 |
| (사진제공=SK 이노베이션 E&S) |
[아시아뉴스통신=강태진 기자] 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당, 남양주갑)은 지난 2월, SK 이노베이션 E&S(이하 ‘SK E&S’)에서 4년 전에 발생한 침해사고 은폐 정황을 제보받았다. 의원실은 즉각 진위여부 파악에 나섰고 두 달간의 긴 조사 끝에 사측은 이를 인정하고 결국 KISA에 신고했다.
최민희 의원실이 한국인터넷진흥원과 SK E&S로부터 받은 자료에 따르면 침해사고는 22년 9월 30일에 발생했으며 이후 11월 3일 일부 사내 구성원의 네트워크 이상 제보가 접수되어 자체 보안점검결과, 다음날 침해사고를 인지했다.
해킹 원인으로는 노후서버 내 S/W 보안 업데이트를 장기간 미실시한 결과, 해커가 노후서버의 보안 취약점을 공략하여 침입했고, 이후 타 서버로 침해가 확산된 것으로 파악됐다. 22년 11월, 1차 침해사고를 인지하고 해킹 흔적 점검, 구성원 패스워드 변경, 서버 포맷 및 재설치, 잔존위협 및 추가공격 탐지를 위한 솔루션 설치 및 운영 대응했지만 한달 뒤인 12월에 2차 침해사고가 탐지되어 추가 보안 조치를 이어나갔다.
1・2차 침투를 통해 사내 계정정보, 서버 내 메일 등 각각 13GB, 2.29GB의 정보가 유출된 것으로 확인됐고, 해킹대응을 하는 과정에서 해킹서버를 백업해두지 않은 상태로 포맷하거나 재설치한 것으로 확인됐다. 이는 분석할 대상 서버들이 모두 사라진 것을 의미하며 당시 기업이 자체 조사한 사항을 중심으로 접근할 수 밖에 없는 한계점이 있다.
 |
| (사진제공=SK 이노베이션 E&S) |
지난 2월, 22년 SK E&S 내부 서버에 침해사고가 발생했었다는 제보가 최민희 의원실로 접수됐다. 의원실은 약 2달간 사실 확인에 들어갔고, 동시에 과기부도 함께 나서자 SK E&S는 결국 3월 26일 KISA에 침해사고 신고 접수를 했다.
현재 정보통신망법에 따르면 침해사고가 발생하면 인지한 시점으로부터 24시간 이내에 정부 측에 신고해야한다. 그러나 SK E&S가 제출한 `22년 보안 침해사고 제출자료에 따르면 침해사고 신고는커녕 이를 자체적으로 처리했으며 이후 침해사고조사에 필요한 해킹 서버들을 폐기하거나 OS 재설치 등 관련 자료들은 현재 일부 사라진 상태이다. 사측이 고의로 자료를 삭제하거나 폐기하는 등 관련 범법행위가 있었다면 형사처벌 대상이다.
현재 과기정통부와 KISA는 현장조사를 위해 SK E&S에 투입돼 침해사고조사를 진행하고 있지만 조사에 필요한 서버들이 폐기되어 난항을 겪고 있다.
SK E&S는 해킹 관련 자료를 보존하지 않고 서버를 폐기한 이유에 대해 최민희 의원실에 “당시 침해사고에 신속히 대응하기 위해 서버를 포맷하거나 보존기한이 지나 폐기한 것일 뿐 고의로 삭제한 것은 아니다”라고 답변했다.
 |
| (사진제공=SK 이노베이션 E&S) |
최민희 의원실이 SK E&S로부터 제출받은 자료에 따르면 22년 11월 4일, 당시 SK E&S CISO는 침해사고 사실을 인지하고 이틀 뒤, 담당 임원에게 침해사고 사실을 보고한 것으로 확인됐다. 또, 당시 보고 받은 임원과 CISO와의 대화록에서 “우리가 비번만 바꾸면 해결되는 건가요?(몰라서 여쭤봅니다)”라는 대화가 오고 간 것이 확인됐고 담당 임원의 과거 근무 이력을 확인한 결과, 그간 인사팀에서만 근무를 해왔던 경영지원부문장으로 밝혀졌다. 이는 SK E&S가 정보보호를 대하는 기업의 한계점을 보여주는 대목이다.
더 나아가, 대표이사에게 침해사고 최초보고가 가기까지 12월 1일, 약 1달여의 시간이 소요됐고 23년 1월 27일 최종 보고가 이루어졌음에도 끝까지 해킹사실을 숨겨왔다.
최민희 의원실은 SK E&S와의 면담에서 정보통신망법에 근거해 침해사고를 인지시점으로부터 24시간 이내에 신고하지 않은 이유에 대해 묻자 “CISO 보고를 통해 침해사고 사실을 인지했지만, 관련 법령에 따라 정부에 신고해야된다는 보고를 받지 못했고, 또 신고 의무사항 존재 여부를 몰랐다”는 황당한 답변을 내놓았다.
추가로 사측은 “정부에 침해사고 사실을 신고하지는 않았지만 매년 발간되는 지속가능경영 보고서에는 침해사고 사실을 공개하여 해킹 사실을 숨기지는 않았다”고 해명했다. 이에 최민희 의원실이 SK E&S가 공개한 지속가능경영 보고서를 확인한 결과, `22년, `23년 발간본에는 단지 ‘정보보안 위반 또는 사이버보안 사고발생 건수’ 1건만을 추가했고, `24년 발간본에는 ‘1)임직원 계정 관리 이슈로, 고객 및 기업의 데이터 손실은 발생하지 않음’이라는 한 문장을 추가하여 침해사고를 축소했다는 비판을 면하기는 힘들어 보인다.
 |
| 최민희./아시아뉴스통신 DB |
최 의원은 “SK E&S는 LNG, 도시가스, 신재생에너지 등 종합 에너지 사업을 수행하는 국가핵심공급시설의 대기업으로 평가받고 있지만 정작 해킹사고를 두곤 침묵했다”면서 “이처럼 민간영역의 국가핵심시설에서 발생한 해킹은 투명성은 물론 정부 측과 긴밀한 관계 속에서 관리・감독이 이루어질 필요성이 있다”며 기업의 책임있는 자세를 요구했다.
또한 “국회가 움직이자 뒤늦게 신고한 것은 물론, 백업조치없이 관련 자료를 폐기하고 포맷한 것은 사고 은폐 의도를 의심할 수밖에 없다”며 “과기정통부는 철저하게 조사하여 진상을 밝혀야 할 것” 이라고 촉구했다.
