민기식 SK쉴더스 대표. /그래픽=강지호 기자


국내 대표 보안기업 SK쉴더스가 해킹 사태로 곤욕을 치르는 가운데 개인정보 유출 이후 수습에 힘을 쏟는 SK텔레콤의 발목을 잡고 있다. SK텔레콤이 수익성 악화를 감수하며 고객 신뢰 회복에 만전을 기하고 있지만 긴밀한 관계인 SK쉴더스가 보안 기업으로서 치명상을 입은 탓에 고심이 깊다. 애써 쌓은 노력들이 SK쉴더스의 실책으로 빛이 바랜다는 평가다.


개인정보보호위원회는 최근 SK쉴더스가 신고한 개인정보 유출 건에 대해 정식 조사에 착수했다. SK쉴더스는 지난 22일 자사 및 고객사 담당자 이름, 전화번호, 이메일 등이 외부로 유출된 정황이 포착됐다고 신고했다. 앞서 과학기술정보통신부는 지난 18일 현장 조사를 진행 중이이다.

국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원실이 과기정통부로부터 제출받은 'SK쉴더스 침해사고 대응 현황'에 따르면 해커는 15기가바이트(GB) 분량의 자료를 훔쳤다. SK텔레콤 설루션 검증자료를 비롯해 보안관제시스템 구출자료, 고객사들의 시범적용 테스트 결과 등이 유출됐다. SK텔레콤은 물론 주요 금융기관 15곳을 비롯한 민간기업 120곳, 일부 공공기관의 정보가 빠져나간 것이다.


SK쉴더스 고객사는 1200여개(공공 230개, 금융 185개, 민간기업 786개)에 달해 2차 피해가 우려된다는 시각이 많다. SK쉴더스가 해커들을 유인하기 위해 만든 허니팟에 자사 직원 2명의 개인메일이 자동로그인돼 해커들이 고객사 정보를 다크웹에 게시한 것으로 알려진다.

보안기업으로서 기본적 방어 체계가 허술했다는 비판이 제기된다. 보안업계 관계자는 "보안기업은 한 번의 실수가 용납되지 않는만큼 강도 높은 검열을 거친다"며 "SK쉴더스의 대처는 1위 보안 기업으로선 이해하기 어렵다"고 말했다.


대응 과정에서의 미숙함도 논란을 낳았다. 사고 발생 시점은 지난 10일로 해커로부터 두 차례 경고를 받기도 했지만 한국인터넷진흥원(KISA) 정식 신고는 약 8일이 지난 18일 이뤄졌다. 사고 초기 사태를 관망하던 SK쉴더스는 추가 유출 가능성이 커지고 나서야 당국에 뒤늦게 알렸다.

SK쉴더스는 현재 글로벌 사모펀드 운용사 'EQT파트너스'가 68%, SK스퀘어가 32%의 지분을 보유하고 있다. 박정호 전 SK스퀘어 부회장이 주도한 지분 정리를 통해 경영상 통제력을 낮췄지만 여전히 SK텔레콤과 SK하이닉스 등 그룹 핵심 계열사의 보안 관제를 담당하고 있다. SK쉴더스는 SK텔레콤의 외주 보안도 관리하고 있다.


이러한 구조는 SK텔레콤의 부담으로 이어진다. SK텔레콤은 지난 4월 유심 해킹 사태 이후 8월 통신요금 50% 감면 및 연말까지 50GB 데이터 추가 제공 등 5000억원 규모의 파격적인 고객 보상안을 시행 중이다. 번호이동시 위약금 면제도 한시적으로 진행했고 대대적인 보안 강화 계획도 소개하면서 수습에 전력을 다했다. SK쉴더스에서 보안 사고가 발생하면서 이미지 타격이 불가피해졌다는 분석이다.