SK이노베이션 E&S(SK E&S)가 4년 전 해킹사고에 관한 침해신고를 최근에야 한 것으로 나타났다.

8일 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원이 한국인터넷진흥원(KISA) 및 SK E&S로부터 제출받은 자료에 따르면 SK E&S는 2022년 9월 30일 서버가 해킹을 당했다. 침해사고 인지는 사내 구성원들의 이상 제보 접수로 같은 해 11월 4일 이뤄졌다.

해커는 보안 업데이트가 장기간 이뤄지지 않았던 노후서버를 통해 침입했고, 이후 다른 서버까지 침해가 확산된 것으로 파악됐다.

당시 정보보안 책임자(CISO)는 사고 인지 이틀 후인 11월 6일 담당 임원에게 사실을 보고했고, 대표이사 최초보고까지 약 1달, 최종보고까지 2달 가량 걸렸다는 게 최 의원 설명이다.

당시 회사측은 해킹 흔적 점검, 구성원 암호 변경, 서버 포맷 및 재설치, 잔존위협 및 추가공격 탐지를 위한 솔루션 설치·운영 등으로 대응했으나 한 달 뒤인 12월에 또 침해사고가 탐지돼 추가 보안 조치를 이어나갔다.

SK E&S는 두 차례 해킹 과정에서 사내 계정정보, 서버 내 메일 등 각각 13GB·2GB 의 정보가 유출된 것으로 파악됐다. 회사는 해킹대응 과정에서 침해 서버를 백업하지 않은 상태로 포맷·재설치한 것으로 확인됐다.

최 의원은 “지난 2월 (침해사고) 제보가 접수됐다”며 “약 2달간 사실 확인에 들어갔고, 동시에 과기부도 함께 나서자 SK E&S 는 결국 3월 26일 KISA에 침해사고 신고 접수를 했다”고 밝혔다.

최 의원은 “정보통신망법에 따르면 침해사고가 발생하면 인지한 시점으로부터 24 시간 이내에 정부측에 신고해야 한다”며 “사측이 고의로 자료를 삭제하거나 폐기하는 등 관련 범법행위가 있었다면 형사처벌 대상”이라고 지적했다.

SK E&S 관계자는 9일 통화에서 “당시 일부 시스템 해킹 흔적이 있어 자발적으로 인지하고 대응을 완료했었다”며 “다만 제 때 신고가 이뤄지지 못한 것은 당시 정보보호 담당 부문의 인지가 부족했기 때문으로 보인다”고 설명했다.

관계자는 “지속가능경영(ESG) 보고서에 침해사실을 보고 하기도 했다”며 “숨길 의도는 전혀 없었다”고 해명했다. 당시 보고서에 ‘고객 및 기업의 데이터 손실은 발생하지 않음’이라고 명시한 부분에 대해서는 “침해 대응 당시에는 악성코드 및 다크웹 흔적이 발견되지 않았다는 뜻”이라며 “현재 당국의 조사에 협조 중”이라고 했다.

이재걸 기자 claritas@naeil.com