물리보안과 정보보호 합쳐 규모가 국내 최대인 SK쉴더스가 해킹 공격으로 내부 자료가 유출되는 수모를 겪었다. 해커를 유인하기 위한 가상 환경인 '허니팟(honey pot)'을 가동했는데, 보안 취약점이 발견되면서 이를 통해 이 회사 내부 자료가 해커 손에 넘겨졌다. 낚시꾼이 던진 미끼를 덥석 문 물고기에 되레 낚시꾼이 끌려 들어간 상황이 빚어진 것이다.
경위는 이렇다. 이달 10일 SK쉴더스는 신생 랜섬웨어 조직 '블랙쉬란택(Blackshrantac)'으로부터 협박성 정보를 받았다. 그러나 시스템상 별다른 이상 징후가 발생하지 않자, 대응하지 않았다. 지난 13일에도 동일한 경고 메일을 받았지만 역시 문제삼지 않았다.
랜섬웨어 조직들은 기업의 데이터를 탈취하고, 이를 빌미로 기업에 금전을 요구한다. 이와 마찬가지로 블랙쉬란택도 SK쉴더스의 데이터를 탈취, 금전을 요구하기 위해 해킹 사실을 알리고 접선을 시도한 것으로 보인다. 하지만 SK쉴더스가 반응하지 않자 지난 17일 자신들의 다크웹 사이트에 SK쉴더스 관련 정보를 업로드했다.
SK쉴더스 자체 조사에 따르면 이번 해킹은 '허니팟'에 SK쉴더스 기술영업직 직원의 개인 지메일 계정이 자동 로그인되도록 설정돼 있어 해커의 침입을 허용한 것으로 알려졌다. 유출 규모는 직원 개인 지메일 계정 24GB 규모다. SK쉴더스는 지난 18일 한국인터넷진흥원(KISA)에 침해 사실을 신고했으나, KISA로부터 후속조치 지원을 거부했다. 이에 KISA 등 조사기관도 사고 경위를 명확히 파악이 어려운 상황이 벌어졌다.
여러 의문이 있다. 우선 블랙쉬란택이 해킹 사실을 알려왔을 때 왜 대응하지 않았는지다. 물론 랜섬웨어 그룹 등 사이버 범죄자들의 정보를 신용하기 어렵다. 다크웹 등에 유포되고 있는 탈취 데이터들도 가짜인 경우들이 많고, 랜섬웨어 그룹의 주장도 결국 주장일 뿐 실제 해킹 피해가 없는 경우도 빈번하다. 이에 SK쉴더스도 시스템에 직접적인 피해가 발생하지 않은 만큼 해커의 주장에 일일이 대응하지 않았을 것이다.
다만 어느 보안 기업이든 해킹 피해가 발생하면 가짜 정보라는 확신이 들 때까지 제기된 주장에 대한 신빙성은 따져보기 마련이다. 화이트 해커 조직 EQST를 이끌며 랜섬웨어 동향 보고서 발간, 위협 인텔리전스 수집 등 불법 행위 파악에 선제적 분석에 나서고 있는 SK쉴더스가 랜섬웨어 조직의 공격을 대수롭지 않게 생각한 점은 '허니팟'이라 하더라도 납득하기 어렵다.
심지어 지난 17일 기자가 직접 SK쉴더스 측에 "블랙쉬란택의 다크웹에 허니팟이 아닌 실제 데이터로 보이는 인물의 사진이나 보고서 등으로 보이는 캡처가 있다. 유출된 데이터를 직접 보고 허니팟이라 파악을 한 것인가"라고 물었는데, 당시 SK쉴더스 답변은 "진짜처럼 보이게 하기 위해 인위적으로 만들어 놓은 데이터, 즉 허니팟"이라고 밝혔다. 그러나 SK쉴더스는 기자 질문 하루만인 18일에 입장을 180도 선회, KISA에 침해사실을 알렸다. 국민의 힘 최수진 의원이 KISA에서 받은 자료를 분석한 바에 따르면, SK쉴더스는 KISA 신고 이전에 해커에게서 두 차례 경고를 받았고, 또 KISA 신고 5일 전인 13일에 해킹피해 이상징후를 발견한 것으로 알려졌다. 이를 감안하면, SK쉴더스는 기자 질문에 알고도 거짓 답변을 한 것으로 추측된다.
의문은 또 있다. 해커 공격을 분석하기 위해 일부러 공격을 당할 수 있게끔 진짜처럼 위장한 환경에 어째서 보안업체 직원이 진짜 계정을 로그인 했는지도 의문이다. 보안에 취약하다는 자동로그인 설정까지 마친 상태였다. 실수였다고 보기에는 어려운 것이다.
관련기사
- 최수진 의원 "SK쉴더스, 해킹 발견했음에도 뒤늦게 조치"2025.10.20
- "랜섬웨어, 협상없이도 데이터 복구 가능"...SK쉴더스, 보고서 발간2025.10.02
- SK쉴더스, ASM·모의해킹 결합해 기업 보안 사각지대 해소한다2025.10.02
- SK쉴더스, 보안관제 플랫폼 MXDR로 고도화한다2025.09.26
보안 기업 직원의 개인 메일에 회사 내부 자료가 담겨있던 점도 당혹스럽다. 대다수의 기업들이 보안을 위해 자체 이메일 환경을 구축해 사용한다. 언론사만 하더라도 기자 개개인이 회사 이메일을 만들어 사용한다. 그런데 보안 1위 기업에서 사내 메일이 아닌 외부 메일로 업무자료를 공유하고 있었다는 점은 이해하기 어렵다.
이번 해킹은 SK쉴더스에는 치명적이다. 내 정보를 믿고 맡겨야 하는 보안 기업이 터무니없는 이유로 해킹을 당했는데 업계의 신뢰를 받을 리 만무하다. 이번 해킹으로 SK쉴더스가 확보하고 있는 고객사로까지 피해가 번진다면 더 최악이다. 해킹 사태의 실상을 투명하게 밝히고 재발 방지를 위해 대책을 서둘러 마련해야 한다.
