2025.10.16 SK쉴더스 해킹 및 정보유출 정리

 

1. 개요

 - 2025년 10월 16일, 다크웹에 신생 랜섬웨어 해커 그룹 '블랙쉬란택(Blackshrantac)'이 SK쉴더스 데이터 24GB를 탈취했다고 주장하며 시스템 구축 제안서, 시스템 구성, 솔루션 목록, 증명사진 및 진료 기록 등 개인정보를 담은 이미지 40여 개를 샘플로 공개했습니다.​
 - 당초 SK쉴더스는 해당 데이터가 해커 공격 패턴 분석을 위해 의도적으로 설치한 허니팟(Honeypot)의 가짜 데이터라고 공식 발표했습니다.

 - 그러나 10월 17일 추가 조사 결과, 허니팟을 관리하던 직원의 개인 이메일 계정이 악성코드에 감염되어 실제 업무 자료가 유출된 사실이 확인되었습니다.​

 - SK쉴더스는 10월 18일 오전 10시 한국인터넷진흥원(KISA)에 침해 사실을 신고했습니다.​

 

2. 피해 범위

 - 당초 발표와 달리 실제 데이터 유출이 확인되었습니다.

  > 유출 경로: 허니팟에 접속된 직원 개인 이메일 계정이 허니팟에 남아 있던 해커 집단의 악성코드에 감염되어 발생​

  > 유출 대상: 솔루션 사업팀 직원 한 명의 개인 메일 계정에 보관되어 있던 업무용 자료​

  > 회사 시스템 침해 여부: 회사 내부 시스템 자체가 침해된 것은 아니며, 직원 개인 메일이 해킹된 사건으로 파악​

  > 고객사 영향: 고객사의 민감한 정보(시스템 구성, 내부 시스템 정보 등)가 포함되었을 가능성이 높아 SK쉴더스 고객사들의 주의가 필요한 상황​

 

 - 추가 피해 규모 확정 (10월 26~27일)
  > 10월 26일, 최수진 국민의힘 의원이 과학기술정보통신부로부터 제출받은 'SK쉴더스 침해사고 대응 현황'에 따르면 실제 유출 규모는 당초 해커 주장 24GB보다 적은 15GB로 확인되었습니다.​

 

3.유출 항목

 - 다크웹에 공개된 샘플 데이터에는 다음 항목이 포함되었습니다.

  > 시스템 구축 제안서

  > 시스템 구성 정보

  > 솔루션 목록

  > 증명사진 및 진료 기록 등 개인정보

  > 고객사 내부 시스템 정보 등 민감 정보

 - 당초 허니팟 가짜 데이터로 알려졌으나, 실제로는 직원 개인 메일에 보관된 실제 업무 자료가 유출된 것으로 확인되었습니다.​

 

 - 2차 다크웹 공개

  > 21일 해커 조직은 HD한국조선해양 등 또 다른 고객사 자료를 포함한 추가 샘플(이미지 27장 등)을 다크웹에 공개해 압박을 높였습다.​

고객사 2차 피해 가능성:
유출 데이터에는 SK텔레콤, KB금융 등 국내 대형 통신사·금융사 관련 네트워크, 시스템 구성안, 관리자 정보 등이 포함되어 핵심 인프라 기업의 보안망 추가 노출, 2차 사고 가능성을 경고하고 있다. SK텔레콤과 KB금융은 "직접적 고객정보 유출은 없다"고 해명했으나, 업계와 국회, 전문가들은 정부 차원의 합동 조사·긴급대응 필요성을 촉구하고 있다.​

 

 - 유출 경로 및 대상

  >  유출 경로: SK쉴더스 허니팟에 자동로그인 설정되어 있던 내부 직원 2명의 개인 지메일(Gmail) 계정 해킹​

  > 유출 규모: 15GB

  > 피해 범위

• SK텔레콤 솔루션 검증자료
• 금융기관 15개
• 민간기업 120개
• 일부 공공기관 자료​

 - 최수진 의원은 "SK쉴더스 고객사가 1,200여 개에 달하고 SK텔레콤을 비롯한 금융기관과 공공기관들의 보안관제시스템을 비롯한 보안 자료들이 누출된 것이 확인된 만큼 추가 피해를 막기 위한 보안대응이 시급하다"고 지적했습니다.​

4. 원인

 - 사건의 직접적 원인은 허니팟 관리의 보안 허점입니다.

  > 1차 원인 - 허니팟 운영 중 악성코드 잔존: SK쉴더스가 해커 공격 패턴 분석을 위해 운영한 허니팟에 해커 집단이 침투하면서 악성코드를 남겼습니다.​

  > 2차 원인 - 직원 개인 이메일 계정 감염: 허니팟을 관리하던 직원의 개인 이메일 계정이 허니팟에 남아 있던 악성코드에 감염되었습니다.​

  > 3차 원인 - 업무 자료의 개인 메일 보관: 해당 직원이 업무용 자료(고객사 정보 포함)를 개인 메일 계정에 보관하고 있어, 계정 감염 시 업무 자료가 유출되었습니다.​

  > 근본 원인 - 사내 보안 정책 준수 미흡: 민감한 업무 자료가 직원 개인 메일 계정에 보관되는 등 사내 보안 정책 실행에 문제가 있었습니다.​

 

5. 대응
 - 초기 대응 (10월 16일)

  > SK쉴더스는 허니팟 가짜 데이터라고 공식 발표하며, 실제 고객 데이터나 개인정보 유출이 없다고 해명​

  > 해커 그룹의 협박 메일을 받았을 때 허니팟 자료 접근으로 판단하고 별다른 조치를 취하지 않음​

 

 - 추가 조사 및 정정 대응 (10월 17~18일):
  > 사내 화이트 해커 조직 이큐스트(EQST)의 다크웹 모니터링 및 데이터 확인 작업 실시​
  > 특정 직원의 개인 메일 해킹 사실 파악 후 추가 조사 착수​
  > 솔루션 사업팀 직원 한 명의 데이터로 파악하고 전수 조사 진행 결정​
  > 2025년 10월 18일 오전 10시 한국인터넷진흥원(KISA)에 침해 사실 공식 신고​
  > 개인 메일에 업무 자료가 보관된 것과 관련하여 보안 정책에 대한 전사 차원의 조치 예고​

 

- 개인정보보호위원회 정식 조사 착수 (10월 22~23일)

  > 조사 착수 배경

• 개인정보보호위원회는 10월 22일 오후 11시경 SK쉴더스가 개인정보 유출을 신고함에 따라 즉시 정식 조사로 전환했습니다.​

  > SK쉴더스 신고 내용​

• 해커가 직원 개인 이메일 계정에 접근해 자사 및 고객사의 업무 담당자 개인정보(이름, 전화번호, 이메일 등)가 포함된 업무 자료를 유출한 것으로 추정
• 유출 발견 후 72시간 이내 신고 의무보다 24시간 일찍 선제적으로 신고 진행​
• SK쉴더스는 10월 20일 밤 10시 32분경 유출된 자료를 확인하고, 고객사 임직원 정보 유출을 확인한 22일 밤 11시에 개인정보위에 신고​

  > 조사 방향

• 개인정보위는 구체적인 유출 경위와 규모, 개인정보보호법 위반사항 등을 면밀히 확인할 예정이라고 합니다.​

 

6. 문제점

 - 초기 대응의 오판과 지연

  > 10일, 13일 두 차례에 걸쳐 메일을 통해 해킹 사실과 해커 그룹의 금품 협박을 받았을 때 허니팟 데이터 접근으로만 판단하고 실제 유출 가능성을 제대로 확인하지 않음​

  > 당초 "가짜 데이터"라는 공식 발표가 사실과 달라 추가 조사를 통해 정정하는 상황 발생​

 

 - 허니팟 운영의 역효과

  > 허니팟이 공격자를 유인하는 데는 성공했으나, 허니팟에 남은 악성코드가 관리자 PC를 감염시키는 "독"이 되었습니다​.
  > 허니팟과 실제 업무 환경의 격리가 충분하지 않아 관리자 개인 이메일 계정이 감염되는 경로가 발생​

 

 - 내부 보안 정책 준수 미흡
  > 국내 최대 보안 기업임에도 불구하고, 민감한 업무 자료(고객사 시스템 정보 등)가 직원 개인 메일 계정에 보관되어 있었습니다​.
  > 사내 보안 정책 실행과 직원 교육에 근본적인 문제가 있었음을 드러냄​

 

 - 고객사에 대한 2차 피해 우려
  > 유출된 데이터에 고객사의 민감한 정보(시스템 구성, 내부 시스템 정보 등)가 포함되었을 가능성이 높아, SK쉴더스 고객사들에 대한 추가 피해 가능성 존재​
  > 전문가들은 SK쉴더스 고객사들의 각별한 주의가 필요하다고 경고​

 

 - 브랜드 신뢰도 심각한 타격
  > 국내 매출 2조원 규모의 대표 융합보안 기업으로서, 데이터 유출 사고 자체도 문제지만 초기 대응 오류로 신뢰도에 더 큰 타격​
  > "믿었던 돌에 발등 찍혔다"는 업계 및 고객사들의 비판 불가피​

 

 - 커뮤니케이션 실패
  > 처음에는 "가짜 데이터"라고 발표했다가 하루 만에 "실제 유출" 사실을 인정하면서 대외 신뢰도 추락​
  > 침해 사실 확인 후 24시간 이내 KISA 신고 의무가 있음에도 초기 판단 오류로 신고 지연 발생​

 

- 2차 다크웹 공개 및 고객사 피해 확산 (10월 21일)
  > 추가 데이터 공개

10월 21일 해커 조직 블랙쉬란택은 HD한국조선해양 등 또 다른 고객사 자료를 포함한 추가 샘플(이미지 27장 등)을 다크웹에 공개해 압박을 높였습니다.​

 

 - 주요 고객사 2차 피해 우려​

  > 다크웹에 공개된 자료에는 다음 고객사 관련 정보가 포함되었습니다

• SK텔레콤: 솔루션 검증 및 증적자료, 알림·통보 기능, 자동화 기능 설명서
• KB금융그룹: 통합보안관제시스템 구축 기술자료
• SK하이닉스: VEN 상태 검증자료 및 장애 대응 솔루션
• 금융보안원: 소프트웨어 구성도, 내부정보제공망, 보안관제망
• HD한국조선해양: PoC(개념증명) 항목 자료

 

  > 유출된 자료에는 고객사 네트워크 관리자 아이디·비밀번호, 보안네트워크 시스템 구성도, 웹사이트 소스코드, API 키 등 민감정보가 포함되었습니다.​

 - 고객사 해명​​

• SK텔레콤과 KB금융은 "직접적 고객정보 유출은 없다"고 해명했으나, 전문가들은 보안망과 방어시스템에 대한 상세 설명이 해커의 추가 공격에 악용될 가능성을 경고했습니다.​

 

 - 정부·국회 대응 (10월 21일)

  > 과기정통부 후속 조치​

• 류제명 과학기술정보통신부 2차관은 10월 21일 국회 과방위 국정감사에서
• "SK쉴더스가 고객사에 직접 연락해 모든 조치를 강구하도록 했으며 자세한 내용을 파악 중"
• "유출된 이메일 내용을 상세히 들여다보고 있다"
• "여러 측면에서 부족한 점들을 면밀히 들여다보고 개선점을 찾겠다"
• 과기정통부는 SK쉴더스에 침해사고 원인 분석을 위한 자료보전 및 제출요구 공문을 발송하고 현장 조사를 진행했습니다.​

 

 - 국회 지적사항​

  > 최수진 의원은

• "국내 통합보안 대표기업이 해킹에 뚫리면서 공공기관, 금융사, 통신사, 반도체 등 핵심 고객사 2차 피해가 우려된다"
• "과기정통부와 KISA는 민·관 합동조사단을 구성해 신속히 대응해야 한다"
• "10월 10일 이후 두 차례나 해커가 경고했는데 3~4일이 지나도록 대응하지 않고 있다"

 

 - 늑장 대응 논란 지속 (10월 19~20일)

  > 해킹 경고 무시 타임라인​

• 10월 10일 오후 6시 57분: 블랙쉬란택으로부터 1차 해킹 경고 메일 수신
• 10월 13일 오전 8시: 관련 내용 내부 공유
• 10월 13일 오전 9시 20분: 테스트 서버 차단 및 네트워크 단절 조치
• 10월 13일 오전 11시 38분: 2차 해킹 경고 메일 수신
• 10월 13일: 테스트 시스템 접속 불가 이상징후 인지했으나 "자체 시스템 환경이 정상 동작"으로 오판​
• 10월 17일 오전 11시: 다크웹에 자사 정보 업로드 확인 후에야 침해 사실 인지
• 10월 17일 오후 4시: 직원 개인 지메일 계정 첨부파일 유출 사실 확인​
• 10월 18일 오전 10시 3분: KISA에 침해 신고​

 

 - KISA 후속조치 지원 거부 논란​

SK쉴더스는 KISA에 침해 신고는 했지만 "피해지원 서비스와 후속조치 지원을 모두 거부"했습니다.

이로 인해 KISA와 과기정통부는 현재 진상파악에 어려움을 겪고 있는 것으로 알려졌습니다.​

 

 - 업계 불안감 확산 (10월 23~24일)

  > 유출 데이터 미확인 혼란​

• 해킹을 인지한 지 일주일이 지났지만 어떤 데이터가 유출되었는지 정확히 공개하지 않아 혼란 가중
• 현재까지 확인된 데이터는 영업용 제안서와 참고 문건 등으로 파악되나, 해커 주장대로 24GB(실제 15GB)를 빼돌렸다면 나머지 내용 불명
• SK쉴더스는 "KISA 조사 결과가 나오기 전에 언급하기 어렵다"는 입장​

 

 - 고객사 특수성​

• 보안 기업 특성상 고객사 관련 정보가 보안사항인 경우가 많아 다크웹 공개 자료가 고객사 정보가 맞는지도 말할 수 없다는 입장
• SK쉴더스와 직간접적으로 관계했던 기업들은 자사 데이터 유출 가능성에 불안감

 

 - 허니팟 운영 실패 분석 (10월 17~20일)

  > 허니팟 설정 문제​

• 9월 26일 허니팟 테스트 환경 구성(Victim 서버, AD서버, 관리PC 생성)
• 보안 테스트 중 개인 메일함(Gmail) 자동 로그인 설정으로 정보 노출
• 허니팟과 실제 업무 환경의 격리 불충분
• 허니팟에 남아있던 악성코드가 관리자 개인 이메일 계정 감염

 

 - 내부 보안정책 미흡​

• 국내 최대 보안기업임에도 민감한 업무 자료(고객사 시스템 정보 등)가 직원 개인 메일 계정에 보관
• 보안 기업의 내부 거버넌스와 정보 통제 문제 노출
• 직원이 개인 이메일에 고객사 정보 등 업무용 자료를 대량 저장한 것은 민감 데이터 통제 실패를 의미​

 - 종합 평가
  > 2025년 SK쉴더스 해킹 사건은 허니팟 운영이 역효과를 낳은 전형적인 사례이자, 보안 기업의 내부 보안 정책 준수 실패를 보여준 심각한 사건입니다.​
  > 당초 "해커를 유인한 가짜 데이터"라던 발표가 하루 만에 "직원 개인 메일 해킹으로 실제 데이터 유출"로 정정되면서, SK쉴더스의 초기 대응 오류와 내부 보안 관리의 허점이 동시에 드러났습니다.​
  > 특히 국내 최대 보안 기업의 직원이 고객사 민감 정보를 개인 메일에 보관하고 있었다는 점은, 보안 정책의 실효성에 대한 근본적인 의문을 제기합니다.

  > 이번 사건은 허니팟 운영 시 관리자 환경의 철저한 격리, 업무 자료 관리 정책 준수, 초기 사고 대응의 정확성이 얼마나 중요한지를 보여주는 교훈적 사례로 평가됩니다.​

  > 이번 SK쉴더스 해킹 사건은 10월 18일 KISA 신고 이후

• 10월 20~21일: 늑장 대응 논란과 고객사 2차 피해 우려 부각
• 10월 22~23일: 개인정보보호위원회 정식 조사 착수
• 10월 26일: 실제 유출 규모 15GB로 확정, 직원 2명 이메일 경로 확인, 120개 민간기업·15개 금융기관·일부 공공기관 정보 유출 확인