[로이슈 이상욱 기자] 국회 과방위 민주당 최민희 위원장(남양주갑)은 지난 2월 SK이노베이션 E&S의 4년 전 일어난 침해사고 은폐 정황을 제보 받았다고 밝혔다. 그래서 즉각 진위여부 파악에 나섰고 두 달간의 조사 끝에 회사 측은 마침내 KISA에 보고했다.

최 의원실이 한국인터넷진흥원과 SK E&S로부터 받은 자료에 따르면 침해사고는 22년 9월 발생했으며 이후 11월 일부 사내 구성원의 네트워크 이상 제보가 접수되어 자체 보안점검결과 다음날 침해사고를 인지했다는 것이다.

해킹 원인은 노후서버 내 S/W 보안 업데이트를 장기간 미실시한 결과 해커가 노후서버의 보안 취약점을 공략해 침입했고, 타 서버로 침해가 확산된 것으로 드러났다. 22년 11월 1차 침해사고를 알고 해킹 흔적 점검, 구성원 패스워드 변경, 서버 포맷·재설치, 잔존위협·추가공격 탐지를 위한 솔루션 설치·운영 했지만 한 달 뒤인 12월에 2차 침해사고가 탐지돼 추가 보안 조치를 했다는 것이다.

두차례 침투로 사내 계정정보, 서버 내 메일 등 각각 13GB, 2.29GB의 정보가 유출된 것으로 파악됐고, 해킹 대응 과정에서 해킹서버를 백업해두지 않은 상태로 포맷하거나 재설치한 것으로 나타났다. 이는 분석 대상 서버들이 모두 없어진 것을 말하며 기업이 조사한 사항을 중심으로 접근할 수밖에 없는 상황이다.

올해 2월 22년 SK E&S 내부 서버에 침해사고가 있었다는 제보가 최민희 의원실로 접수돼 의원실은 약 2달간 사실 확인에 들어갔고, 동시에 과기부도 나서자 SK E&S는 결국 3월 26일 KISA에 침해사실 신고를 접수한 것으로 알려졌다.

현재 정보통신망법에 따르면 침해사고가 발생하면 인지한 시점으로부터 24시간 이내에 정부 측에 신고해야 한다. 하지만 SK E&S가 제출한 22년 보안 침해사고 제출 자료엔 침해사고 보고는커녕 침해사고조사에 필요한 해킹 서버들을 폐기하거나 OS 재설치 등 관련 자료들은 현재 일부 사라진 상태다.

알다시피 회사 측이 고의로 자료를 삭제하거나 폐기하는 등 범법행위가 있었다면 형사처벌 대상이다. 현재 과기정통부와 KISA는 현장조사를 위해 SK E&S에 투입돼 침해사고조사를 진행하고 있지만 조사에 필요한 서버들이 폐기돼 난항을 겪고 있는 것으로 전해지고 있다.

SK E&S는 해킹 관련 자료를 보존하지 않고 서버를 폐기한 이유에 대해 “당시 침해사고에 신속히 대응하기 위해 서버를 포맷하거나 보존기한이 지나 폐기한 것일 뿐 고의로 삭제한 것은 아니다”라고 최민희 의원실에 답변했다.

최민희 의원실이 SK E&S로부터 제출받은 자료엔 22년 11월 SK E&S CISO는 침해사고 사실을 인지하고 이틀 뒤 담당 임원에게 침해 사실을 보고했다고 봤다. 또 당시 보고 받은 임원과 CISO와의 대화록에 “우리가 비번만 바꾸면 해결되는 건가요. 몰라서 여쭤봅니다”라는 이야기가 오고 간 것이 확인됐고 담당 임원의 과거 근무 이력을 확인한 결과, 그간 인사팀에서만 근무를 해왔던 경영지원부문장으로 밝혀졌다. 이는 SK E&S가 정보보호를 대하는 한계점을 보여준 대목이다.

더 나아가 대표이사에게 침해사고 최초보고가 있기까지 약 1달여의 시간이 소요됐고 23년 1월 최종 보고가 이뤄졌지만 끝까지 해킹사실을 숨겨왔다. 최민희 의원실은 SK E&S와의 면담에서 정보통신망법에 근거해 침해사고를 인지시점으로부터 24시간 이내에 신고하지 않은 이유에 대해 묻자 “CISO 보고를 통해 침해사고 사실을 인지했지만 관련 법령에 따라 정부에 신고해야 된다는 보고를 받지 못했고, 또 신고 의무사항 존재 여부를 몰랐다”는 답변을 내놨다.

사측은 “정부에 침해사고 사실을 신고하지 않았지만 매년 발간되는 지속가능경영 보고서엔 침해사고 사실을 공개해 해킹 사실을 숨기지 않았다”고 해명했다.

이에 최민희 의원실이 SK E&S가 공개한 지속가능경영 보고서를 확인한 결과, 22년, 23년 발간 본엔 단지 정보보안 위반 또는 사이버보안 사고발생 건수 1건만을 추가했고, 24년 발간 본엔 임직원 계정 관리 이슈로 고객·기업의 데이터 손실은 발생치 않음이라는 한 문장을 추가 했을 뿐이었다는 것이다.

최 의원은 “SK E&S는 LNG, 도시가스, 신재생에너지 등 종합 에너지 사업을 수행하는 대기업으로 평가받고 있지만 정작 해킹사고를 두곤 침묵했다”며 “이처럼 민간영역의 국가핵심시설에서 발생한 해킹이 투명성은 물론 정부 측과 긴밀한 관계 속에서 관리·감독의 필요성이 있다”고 기업의 자세를 꼬집었다.

그러면서 최민희 의원은 “국회가 움직이자 뒤늦게 신고한 것은 물론 백업조치 없이 관련 자료를 폐기하고 포맷한 것은 사고 은폐 의도를 의심할 수밖에 없다”며 “과기정통부는 철저하게 조사하여 진상을 밝혀야 한다”고 거듭 요구했다.

이상욱 로이슈(lawissue) 기자 wsl0394@daum.net