신생 랜섬웨어 조직 ‘블랙쉬란택’ 소행... 고객사 계정·시스템 정보 등 ‘마스터키’ 유출
늑장 신고 및 개인 메일 사용 의혹 등 ‘총체적 보안 불감증’ 도마 위
[보안뉴스 조재호 기자] 올해 통신 3사를 비롯, 쿠팡, 예스24나 SGI서울보증 등 국민 생활과 직결된 기업에서 대규모 해킹 사고가 연달아 터진 데 더해, 이들 기업에 정보보호 제품과 서비스를 제공하는 대형 보안 기업도 침해 사고를 당하는 일도 있었다.
국내 최대 융합보안 기업 SK쉴더스가 해킹 공격을 받아 내부 핵심 자료가 유출되는 초유의 사태가 발생한 것이다. 해커를 유인하기 위해 설치한 덫인 ‘허니팟(Honey Pot)’이 오히려 취약점의 통로가 되며, 보안 기업이 바이러스의 진원지가 됐다는 비판을 피하기 어렵게 됐다.
[자료: 생성형 AI 이미지]
10월 신생 랜섬웨어 조직 ‘블랙쉬란택(Blackshrantac)’은 SK쉴더스가 금품 요구에 응하지 않자 탈취한 데이터를 공개했다. 유출된 자료에는 고객사 관리자 계정, 비밀번호, 보안 네트워크 시스템 정보, API 등 사실상 보안 서비스의 ‘설계도’이자 ‘마스터키’에 해당하는 민감 정보가 대거 포함된 것으로 확인됐다.
국회 과학기술정보방송통신위원회 최수진 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 이번 유출로 피해를 입은 곳은 주요 금융기관 15곳 등 민간 기업 120곳과 일부 공공기관에 달한다.
이번 사태는 SK쉴더스의 안일한 대응으로 인해 논란이 더욱 증폭되고 있다. 회사는 10월 10일과 13일 두 차례 협박을 받고도 즉각적 조치를 취하지 않다가, 17일 다크웹에 데이터가 게시된 것을 확인한 후인 18일에야 KISA에 침해 사실을 신고했다. 초기엔 “유인용 가짜 자료”라며 사태를 축소하려 했다는 의혹도 제기됐다.
업계에서는 이번 사건을 보안 기업이 오히려 고객사를 위협하는 ‘공급망 공격(Supply Chain Attack)’의 전형으로 보고 있다. 또 SK쉴더스가 ISO/IEC 27001, ISMS-P 등 국내외 주요 보안 인증을 보유하고 있음에도, 직원 개인 메일에 업무 자료를 보관하는 등 기본적 컴플라이언스 관리에 실패했다는 점에서 인증 제도의 실효성에 대한 의구심마저 제기되고 있다.
전문가들은 “기술적 결함보다는 인력 관리와 대응 원칙 미준수라는 인재(人災)에 가깝다”며 “국내를 선도하는 보안 기업에서 발생한 데이터 유출 사고인 만큼 산업 전반의 신뢰도 타격이 불가피할 것”이라고 우려했다.
[조재호 기자(sw@boannews.com)]
늑장 신고 및 개인 메일 사용 의혹 등 ‘총체적 보안 불감증’ 도마 위
[보안뉴스 조재호 기자] 올해 통신 3사를 비롯, 쿠팡, 예스24나 SGI서울보증 등 국민 생활과 직결된 기업에서 대규모 해킹 사고가 연달아 터진 데 더해, 이들 기업에 정보보호 제품과 서비스를 제공하는 대형 보안 기업도 침해 사고를 당하는 일도 있었다.
국내 최대 융합보안 기업 SK쉴더스가 해킹 공격을 받아 내부 핵심 자료가 유출되는 초유의 사태가 발생한 것이다. 해커를 유인하기 위해 설치한 덫인 ‘허니팟(Honey Pot)’이 오히려 취약점의 통로가 되며, 보안 기업이 바이러스의 진원지가 됐다는 비판을 피하기 어렵게 됐다.
[자료: 생성형 AI 이미지]
10월 신생 랜섬웨어 조직 ‘블랙쉬란택(Blackshrantac)’은 SK쉴더스가 금품 요구에 응하지 않자 탈취한 데이터를 공개했다. 유출된 자료에는 고객사 관리자 계정, 비밀번호, 보안 네트워크 시스템 정보, API 등 사실상 보안 서비스의 ‘설계도’이자 ‘마스터키’에 해당하는 민감 정보가 대거 포함된 것으로 확인됐다.
국회 과학기술정보방송통신위원회 최수진 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 이번 유출로 피해를 입은 곳은 주요 금융기관 15곳 등 민간 기업 120곳과 일부 공공기관에 달한다.
이번 사태는 SK쉴더스의 안일한 대응으로 인해 논란이 더욱 증폭되고 있다. 회사는 10월 10일과 13일 두 차례 협박을 받고도 즉각적 조치를 취하지 않다가, 17일 다크웹에 데이터가 게시된 것을 확인한 후인 18일에야 KISA에 침해 사실을 신고했다. 초기엔 “유인용 가짜 자료”라며 사태를 축소하려 했다는 의혹도 제기됐다.
업계에서는 이번 사건을 보안 기업이 오히려 고객사를 위협하는 ‘공급망 공격(Supply Chain Attack)’의 전형으로 보고 있다. 또 SK쉴더스가 ISO/IEC 27001, ISMS-P 등 국내외 주요 보안 인증을 보유하고 있음에도, 직원 개인 메일에 업무 자료를 보관하는 등 기본적 컴플라이언스 관리에 실패했다는 점에서 인증 제도의 실효성에 대한 의구심마저 제기되고 있다.
전문가들은 “기술적 결함보다는 인력 관리와 대응 원칙 미준수라는 인재(人災)에 가깝다”며 “국내를 선도하는 보안 기업에서 발생한 데이터 유출 사고인 만큼 산업 전반의 신뢰도 타격이 불가피할 것”이라고 우려했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
