두고 '늑장 대응' 논란이 이어졌다.<br><br> 현행 정보통신망법에 따르면 기업은 침해사고 발생 사실을 인지한 시점부터 24시간 이내에 KISA에 신고해야 한다. 여기서 '사고를 인지한 시점'은 정보보호 담당자, 정보보호 담당부서의 장, 정보보호 최고책임자 혹은 기업 대표자가 법률상 침해사고로 정의된 사실을 확인한 때를 기준으로 한다.<br><br> 회사는 대표자가 침해 사실을 인지한 이후 24시간 이내에 신고를 진행했으며, 법령상 절차에는 문제가 없다는 입장이다. 이에 따라 신고 지연으로 보기 어렵다는 입장이다.<br><br> 다만 '침해사고를 언제 인지했는가'라는 해석의 여지가 여전히 모호하다. 허니팟 시스템 내 이상징후나 해커의 직접 경고가 실질적 '인지'로 간주될 수 있는 상황이었다면 법적 기준 충족 여부와 별개로 사고 대응의 적시성에 대한 논란은 피하기 어려울 수 있다.<br><br> 이와 한편 SK쉴더스가 KISA로부터 기술적 피해지원과 후속조치 지원을 받지 않은 사실이 알려지면서 또 다른 논란이 불거졌다.<br><br> 현행 침해사고가 발생한 기업은 필요 시 KISA의 보호나라 홈페이지 또는 118 상담센터를 통해 사고 원인 분석과 기술 조치 지원을 요청할 수 있다. 보안 사고의 성격이나 규모에 따라 KISA는 대응 인력을 직접 파견해 현장 지원도 제공한다.<br><br> 그러나 SK쉴더스는 KISA의 기술 지원 프로그램이 주로 중소기업을 대상으로 운영되는 체계로 이해하고 있으며, 이미 사이버 위협 정보 공유 시스템(C-TAS)에 참여 중으로 별도의 기술 지원은 신청하지 않은 것으로 알려졌다.<br><br> </strong> </div> <h3 contents-hash="871464a4097163b2d59b03040aea5ebb0c5f9a8ef9f718889c662bffab78ee25" dmcf-pid="GuEh361ytE" dmcf-ptype="h3"><strong><strong>최소한 '자동로그인'은 해제했어야…보안, 기본으로 돌아가야 </strong></strong></h3> <div contents-hash="a835322796ee45a4fa58679b6f2481f1da19c1d3c0c2ef67c77d8dd10a36eebc" dmcf-pid="H7Dl0PtWYk" dmcf-ptype="general"> <strong> 일련의 신고 절차를 둘러싼 논란은 차치하더라도 보안 기업이 자사 테스트 시스템을 통해 해커의 침투를 허용했다는 점과 기본적인 보안 수칙조차 지키지 못했다는 사실은 SK쉴더스의 책임은 피하기 어렵다는 지적이 나온다.<br><br> 보안업계에서는 SK쉴더스가 허니팟 내 이례적인 움직임이나 경고 신호를 명확히 인지하지 못했을 가능성을 제기하며 "허니팟이 정상적으로 작동하지 않거나, 내부 모니터링 체계에 허점이 있었을 수 있다"는 분석도 나온다.<br><br> 더 큰 문제는 보안 엔지니어가 외부에서 업무를 처리하며 사용한 개인 지메일 계정이 자동 로그인된 상태로 가상 테스트 환경에 연결됐다는 점이다. <br><br> 한 보안업계 전문가는 "최소한 자동 로그인 기능은 해제했어야 하고, 허니팟 같은 테스트 시스템은 격리된 환경에서 운영했어야 한다"며 "이 같은 사고는 보안의 '기본 중 기본'을 간과했을 때 벌어지는 전형적인 사례"라고 지적했다.<br><br><br><span>☞공감언론 뉴시스</span> chewoo@newsis.com </strong> </div> </section> </div> <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p> 관련자료 이전 음저협, "AI이슈 속 서울서 한국 첫 CISAC 법무위원회 열어요" 10-21 다음 1인 가구 800만 시대…집 안 IoT 데이터로 ‘마음 건강’ 읽는다 10-21 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
