SK쉴더스의 추락, '어이없는 실수'...K-보안 신뢰를 무너뜨리다

[이코노믹데일리] 지난 4월 발생한 유심(USIM) 해킹 사태 이후 SK텔레콤이 고객 신뢰 회복을 위해 쏟아붓고 있는 막대한 비용은 5000억원에 달한다. 통신요금 50% 감면과 50GB 데이터 추가 제공 등 전례 없는 보상안을 내세우며 쇄신을 약속했지만 그 노력이 물거품이 될 위기에 처했다. 그룹의 보안을 책임져야 할 ‘방패’인 SK쉴더스가 오히려 SK텔레콤의 심장을 겨누는 아킬레스건이 되고 있기 때문이다.

사태의 전말은 단순한 기술적 실수를 넘어선다. 국회 과학기술정보방송통신위원회 소속 최수진 의원이 지난 20일 공개한 자료에 따르면 SK쉴더스의 대응 과정은 총체적 부실로 점철돼 있었다. 회사는 해킹을 알리는 경고 메일을 지난 10일과 13일 두 차례 받았으나 이를 실제 위협으로 판단하지 않고 무시했다.

다크웹에 내부 자료가 공개된 17일에야 사태의 심각성을 파악했다. 최초 경고를 받은 지 일주일이 지난 시점이었다. 한국인터넷진흥원(KISA)에 대한 공식 신고는 그 다음 날인 18일에 이뤄졌다. 정보통신망법상 '24시간 내 신고' 규정을 지키지 않았을 가능성이 커 명백한 늑장 대응으로 평가된다.

더욱 충격적인 부분은 신고서에서 드러난 SK쉴더스의 태도다. KISA에 제출한 신고서의 '피해지원'과 '후속 기술 지원 요청' 항목에 회사는 모두 '거부'로 표시했다. 국가 기관의 공식 조사와 지원을 거부한 것은 사이버 보안업계의 상식선에서 크게 벗어난 대응이다.

과기정통부가 27일 추가로 공개한 조사 현황은 어이없음을 더한다. 해킹의 발단은 해커를 유인하기 위해 설치한 허니팟(Honeypot) 시스템에서 비롯됐다. 문제는 SK쉴더스가 해당 허니팟에 자사 직원 2명의 개인 이메일을 자동 로그인되도록 설정해 둔 것이다. 보안업계의 기본 원칙인 접근 통제와 권한 분리를 스스로 무너뜨린 상상하기 어려운 실수다. 한 보안업계 관계자는 "보안기업은 작은 실수도 용납되지 않는데 SK쉴더스의 대응은 선도 기업으로서 이해하기 어렵다"고 말했다.

유출된 15.1GB의 데이터에는 SK텔레콤의 솔루션 검증 자료뿐 아니라 15개 금융기관을 포함한 120개 고객사의 보안관제시스템 구축 정보와 테스트 결과가 포함돼 있었다. 이는 사실상 국가 기간망과 금융 시스템의 설계도와 약점 보고서를 해커에게 그대로 넘겨준 셈이다. 최 의원은 "금융·공공기관의 보안관제시스템 자료들이 누출된 만큼 추가 피해를 막기 위한 긴급 대응이 필요하다"고 경고했다.

SK쉴더스의 이번 실수는 SK텔레콤의 신뢰 회복 노력을 크게 훼손했다. SK쉴더스는 2021년 SK스퀘어에서 분할된 뒤 사모펀드 EQT파트너스에 매각됐지만 SK스퀘어가 여전히 32%의 지분을 보유하고 있어 그룹의 핵심 계열사 보안을 총괄하는 위치에 있다. 'SK'라는 이름의 무게를 함께 짊어진 운명 공동체인 만큼 이번 사태는 개별 기업 차원을 넘어 브랜드 전체의 신뢰 위기로 번질 조짐을 보인다.