"SK쉴더스, 내부 직원 메일 24GB 해킹…SKT·KB금융 등 2차 피해 우려"

블랙 슈란탁 해커그룹에 제시한 SK쉴더스 내부 직원 이메일 해킹 관련 근거자료ⓒ최수진 의원실

다크웹 기반 해커그룹 ‘Black Shrantac(블랙 슈란탁)이 해킹한 24GB 가량의 자료가 SK쉴더스 영업기술 직원의 내부자료인 것으로 나타났다. SK쉴더스가 국내 보안 대표 기업인만큼 공공기관, 금융사, 통신사, 반도체 등 핵심 고객사들의 2차 피해가 우려되는 상황이다.

21일 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원이 한국인터넷진흥원으로부터 제출 받은 자료에 따르면 해당 자료에는 고객사 네트워크의 관리자 아이디, 비밀번호, 보안네트워크 시스템, 웹사이트 소스코드·API 키들이 포함돼있다.

앞서 블랙 슈란탁 해커그룹은 다크웹을 통해 SK쉴더스 데이터 24GB 가량 해킹했다고 주장하면서 관련 증거사진 42건을 게시했다.

해커조직들은 2차례에 걸쳐 해킹관련 협박 과정을 통해 SK쉴더스에 대해 거액의 금품요구를 한 것으로 전해졌다. 협박이 통하지 않자 해커들은 다크웹으로 해킹 관련 자료를 게시한 것으로 알려졌다.

의원실은 SK쉴더스가 보안 전문기업인 만큼, 고객사 보안정보 유출이 2차 피해로 이어질 수 있다고 지적했다.

구체적으로 ▲SK텔레콤과 관련한 자료에서는 SK쉴더스에서 제공하는 솔루션을 통한 검증 및 증적자료와 알람과 통보 기능, 자동화 기능에 대한 설명자료가 제시돼있는 것으로 전해졌다.

이에 대해 SKT는 "SK쉴더스에서 밝힌 대로 전체 서비스와 관련 있는 것이 아닌 특정 구성원 메일함에 보관된 일부 업무 문서가 유출된 것"이라며 "SK텔레콤과 관련해 개인정보 등 이슈가 될만한 것은 없는 것으로 모두 확인됐다"고 밝혔다.

아울러 ▲KB금융그룹에 대한 통합보안관제시스템 구축에 대한 기술과 기능 자료 ▲SK 하이닉스의 VEN 상태 검증 자료 및 장애 발생시 대응과 관련한 솔루션 설명자료 ▲금융보안원의 소프트웨어 구성도 및 내부정보제공망과 보안관제망 ▲HD한국조선해양의 PoC 항목 등 보안 관련 내용들이 나열돼있는 것으로 알려졌다.

KB금융지주 측은 이에 대해 "이번 SK쉴더스 내부 자료 유출 건과 관련해 KB금융그룹의 내부 정보나 고객정보는 전혀 유출되지 않았다"면서 "보도에 언급된 KB금융 관련 문서는 SK쉴더스가 사업 제안을 위해 자체 작성한 초안 자료로, 당사 내부자료나 민감정보와는 무관한 내용"이라고 설명했다.

이어 "KB금융그룹은 내부망에서 외부로 파일을 반출할 때 책임자 승인과 암호화 절차를 의무화하는 등 강화된 보안통제를 운영 중이며, 현재까지 정보 유출이나 침해 정황은 확인되지 않았다"고 덧붙였다.

최수진의원은 “국내 통합보안 대표기업인 SK쉴더스가 해킹에 뚫리면서 대한민국의 공공기관, 금융사, 통신사, 반도체 등 핵심 고객사들의 2차 피해가 우려된다”며 “과기부와 키사는 하루빨리 누출된 정보 파악과 함께 추가피해 최소화를 위한 대책마련에 나서야 한다”고 밝혔다.