국가 핵심 에너지 공급기관인 SK E&S(현 SK이노베이션 E&S)가 해킹으로 15GB 규모의 데이터가 유출됐음에도 약 4년간 정부에 이를 신고하지 않은 사실이 드러났다. 사고 인지 이후 장기간 침묵이 이어졌다는 점에서, 단순 실수를 넘어 조직 차원의 은폐 판단이 있었던 것 아니냐는 의혹이 제기되고 있다.

사고 발생 당시부터 2024년 합병 이전까지 SK㈜는 SK E&S 지분 90.0%를 보유한 절대적 지배주주였다. 대표이사와 감사, 이사회 구성 전반에 지주사의 영향력이 작동하는 구조였던 만큼, 자회사에서 발생한 중대한 보안 사고가 그룹 차원에서 공유·관리됐는지 여부가 핵심 쟁점으로 떠오르고 있다.

특히 SK㈜는 C&C 부문을 통해 계열사들과 정보시스템 서비스 제공 계약(IT Outsourcing)을 체결하고 있어, 서버 운영과 보안 인프라 전반에 실질적인 영향력을 행사해 왔다. 해킹이 발생한 서버와 메일 시스템 역시 이 같은 IT 아웃소싱 범위에 포함돼 있었던 것으로 알려지면서, 사고 인지와 대응 과정에 지주사가 관여했을 가능성에 무게가 실리고 있다.

이로 인해 그룹 지주회사 SK㈜의 최대주주이자 현 SK이노베이션 회장인 최태원 회장이 당시 해킹 사고를 인지했는지 여부에도 관심이 집중되고 있다.

27일 금융감독원 공시시스템과 침해사고 신고서에 따르면, 해킹 사고는 2022년 9월 30일 발생했다. 사측은 같은 해 11월 3일 직원 제보를 거쳐 11월 4일 공식 인지했으나, 한국인터넷진흥원(KISA)에 신고한 날짜는 3년 4개월이 지난 2026년 3월 26일이었다.

현행법상 침해사고는 인지 즉시 신고해야 함에도, SK E&S는 국회 과학기술정보방송통신위원회(과방위)의 사실관계 확인이 시작된 2026년 2월 이후에야 신고에 나섰다. 사고 당시 대표이사 보고까지 이뤄졌음에도 신고가 이행되지 않았다.

사고 인지 시점(2022년 11월) 이후인 2023~2025년 동안 SK㈜와 SK이노베이션이 제출한 ‘내부회계관리제도 운영실태 보고서’는 매년 “중요성의 관점에서 효과적으로 설계 및 운영되고 있다”는 적정 의견을 유지했다. 그러나 15GB에 달하는 대량 데이터 유출과 법정 신고 의무 위반은 자본시장법상 공시해야 할 중요한 취약점에 해당할 소지가 크다는 지적이 나온다.

특히 사고 직후 관련 PC를 전면 재설치하고, 접속 로그 기록을 보존 기한 만료를 이유로 삭제한 정황은 내부 감사 기구가 사고 원인 규명과 증거 보존에 충분히 대응했는지에 대한 의문을 낳고 있다.

2022년 사고 당시 SK E&S는 추형욱 대표이사 사장과 유정준 대표이사 부회장의 공동 대표 체제였다. 당시 SK㈜는 SK E&S 지분 90.0%를 보유한 절대적 지배주주로, 이들의 선임은 사실상 최대주주 결정에 의해 이뤄졌다. 추형욱 대표는 SK㈜ 투자1센터장·투자2센터 그룹장을, 유정준 대표는 SK㈜ G&G추진단 사장을 각각 역임한 그룹 내 핵심 경영진이었다.

감사 라인에서도 지주사와의 인적 연결은 뚜렷했다. 사고 당시 SK E&S 감사는 SK㈜ 재무1실장 출신 채준식 사장이 맡았고, 그는 지주사 리스크 관리 경험을 이유로 감사 교육까지 면제받았다. 이후 SK㈜ 재무부문장 이성형 사장은 감사직에서 물러난 뒤 기타비상무이사로 SK E&S 이사회에 잔류하며 인사·보상위원회 위원으로 활동했다.

SK E&S 측은 “대표이사까지 보고됐으나 신고 의무를 몰랐다”고 해명한다. 그러나 지주사 핵심 재무 임원들이 감사와 이사회에 포진한 구조에서, 대표이사 보고 사항이 그룹 차원으로 전달되지 않았다는 설명은 설득력이 떨어진다는 지적이 나온다. 오히려 사고 파장을 고려해 정부 신고를 미뤘을 가능성이 제기되는 대목이다.

지주사 차원의 관리·감독 체계도 도마에 올랐다. SK㈜는 자회사 리스크를 실시간으로 모니터링하는 RMS(Risk Management System)를 운영하고 있는데, 15GB 유출 사고가 이 시스템에서 누락됐다는 사측 설명은 관리 감독 체계가 제대로 작동하지 않았음을 자인하는 것이라는 비판이 나온다.

아울러 SK㈜ C&C 부문은 계열사들과 정보시스템 서비스 제공 계약(IT Outsourcing)을 체결해 서버 운영과 보안 인프라 전반에 실질적인 영향력을 행사해 왔다.

실제 SK E&S 이사회 의사록에는 2020~2023년 ‘SK㈜와의 IT 관련 용역계약 체결 승인’ 안건이 매년 상정돼 통과됐으며, 사고 인지 이후인 2022년 12월 20일에도 2023년 정보시스템 서비스 요금 합의 및 대규모 내부거래 승인 안건이 가결됐다. 해킹 피해를 입은 노후 서버와 메일 서버 역시 이 IT 아웃소싱 범위에 포함돼 있었다.

이후 2024년 11월 최태원 회장은 SK이노베이션과 SK E&S의 합병을 단행했다. 사고 당시 SK㈜ 대표이사였던 장동현 부회장은 2023년 3월 SK E&S 이사회 의장으로 선임됐다가 SK에코플랜트로 이동했고, 감사였던 채준식 사장은 2024년 3월 사임하는 등 책임 라인 인사들이 합병 전후로 흩어졌다. 이를 두고 은폐 책임을 불분명하게 만드는 ‘꼬리 자르기’식 인사라는 비판도 제기된다.

이에 대해 SK㈜ 측은 “회장 보고 여부는 확인이 어렵고, 나머지 질문에 대해서도 답변하기 어렵다”며 “지주사라고 해서 모든 사안을 인지하는 것은 아니며, 각사는 이사회 중심으로 독립 경영을 한다”고 밝혔다.

한편 국회 과방위는 28일 전체회의에서 과학기술정보통신부와 방송미디어통신위원회를 상대로 해킹 관련 현안 질의를 진행할 예정이어서, 정부 조사와 국회 차원의 추가 압박이 본격화될 전망이다.