[3줄 요약]
1. 해커 조직 ‘블랙쉬란택’, 21일 다크웹에 추가 자료 공개
2. 고객사 관련 시스템 구성이나 취약점 정보 넘어갔다면 2차 피해 우려
3. 보안 대표 기업 거버넌스 제대로 갖추고 있었나
[보안뉴스 조재호 기자] SK쉴더스 데이터를 탈취했다고 주장하는 해커 집단 ‘블랙쉬란택’(Blackshrantac)이 21일 다크웹에 추가 자료 샘플을 공개했다.
이들은 고객 및 직원 정보 등이 담긴 이미지 27장을 추가 공개했다. 여기엔 1차 공개 때 드러난 고객사 외에도 HD한국조선해양 관련 자료 등이 새로 포함돼 있었다.
SK쉴더스가 당초 해커를 유인하기 위한 ‘허니팟’(honeypot)의 가짜 데이터가 빠져나간 것이라는 입장을 바꿔 18일 침해 사실을 한국인터넷진흥원(KISA)에 신고해 논란이 커지는 가운데, 블랙쉬란텍이 추가 자료를 공개하며 압박에 나선 것이다.
▲해커 조직 ‘블랙쉬란택’에서 21일 다크웹에 추가 공개한 SK쉴더스 유출 데이터 샘플 [자료: 다크웹]
고객사 내부 시스템 정보 유출 등으로 인한 추가 피해 우려가 제기되면서 이날 열린 국회 과학기술정보방송통신위원회 국정감사에서도 SK쉴더스 관련 질의가 이어졌다.
논란이 지속되는 가운데 침해 사고 대비에서 사후 대응에 이르는 SK쉴더스 행보가 적절했는지 의문도 제기된다. 국내 대표 보안 기업으로서 내부 거버넌스와 신뢰도마저 흔들릴 수 있다는 우려다.
대표 보안 기업, 자체 거버넌스는 미흡?
SK쉴더스는 해킹 발생 이후 두 차례 침해 사실을 인지할 기회가 있었지만, 이를 간과해 조치가 늦어졌다.
10일과 13일 두 번에 걸쳐 블랙쉬란택의 해킹 공격 관련 정보를 받았지만, 시스템상 문제가 발생하지 않자 별다른 조치 없이 내부 보고만으로 상황을 마무리했다. 반응이 없는 것을 확인한 해커들은 17일 다크웹에 SK쉴더스 관련 정보를 올렸다.
해당 데이터들은 SK쉴더스 직원의 개인 이메일 계정에 담겨있던 것으로, 규모가 24GB에 이른다. SK쉴더스는 18일 오전 KISA에 침해 사실을 신고했으나, 후속조치 지원은 거부했다.
회사 측은 허니팟에 접속된 개인 이메일 데이터가 탈취 당한 것이며, 사내 시스템 침해는 아니라고 설명했다.
하지만 보안기업으로서 내부 정보 통제나 관리 거버넌스에 문제가 있는 것 아니냐는 비판도 나온다.
“허니팟에 연구개발 외 다른 인력 접근 의문”
직원이 개인 이메일 계정에 고객사 정보 등 업무용 자료를 대량으로 저장한 것은 민감한 데이터에 대한 통제가 제대로 안 됐음을 보여준다.
블랙쉬란택이 공개한 데이터 샘플에는 SK쉴더스가 제공하는 솔루션을 통한 검증 및 증적자료를 비롯해 고객사들의 통합보안관제 시스템 구축 자료, VEN 상태 검증 자료 및 장애 대응 솔루션, 소프트웨어 구성도 및 내부정보제공망, 보안관제망, 개념증명(PoC) 항목 등이 다수 포함됐다.
침해 채널이 된 허니팟에 연구개발직이 아닌 솔루션 영업 인력이 접근 가능했다는 점도 적절치 않은 대목이다. 허니팟은 기업이 해커를 유인해 공격 방식을 분석하기 위해 만든 함정이다. 통상 보안 업계에선 기술 검증을 위해 허니팟을 운영하며 공격자 행태와 기술력 등을 파악한다.
한 보안 전문가는 “이번 사태에서 가장 처음 든 의문은 ‘사업팀’이 해커 패턴을 분석하고 연구하는 기업의 ‘연구개발’(R&D) 영역에 접근했다는 점”이라며 “SK쉴더스가 허니팟 관련 영업을 하는 회사도 아닌데 의아하다”고 말했다.
또 다른 보안 스타트업 대표는 “우리도 허니팟을 운영하지만, 극히 제한된 인원 외에는 접근을 강하게 통제한다”며 “어떤 돌발 변수가 발생할지 모르는 공간인 만큼 연구 인력 외엔 대표조차 접근 권한이 없다”고 말했다.
해커 접촉 시도에 대한 SK쉴더스의 대응도 아쉬움이 남는다. 통상적으로 해커 주장을 신뢰하기 힘든 것은 사실이다. 자료 공개에 앞서 회사도 자체 조사와 시스템 현황 파악 등을 통해 대응 여부를 결정했을 것으로 보인다. 다만, ‘끊임없이 의심하라’는 화이트해커 원칙에 충실했는지 의문이다. SK쉴더스는 국내 최대 화이트해커 조직 이큐스트(EQST)를 운영하고 있기도 하다.
“투명한 소통, 2차 피해 예방 나서야”
SK쉴더스는 KISA 침해 사고 신고 이후 후속 조치 지원은 거절했다. 이는 기업의 선택사항이지만, 투명한 현황 공유를 통해 신뢰를 회복해야 한다는 의견이 지배적이다. SK쉴더스가 대형 고객사의 시스템 내부 구성 정보나 취약점 등 민감 정보를 다루는 만큼 침해 사고로 인한 2차 피해가 더 커질 수 있기 때문이다.
최수진 국민의힘 의원은 “국내 통합보안 대표기업 SK쉴더스가 해킹에 뚫리면서 대한민국 공공기관, 금융사, 통신사, 반도체 등 핵심 고객사 2차 피해가 우려된다”며 “과기정통부와 KISA는 유출 정보 파악과 함께 추가 피해 최소화 대책 마련에 나서야 한다”고 밝혔다.
KISA의 후속 조치 지원을 경험한 보안담당자는 “지원 여부는 선택이지만, 기업 신뢰 회복을 위한 조사 현황 공개는 필수”라고 강조했다. 외부 주목도가 높은 침해 사건은 유언비어나 잘못된 정보가 퍼지기 쉽고, 격무에 시달릴 내부 직원을 위한 의사소통도 중요하다는 게 그 이유다.
한 보안전문가는 “보안 기업은 기술뿐만 아니라 ‘신뢰’라는 무형의 가치도 함께 판매한다”며 “’우리에게 맡기면 안전하다’는 약속도 판매하는 것인데, 최근 발생한 내부 자료 유출은 이 ‘신뢰’의 근간을 흔들고 있다”고 말했다.
[조재호 기자(sw@boannews.com)]
1. 해커 조직 ‘블랙쉬란택’, 21일 다크웹에 추가 자료 공개
2. 고객사 관련 시스템 구성이나 취약점 정보 넘어갔다면 2차 피해 우려
3. 보안 대표 기업 거버넌스 제대로 갖추고 있었나
[보안뉴스 조재호 기자] SK쉴더스 데이터를 탈취했다고 주장하는 해커 집단 ‘블랙쉬란택’(Blackshrantac)이 21일 다크웹에 추가 자료 샘플을 공개했다.
이들은 고객 및 직원 정보 등이 담긴 이미지 27장을 추가 공개했다. 여기엔 1차 공개 때 드러난 고객사 외에도 HD한국조선해양 관련 자료 등이 새로 포함돼 있었다.
SK쉴더스가 당초 해커를 유인하기 위한 ‘허니팟’(honeypot)의 가짜 데이터가 빠져나간 것이라는 입장을 바꿔 18일 침해 사실을 한국인터넷진흥원(KISA)에 신고해 논란이 커지는 가운데, 블랙쉬란텍이 추가 자료를 공개하며 압박에 나선 것이다.
▲해커 조직 ‘블랙쉬란택’에서 21일 다크웹에 추가 공개한 SK쉴더스 유출 데이터 샘플 [자료: 다크웹]
고객사 내부 시스템 정보 유출 등으로 인한 추가 피해 우려가 제기되면서 이날 열린 국회 과학기술정보방송통신위원회 국정감사에서도 SK쉴더스 관련 질의가 이어졌다.
논란이 지속되는 가운데 침해 사고 대비에서 사후 대응에 이르는 SK쉴더스 행보가 적절했는지 의문도 제기된다. 국내 대표 보안 기업으로서 내부 거버넌스와 신뢰도마저 흔들릴 수 있다는 우려다.
대표 보안 기업, 자체 거버넌스는 미흡?
SK쉴더스는 해킹 발생 이후 두 차례 침해 사실을 인지할 기회가 있었지만, 이를 간과해 조치가 늦어졌다.
10일과 13일 두 번에 걸쳐 블랙쉬란택의 해킹 공격 관련 정보를 받았지만, 시스템상 문제가 발생하지 않자 별다른 조치 없이 내부 보고만으로 상황을 마무리했다. 반응이 없는 것을 확인한 해커들은 17일 다크웹에 SK쉴더스 관련 정보를 올렸다.
해당 데이터들은 SK쉴더스 직원의 개인 이메일 계정에 담겨있던 것으로, 규모가 24GB에 이른다. SK쉴더스는 18일 오전 KISA에 침해 사실을 신고했으나, 후속조치 지원은 거부했다.
회사 측은 허니팟에 접속된 개인 이메일 데이터가 탈취 당한 것이며, 사내 시스템 침해는 아니라고 설명했다.
하지만 보안기업으로서 내부 정보 통제나 관리 거버넌스에 문제가 있는 것 아니냐는 비판도 나온다.
“허니팟에 연구개발 외 다른 인력 접근 의문”
직원이 개인 이메일 계정에 고객사 정보 등 업무용 자료를 대량으로 저장한 것은 민감한 데이터에 대한 통제가 제대로 안 됐음을 보여준다.
블랙쉬란택이 공개한 데이터 샘플에는 SK쉴더스가 제공하는 솔루션을 통한 검증 및 증적자료를 비롯해 고객사들의 통합보안관제 시스템 구축 자료, VEN 상태 검증 자료 및 장애 대응 솔루션, 소프트웨어 구성도 및 내부정보제공망, 보안관제망, 개념증명(PoC) 항목 등이 다수 포함됐다.
침해 채널이 된 허니팟에 연구개발직이 아닌 솔루션 영업 인력이 접근 가능했다는 점도 적절치 않은 대목이다. 허니팟은 기업이 해커를 유인해 공격 방식을 분석하기 위해 만든 함정이다. 통상 보안 업계에선 기술 검증을 위해 허니팟을 운영하며 공격자 행태와 기술력 등을 파악한다.
한 보안 전문가는 “이번 사태에서 가장 처음 든 의문은 ‘사업팀’이 해커 패턴을 분석하고 연구하는 기업의 ‘연구개발’(R&D) 영역에 접근했다는 점”이라며 “SK쉴더스가 허니팟 관련 영업을 하는 회사도 아닌데 의아하다”고 말했다.
또 다른 보안 스타트업 대표는 “우리도 허니팟을 운영하지만, 극히 제한된 인원 외에는 접근을 강하게 통제한다”며 “어떤 돌발 변수가 발생할지 모르는 공간인 만큼 연구 인력 외엔 대표조차 접근 권한이 없다”고 말했다.
해커 접촉 시도에 대한 SK쉴더스의 대응도 아쉬움이 남는다. 통상적으로 해커 주장을 신뢰하기 힘든 것은 사실이다. 자료 공개에 앞서 회사도 자체 조사와 시스템 현황 파악 등을 통해 대응 여부를 결정했을 것으로 보인다. 다만, ‘끊임없이 의심하라’는 화이트해커 원칙에 충실했는지 의문이다. SK쉴더스는 국내 최대 화이트해커 조직 이큐스트(EQST)를 운영하고 있기도 하다.
“투명한 소통, 2차 피해 예방 나서야”
SK쉴더스는 KISA 침해 사고 신고 이후 후속 조치 지원은 거절했다. 이는 기업의 선택사항이지만, 투명한 현황 공유를 통해 신뢰를 회복해야 한다는 의견이 지배적이다. SK쉴더스가 대형 고객사의 시스템 내부 구성 정보나 취약점 등 민감 정보를 다루는 만큼 침해 사고로 인한 2차 피해가 더 커질 수 있기 때문이다.
최수진 국민의힘 의원은 “국내 통합보안 대표기업 SK쉴더스가 해킹에 뚫리면서 대한민국 공공기관, 금융사, 통신사, 반도체 등 핵심 고객사 2차 피해가 우려된다”며 “과기정통부와 KISA는 유출 정보 파악과 함께 추가 피해 최소화 대책 마련에 나서야 한다”고 밝혔다.
KISA의 후속 조치 지원을 경험한 보안담당자는 “지원 여부는 선택이지만, 기업 신뢰 회복을 위한 조사 현황 공개는 필수”라고 강조했다. 외부 주목도가 높은 침해 사건은 유언비어나 잘못된 정보가 퍼지기 쉽고, 격무에 시달릴 내부 직원을 위한 의사소통도 중요하다는 게 그 이유다.
한 보안전문가는 “보안 기업은 기술뿐만 아니라 ‘신뢰’라는 무형의 가치도 함께 판매한다”며 “’우리에게 맡기면 안전하다’는 약속도 판매하는 것인데, 최근 발생한 내부 자료 유출은 이 ‘신뢰’의 근간을 흔들고 있다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
