“보안기업 허니팟에 뚫렸다”…SK쉴더스, 내부자료 유출 파장

보안기업이 해커 유인용으로 설치한 ‘허니팟’(honey pot) 시스템에서 실제 내부 자료가 유출되는 사건이 발생해 정보보호업계에 충격을 주고 있다. 국내 정보보호 매출 1위 SK쉴더스가 자체 허니팟 서버가 해킹당한 뒤 피해가 확산되면서, 시스템 관리 미숙과 사고 대응 절차에 대한 논란이 불거졌다. 업계는 이번 유출 사태를 ‘보안 신뢰도 경쟁’의 분수령으로 본다.

문제의 발단은 지난 17일, 미국 해커조직 ‘블랙 슈란탁’이 다크웹에 SK쉴더스에서 탈취한 데이터라고 주장하며 대량의 자료를 공개하면서 본격화됐다. 해커들은 시스템 구성도, 고객사 정보, API 인증키, 결제 자료 등 약 24GB에 이르는 자료를 확보했다고 주장했다. SK쉴더스는 “유출된 것은 실제 데이터가 아닌 허니팟 내 가짜 정보”라고 해명했으나, 추가 조사 결과 한 직원의 지메일 계정이 허니팟에 자동 로그인된 상태에서 사용되며 실제 업무 문서까지 노출된 사실이 확인됐다.

허니팟은 외부 해커를 유인해 공격 패턴을 파악하거나 취약점 연구를 목적으로 운영되는 가상 미끼 시스템이다. 그러나 이번 사고는 허니팟 환경이 실제 업무용 계정과 완전히 격리되지 않은 채 운용돼, 해커가 허니팟을 통해 실제 메일함에 접근하고, 보안문서 유출로 이어진 것이 핵심이었다. 보안업계에서는 “테스트 환경과 실업무 계정의 분리, 자동 로그인 해제 등 기본 보안조차 지키지 못했다”는 비판이 제기되고 있다.

SK쉴더스가 사고 이후 KISA에 신고하는 데까지 8일이 걸린 점도 논쟁을 낳았다. 정보통신망법상 침해사고 인지 시점 이후 24시간 이내 신고가 원칙이지만, SK쉴더스는 “법령상 절차엔 문제없다”는 입장을 내놓았다. 허니팟 시스템 내 이상징후 혹은 해커 경고가 ‘실질 인지’로 해석될 소지가 있어 신고시점 논란은 계속될 전망이다. 또한, SK쉴더스는 침해사고 후 KISA 기술지원은 신청하지 않았으며, C-TAS(사이버 위협정보 공유체계) 참여로 대체했다고 밝혔다. 이에 침해 현장 직접 조치가 없었던 점도 도마 위에 올랐다.

글로벌 사이버 보안 트렌드는 허니팟, 샌드박스 등 테스트 시스템의 관리독립성과 자동화 모니터링이 핵심이다. 미국 등 주요 선진국은 테스트 환경 관련 계정관리·격리, 컨테이너화 및 접근통제 기술을 표준화하는 추세다. SK쉴더스 사태는 한국 정보보호 업계가 내부 보안관리 체계를 산업 표준 수준으로 강화해야 함을 보여줬다는 해석이 나온다.

법제 측면에서, 법령상 ‘사고인지 시점’의 해석 범위, 기술지원 거부 시 후속절차 등에 관한 구체적 지침 보완 요구도 대두되고 있다. 전문가들은 “보안기업은 기본 수칙 준수와 모니터링 체계 체계화에 가장 엄격해야 한다”며 “정보보호 산업 신뢰도 자체가 위태로운 상황으로 볼 수도 있다”고 지적하고 있다.

산업계는 이번 SK쉴더스 해킹 사고가 한국 보안관리의 기초와 실전 대응을 재점검하는 계기가 될지 주시하고 있다. 기술 인프라 못지않게 인적·운용적 내부통제와 제도적 균형이 산업 신뢰성의 관건으로 보인다.