.png)
.png)
|
SK쉴더스는 9월 26일 해커 유도용 가상환경(허니팟)을 구성했으며, 테스트 과정에서 개인 Gmail 계정의 자동 로그인 설정으로 인해 해킹 정보가 노출됐다.
이후 10월 10일 18시 57분, 해커 측이 이를 활용해 첫 번째 경고 메일을 발송했고, 13일 오전 두 번째 유사 메일이 재수신됐다.
13일 오전 9시 20분 SK쉴더스는 테스트 서버 전원 차단 및 네트워크 단절 조치를 취했으며, 같은 날 오전 11시경 동일한 경고 메일을 재차 받았음에도 “허니팟 환경이 정상 동작 중”이라고 자체 결론을 내린 것으로 확인됐다.
그러나 10월 17일 오전 11시 14분 다크웹에 SK쉴더스 관련 내부 자료가 게시된 사실을 자체 확인하면서부터 해킹 피해를 공식 인지했다.
문제는 이 과정에서 기술영업 부서 직원의 Gmail 계정 전체(약 24GB)가 해킹당했다는 점이다.
해당 메일에는 SK텔레콤, 금융권, 반도체 기업, 공공기관 등 주요 고객사의 보안 아키텍처, 기술 검토 문서, PoC(개념검증) 자료 등 민감한 정보가 다수 포함된 것으로 알려졌다. 이에 따라 2차·3차 피해 확산 가능성도 거론된다.
10월 18일 SK쉴더스는 KISA에 침해사고를 신고하면서 “허니팟 기반 테스트 중 자동 로그인 설정으로 발생한 개인 메일 유출”이라고 설명했다.
|
SK쉴더스 해킹사건 주요 경과
9월 26일허니팟 테스트 환경(Victim 서버/AD 서버/관리 PC) 생성
10월 10일 18:57해커조직 경고 메일 1차 수신
10월 13일 08:00관련 내용 내부 공유
10월 13일 09:20테스트 서버 차단 및 네트워크 단절
10월 13일 11:38동일 해킹 관련 메일 2차 재수신
10월 15일 09:44해커 측 제시 마감일 경과
10월 16~17일“허니팟 환경 정상 동작” 자체 판단
10월 17일 10:00신규 테스트 위해 디코이 VM 재설치
10월 17일 11:14다크웹 정보 유출 사실 자체 확인
10월 17일 16:00경개인 Gmail 첨부파일 유출 확인
10월 18일 10:03KISA에 침해사고 신고
