【 청년일보 】 국회 과학기술정보방송통신위원회 최민희 위원장은 SK 이노베이션 E&S(이하 SK E&S)에서 지난 2022년 발생한 침해 사고를 은폐한 정황을 확인하고 정부의 철저한 진상 조사를 촉구한다고 9일 밝혔다.

SK E&S는 국회와 정부의 사실 확인 작업이 시작되자 사고 발생 약 4년 만인 지난 3월 26일 한국인터넷진흥원(KISA)에 침해 사고를 신고한 것으로 드러났다.

최 위원장실이 한국인터넷진흥원과 SK E&S로부터 제출받은 자료에 따르면 해당 침해 사고는 2022년 9월 30일에 발생했다.

사측은 같은 해 11월 일부 사내 구성원의 네트워크 이상 제보를 접수해 자체 보안 점검을 실시했으며, 다음 날 사고 사실을 인지했다.

조사 결과 보안 업데이트가 장기간 이뤄지지 않은 노후 서버의 취약점이 해킹 통로로 이용됐으며, 사내 계정 정보와 서버 내 메일 등 총 15GB 상당의 정보가 유출된 사실이 확인됐다.

현행 정보통신망법상 침해 사고를 인지하면 24시간 이내에 정부에 신고해야 한다. 그러나 SK E&S는 사고 인지 후 비밀번호 변경과 서버 포맷 등 자체 대응에만 그쳤을 뿐 신고 의무를 이행하지 않았다.

특히 대응 과정에서 해킹 서버를 백업하지 않은 채 포맷하거나 폐기해 현재 과학기술정보통신부와 한국인터넷진흥원의 현장 조사가 난항을 겪는 상황이다.

내부 보고 절차의 허점도 드러났다. 당시 정보보호최고책임자(CISO)는 사고 인지 직후 담당 임원에게 사실을 보고했으나, 해당 임원은 보안 전문성이 부족한 인사팀 출신 경영지원부문장이었다.

대표이사에게는 사고 인지 약 한 달 뒤인 12월에 최초 보고가 이뤄졌고, 2023년 1월 최종 보고가 완료됐음에도 해킹 사실은 대외적으로 공표되지 않았다.

SK E&S 측은 신고 누락에 대해 “CISO 보고를 통해 침해사고 사실을 인지했지만, 관련 법령에 따라 정부에 신고해야된다는 보고를 받지 못했고, 또 신고 의무사항 존재 여부를 몰랐다”라고 해명했다.

서버 폐기와 관련해서는 “당시 침해사고에 신속히 대응하기 위해 서버를 포맷하거나 보존기한이 지나 폐기한 것일 뿐 고의로 삭제한 것은 아니다”라고 답변했다.

SK E&S는 2024년 발간본에 ‘1)임직원 계정 관리 이슈로, 고객 및 기업의 데이터 손실은 발생하지 않음’이라는 한 문장을 추가하는 데 그쳐 사고 규모를 축소했다는 지적이 제기됐다.

최 위원장은 “SK E&S는 LNG, 도시가스, 신재생에너지 등 종합 에너지 사업을 수행하는 국가핵심공급시설의 대기업으로 평가받고 있지만 정작 해킹사고를 두곤 침묵했다”라며 “이처럼 민간영역의 국가핵심시설에서 발생한 해킹은 투명성은 물론 정부 측과 긴밀한 관계 속에서 관리·감독이 이루어질 필요성이 있다”라고 강조했다.

또한 “국회가 움직이자 뒤늦게 신고한 것은 물론, 백업조치없이 관련 자료를 폐기하고 포맷한 것은 사고 은폐 의도를 의심할 수밖에 없다”라며 과기정통부의 엄정한 조사를 요구했다.

【 청년일보=김재두 기자 】