[이데일리 김현아 기자] 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당, 남양주갑)실에 지난 2월, SK(034730) E&S에서 4년 전 발생한 침해사고 은폐 정황이 제보된 것으로 나타났다. 의원실은 즉시 사실 확인에 나섰고, 두 달간의 조사 끝에 SK E&S는 사건을 인정하며 3월 26일 한국인터넷진흥원(KISA)에 침해사고를 신고했다.

9일 최민희 의원실에 따르면 침해사고는 2022년 9월 30일 발생했으며, 11월 3일 일부 사내 구성원의 네트워크 이상 신고를 계기로 자체 점검 후 다음 날 사고를 인지했다.

침해 원인은 장기간 보안 업데이트가 이뤄지지 않은 노후 서버의 취약점을 해커가 공략한 것이며, 이후 다른 서버로 침해가 확산된 것으로 확인됐다.

1·2차 침투로 사내 계정정보 13GB, 서버 내 메일 2GB 등 총 15GB의 정보가 유출됐다. 사고 대응 과정에서 해킹 서버는 백업 없이 포맷 또는 재설치되면서 분석 대상 서버가 사라진 상태여서 자체 조사에 의존할 수밖에 없는 한계가 있다.

◇4년 만에 해킹 사실 실토 … 서버 폐기 이유는 “신속 대응”

최 의원실에 따르면 SK E&S는 국회와 정부의 확인 요청이 이어지자 4년 만에 해킹 사실을 인정했다. 과기정통부와 KISA는 현장 조사에 착수했지만, 이미 서버가 폐기되거나 OS가 재설치돼 조사에 어려움을 겪고 있다.

SK E&S는 의원실에 “침해사고에 신속히 대응하기 위해 서버를 포맷하거나 폐기했을 뿐 고의로 삭제한 것은 아니다”라고 해명했다.

◇CEO 보고까지 했지만 신고 지연 … “법적 의무 몰랐다”

자료에 따르면, 2022년 11월 4일 최고정보보호책임자(CISO)가 침해사고를 인지하고 이틀 뒤 담당 임원에게 보고했으며, 약 한 달 후인 12월 1일에야 대표이사에게 최초 보고가 이뤄졌다. 최종 보고는 2023년 1월 27일 이루어졌다.

SK E&S는 침해사고 신고 지연 이유에 대해 “CISO 보고로 사실을 알았지만, 관련 법령에 따라 정부에 신고해야 한다는 보고를 받지 못했고, 신고 의무 존재를 몰랐다”고 밝혔다.

또한 사측은 “정부 신고는 하지 않았지만, 지속가능경영 보고서에는 침해사고를 공개했다”고 해명했으나, 실제 보고서에는 단 한 건의 사고 기록만 추가하고, 고객·기업 데이터 손실이 없었다는 한 문장만 덧붙여 사실상 사고 규모를 축소했다는 지적이 나온다.

최민희 의원은 “SK E&S는 국가핵심공급시설을 운영하는 기업임에도 해킹 사고를 은폐했다”며 “민간 영역의 국가핵심시설 해킹은 투명하게 관리·감독될 필요가 있다. 과기정통부는 철저히 조사해 진상을 밝혀야 한다”고 강조했다.