SK 이노베이션 E&S(이하 SK E&S)는 4년 전에 발생한 침해사고 은폐 정황을 올해 3월 말에야 한국인터넷진흥원(KISA)에 제보한 것으로 알려졌다. 이 같은 보안사고 신고 조치도 자발적인 조치가 아니었다. 최민희 국회 과학기술정보방송통신위원회 위원장이 앞서 올해 2월, SK E&S의 해킹사고 은폐 정황을 제보받고, 사실 확인 및 조사 후 SK E&S가 인정하며 회사가 신고한 것으로 드러났다.
최민희 의원실과 KISA가 확보한 자료에 따르면 SK E&S에 침해사고가 발생한 때는 2022년 9월 30일이다. 그 이후 11월 3일 일부 직원이 네트워크 이상을 제보했고, 자체 보안 시스템을 점검한 결과 다음날 침해사고가 확인됐다. 침해 원인은 장기간 보안 업데이트가 이뤄지지 않은 노후 서버의 취약점을 해커가 공략한 것이었다. 초기 해킹으로 인한 서버 침입은 다른 서버로도 확산됐다. SK E&S는 해킹 흔적 점검, 패스워드 변경, 서버 포맷 및 재설치, 보안 솔루션 설치 등 대응을 이어갔지만, 한 달 뒤인 12월 또다시 침해사고가 발생했다. 두 차례 공격으로 사내 계정정보와 서버 내 메일 등 총 15GB 이상이 유출됐다.
SK E&S는 침해사고를 인지하고도 법적 신고 의무를 이행하지 않았다는 점에서 논란이 되고 있다. 현행 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)은 침해사고를 인지한 시점으로부터 24시간 이내에 정부에 신고하도록 규정하고 있다. 그러나 SK E&S는 이를 자체적으로 처리했으며, 조사에 필요한 서버를 포맷하거나 폐기해 현재는 증거 확보가 어려워졌다. 이 같은 초기 조치에 대해 사측은 “신속 대응을 위해 서버를 포맷했을 뿐 고의적 삭제는 아니”라고 해명했지만, 은폐 의혹은 여전히 제기되고 있다.
또 당시 침해사고 최초 보고가 대표에게 전달되기까지 한 달 이상이 소요됐으며, 2023년 1월에 최종으로 보고됐다. 그 이후에도 SK E&S는 외부에 해킹 사실을 알리지 않았다. 지속가능경영 보고서에는 단순히 ‘사이버보안 사고 1건’이라는 문구만 추가했을 뿐, 실제 피해 규모와 경과는 축소 기록됐다.
SK E&S의 해킹 사실을 먼저 제보받고 사실 확인 등을 거쳐 회사의 늑장 자발신고까지 끌어낸 최민희 의원은 “SK E&S는 국가 핵심 공급시설을 운영하는 대기업임에도 해킹 사실을 숨겼다”며 “민간 영역의 국가핵심시설에서 발생한 해킹은 투명성과 정부와의 긴밀한 관리·감독이 필수”라고 강조했다. 이어 “늑장 신고와 함께 백업 조치없이 서버 포맷·폐기 등의 행위는 은폐 의도가 있는 만큼, 과기정통부는 철저히 조사해야 할 것”이라고 촉구했다.
이번 사건은 기업의 보안 관리 부실과 법적 의무 불이행이 맞물려 국가 핵심시설의 사이버 보안 취약성을 드러낸 사례가 됐다. 이 같은 의무 불이행을 사전에 차단하기 위해 향후 정부와 국회 차원의 강력한 제도적 대응이 요구되고 있다.
