SK쉴더스 해킹 사건 발생, 허니팟으로 해커 유인하다 역이용 당해

SK쉴더스 해킹 사건 발생, 허니팟으로 해커 유인하다 역이용 당해

---

□ 3줄 요약


1. 국내 대표 보안업체 SK쉴더스, 해커 유인용 ‘허니팟’에서 실제 직원 이메일 계정이 노출되며 자료 일부 유출


2. 가상머신 내 자동로그인된 이메일 세션이 문제였으며, 이는 “가짜 시스템에 진짜 계정이 섞인” 관리 실수로 드러남


3. 보안기업조차 내부 통제와 사람의 습관 관리가 미흡하면 사고를 피할 수 없다는 점을 보여준 ‘보안 거버넌스 경고 사건’

---

□ 보안회사가 털렸다? SK쉴더스 사건 개요


10월 17일, 해커그룹 ‘블랙 슈란탁(Black Shrantac)’이 다크웹에 “SK쉴더스를 해킹했다”며 게시물을 올렸습니다.


그들은 고객정보, 인사·급여 자료, 보안 기술문서, API 키 등 24GB 분량의 데이터를 탈취했다고 주장했습니다.


SK쉴더스는 즉시 “실제 해킹이 아닌, 해커를 유인하기 위한 허니팟(honeypot)에서 나온 가짜 데이터”라며 진화에 나섰습니다.


하지만 이후 내부 점검 과정에서 “일부 진짜 자료가 포함됐다”는 정황이 드러나면서 논란이 커졌습니다.


□ 허니팟은 왜 필요했나 — 해커 유인 전략의 배경


SK쉴더스는 실제 해커의 공격 패턴을 연구하기 위해 ‘허니팟’이라는 가짜 시스템을 운영했습니다.


허니팟은 공격자를 유인해 침투 과정을 기록하고 역추적하는, 일종의 ‘가짜 미끼 서버’입니다.


보안업계에서는 흔히 사용하는 기술이지만, 단 하나의 원칙이 있습니다.


“실제 계정과 데이터는 절대 섞지 않는다.”


문제는 바로 이 기본 원칙이 무너졌다는 데 있습니다.


□ ‘가짜 시스템’ 안의 ‘진짜 계정’이 문제였다


SK쉴더스는 허니팟을 구성하던 가상머신(VM) 내에서 직원 개인 이메일 계정이 자동로그인된 상태였음을 확인했습니다.


즉, 가짜 환경 안에 진짜 계정이 그대로 남아 있었던 것입니다.


이 이메일에는 업무 관련 문서와 첨부파일이 포함돼 있었고,


결국 해당 계정 세션이 외부로 노출되면서 일부 실제 자료가 외부로 유출됐습니다.


SK쉴더스는 즉시 사안을 인지하고 10월 18일 오전 10시경 한국인터넷진흥원(KISA) 에 침해사고를 신고했습니다.


□ 기술적으로 본 사고 원인: 자동 로그인 세션 노출


브라우저는 로그인 정보를 ‘쿠키(cookie)’와 ‘세션 토큰(token)’ 형태로 저장합니다.


이 정보가 암호화되지 않은 채 가상머신에 남아 있으면,


공격자가 단순히 VM을 복제하는 것만으로도 계정 접근이 가능합니다.


이번 사고의 핵심은 바로 이 부분이었습니다.


테스트용 환경임에도 브라우저 자동 로그인 기능이 켜져 있었고,


그 결과 해커는 별도의 인증 과정 없이 실제 이메일 계정에 접근할 수 있었습니다.


결국 기술적 문제보다 ‘운영 환경 관리’의 부주의가 사고의 근본 원인이었던 셈입니다.


□ SK쉴더스의 대응과 후속 조치


SK쉴더스는 사고 직후 KISA에 신고하고, 전 직원 이메일 전수조사와 내부 서버 포렌식을 진행 중입니다.


또한 유출이 의심되는 API 키를 모두 재발급하고, 외부 연동 서비스에 대한 접근 통제를 강화했습니다.


회사 측은 향후 허니팟 운영 절차를 전면 재정비하고,


가상머신 내 자동로그인 금지, 세션 보존 차단, 이중 인증(2FA) 의무화 정책을 도입하기로 했습니다.


SK쉴더스 관계자는 “이번 사건을 계기로 내부 보안 거버넌스와 재발 방지 체계를 근본적으로 강화할 것”이라고 밝혔습니다.


□ 보안회사도 예외는 없다 — 이번 사건이 남긴 교훈


1. 기술보다 사람의 실수가 위험하다.


아무리 완벽한 방화벽과 탐지 시스템도, 관리자의 한 번의 부주의를 막지 못한다.

2. 허니팟은 양날의 검이다.


공격자를 유인하는 유용한 장치지만, 운영이 허술하면 오히려 내부 취약점을 드러낼 수 있다.


3. 초기 해명은 투명해야 한다.


“가짜라 문제없다”는 대응보다, “일부 실제 자료 유출이 확인됐다”는 솔직함이 기업 신뢰를 지킨다.


□ 마무리하며


SK쉴더스 사건은 “보안을 파는 기업도 인간의 실수엔 예외가 없다”는 냉정한 현실을 보여줍니다.


해커의 공격은 언제나 치밀하지만, 방어망은 결국 사람의 손끝에서 완성됩니다.


허니팟은 공격자를 잡기 위한 꿀단지였지만,


이번에는 그 꿀단지가 스스로를 유인했다는 점에서 보안업계 전반의 경각심을 일깨우는 상징적인 사건으로 남을 것입니다.