'SK이노베이션 E&S, 해킹 은폐' 의혹 제기에 "ESG보고서에 공표" 해명

최민희, SK 4년 전 발생한 사고 KISA 신고 누락
SK이노베이션 E&S "보고서 통해 조치 취해"

SK이노베이션 E&S가 2022년 발생한 해킹 사고를 은폐했다는 의혹이 제기됐다. 그러나 SK이노베이션 E&S가 지속가능경영보고서(ESG보고서) 통해서는 관련 내용을 공표한 것으로 나타나 고의는 없었던 것으로 보인다.

9일 국회 과학기술정보방송통신위원회 위원장 최민희 더불어민주당 의원은 지난 2월 SK이노베이션 E&S에서 4년 전 발생한 침해사고 은폐 정황을 제보받았다.

지난해 12월 9일 국회에서 열린 과학기술정보방송통신위원회 전체회의에서 최민희 위원장이 의사봉을 두드리고 있다. 2025.12.9 김현민 기자

의원실이 직접 나서 진위를 파악해 본 결과 SK이노베이션 E&S는 실제 2022년 9월에 발생한 해킹 사고를 한국인터넷진흥원(KISA)에 보고를 하지 않았다. 현재 정보통신망법에 따르면 침해사고가 발생하면 인지한 시점부터 24시간 이내에 정부 측에 신고해야 한다. 의원실은 SK이노베이션 E&S는 이같은 절차를 지키지 않았다고 문제 삼았다.

해킹 원인으로는 노후 서버 내 소프트웨어 보안 업데이트를 장기간 미실시한 결과로 해커가 노후서버의 보안 취약점을 공략하여 침입한 뒤 타 서버로 침해가 확산한 것으로 파악됐다. 최 의원 측은 이번 사고 이후 SK이노베이션 E&S가 침해 사고조사에 필요한 해킹 서버들을 폐기했고, 관련 자료들이 일부 사라졌다고 지적했다. 의원실 관계자는 "사측이 고의로 자료를 삭제하거나 폐기하는 등 관련 범법행위가 있었다면 형사처벌 대상"이라고 말했다.

그러나 이번 사고와 관련해 SK이노베이션 E&S는 ESG 보고서를 통해 2023년부터 공시해온 것으로 나타났다. 2023년 SK이노베이션 E&S ESG 보고서를 보면 '정보보안 위반 또는 사이버보안 사고 발생 건수' 2022년 1건으로 명시돼 있다.

SK이노베이션 관계자는 "현재 책임자가 자리에 없어 당시 정황을 정확히 파악할 수는 없다"면서도 "ESG보고서를 통해 이해관계자와 내부 직원들에게도 다 공표하는 등 적극적인 조처를 해왔다"고 말했다.

이현주 기자 ecolhj@asiae.co.kr