“허니팟 뚫려 실제 자료까지”…SK쉴더스 해킹 사고로 정보유출 우려

해킹 탐지용 허니팟(가상 유인 시스템)이 실제 정보 유출의 통로가 됐다. 국내 대표 정보보안기업 SK쉴더스가 해커 조직의 공격에 실제 업무 관련 문서를 잃는 사고를 경험했다. 회사는 19일 한국인터넷진흥원(KISA)에 관련 사이버 침해 사고를 공식 신고하며, 내부 보안관리와 디지털 포렌식 체계 강화의 필요성이 산업계 전반에 부각되는 계기가 되고 있다. 보안 업계는 이번 사고를 “허니팟 운용의 한계를 드러낸 사이버 공격 정밀화 경쟁 국면”으로 해석하고 있다.

SK쉴더스는 미국 소재 해킹 그룹 ‘블랙 슈란탁(Black Shrantac)’이 지난 17일 다크웹에서 자신들이 약 24GB 분량의 SK쉴더스 내부 데이터를 탈취했다고 주장하자, 전날 오전 10시께 KISA에 해킹 사실을 정식 신고했다. 해당 해킹 조직은 SK쉴더스 고객사 정보, 시스템 설계도, 인사·급여 자료, 보안 기술 문서, API 인증키 등 민감 정보 확보를 주장하며 증거 이미지를 함께 공개했다.

초기에는 외부 공격이 허니팟에 저장된 가상 데이터만을 겨냥한 것이라는 해명이 이어졌으나, 조사가 진행되면서 실제 직원의 개인 이메일 계정에 연결된 크롬 브라우저가 허니팟 내 가상머신에 자동 로그인돼 있었던 사실이 확인됐다. 이 계정을 통해 해커가 실제 업무 문서까지 접근할 수 있었음이 드러난 것이다. 허니팟은 해커의 침입 경로와 패턴 분석을 위해 운용되는 ‘가짜 시스템’이지만, 연결된 환경에 실제 정보가 남아 있는 경우 리스크로 이어질 수 있음이 드러났다.

SK쉴더스 관계자는 “허니팟과 연결된 브라우저에 직원 개인 G메일 계정이 자동로그인돼 있었다”며 “메일함에 저장된 일부 업무 문서가 유출됐음을 추가로 확인했다”고 했다. 아직은 SK그룹 내부망 유출은 차단됐으나, 메일함 내 고객사 정보 포함 여부를 전수조사하는 중이다. 전자적 침투와 실제 침해 범위가 교차하면서, 보안업계에서도 허니팟 운용·관리 프로토콜 재정립과 메일·브라우저 등 사용자 단 수준의 보안 체계 강화를 과제로 보고 있다.

글로벌 보안 시장에서는 이미 랩 환경(분석용 가상 시스템)과 실업무 시스템의 경계 모호화에 따라 허니팟 관리, 실데이터 격리 기준을 높이는 추세다. 미국, 유럽 주요 보안기업은 실사용 디바이스 내 로그인 세션 자동화 방지를 표준으로 삼고 있다. 국내 보안산업계도 KISA 등 당국의 권고안에 따라 디지털 침해 사고 방지 가이드라인 개정을 논의 중이다.

보안 전문가들은 “가상환경 자동로그인 등 소프트 리스크까지 아우르는 관리체계 혁신이 필요하다”며 “보안체계 복잡화에 대응한 실시간 점검 체계와 사용자 행동 기반 보안 강화가 보편화될 것”으로 분석하고 있다. 산업계는 이번 사건이 국내 사이버보안 산업 전체에 실제 사고 대응 프로세스 정비와 데이터 관리 원칙의 중요성을 재확인시키는 전환점이 될지 주목하고 있다.