SK쉴더스, SKT·금융사 포함 120개 민간기업·공공기관 정보 유출 확인

직원 개인메일서 15.1GB 유출…정부 조사 착수, 최수진 의원 “고객사 보안대책 시급”

국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 과학기술정보통신부(장관 배경훈, 이하 과기정통부)로부터 제출받은 ‘SK쉴더스 침해사고 대응현황’ 자료에 따르면, SK쉴더스의 내부 직원 2명의 개인 이메일 계정에서 약 15.1GB 분량의 자료가 유출된 것으로 확인됐다.

유출된 자료에는 SK텔레콤을 포함한 120개 민간기업(이 중 금융기관 15개)과 다수 공공기관의 정보가 포함된 것으로 드러났다. 유출 문서에는 ▲고객사의 솔루션 검증 자료 ▲보안관제시스템 관련 보고서 ▲시범적용 테스트 결과 등 민감한 보안 자료가 다수 포함돼 있어 2차 피해 방지를 위한 대응이 시급하다는 지적이 나온다.

과기정통부는 지난 18일 SK쉴더스의 침해사고 신고를 접수하고, 현장 조사를 통해 내부 직원 2명의 개인 이메일 계정에서 다수의 고객사 관련 문서가 외부로 유출된 사실을 확인했다. 해커는 SK쉴더스가 운영하던 해킹 탐지용 시스템 ‘허니팟(Honeypot)’에 로그인돼 있던 직원 메일 계정을 탈취해, 해당 메일함에 저장된 고객사 정보를 다크웹에 게시한 것으로 조사됐다.

해커는 총 24GB의 데이터를 탈취했다고 주장했으나, 과기정통부가 실측한 결과 실제 유출된 자료는 15.1GB로 확인됐다. 해당 메일함에는 2009년부터 누적된 약 8만건의 이메일이 저장돼 있었으며, 그 안에 다수의 기관 및 기업 관련 문서가 포함돼 있었다.

과기정통부는 침해사고 원인 분석을 위한 자료 보전 명령을 SK쉴더스에 통보했으며, 추가 유출 여부 및 피해 범위를 확인하기 위한 현장 조사를 이어가고 있다.

앞서 SK쉴더스는 지난 22일 개인정보보호위원회(위원장 송경희, 이하 개인정보위)에 개인정보 유출 신고를 공식 접수했다. 개인정보위는 즉시 조사로 전환해 “유출 경위와 규모, 개인정보보호법 위반 여부를 면밀히 파악 중”이라고 밝혔다. 한국인터넷진흥원(원장 이상중, KISA) 또한 18일부터 침해사고 신고를 받아 해킹 경로와 시스템 침입 여부를 조사 중이다.

최수진 의원은 “SK쉴더스는 국내 주요 공공기관과 금융기관의 보안관제시스템을 관리하는 대표 기업임에도 내부 계정 보안 관리가 허술했다”며 “고객사 자료 유출이 확인된 만큼, 정부와 기업 모두 추가 피해 확산을 막기 위한 긴급 보안대응에 나서야 한다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network