SK Innovation E&Sが2022年11月にサーバー侵害を把握していながら、韓国インターネット振興院（KISA）への申告は2026年3月26日まで行っていなかった疑いが浮上した。1次、2次の侵害では、計15GBの情報が流出したことが確認されたという。

韓国国会・科学技術情報放送通信委員会のチェ・ミニ委員長の議員室が、KISAとSK Innovation E&Sから提出を受けた資料によると、侵害事故の発生日は2022年9月30日だった。

同社では同年11月3日、社内でネットワークの異常が報告され、自主的なセキュリティ点検を実施した。翌11月4日に侵害の事実を把握したという。

資料によると、旧式サーバー上のソフトウェアに対するセキュリティ更新が長期間行われておらず、攻撃者はこの脆弱性を悪用して侵入した。被害はその後、他のサーバーにも広がったとしている。

同社は1次侵害の把握後、痕跡調査や従業員パスワードの変更、サーバーのフォーマットと再インストール、残存脅威や追加攻撃を検知するためのソリューション運用などの対応を進めた。

ただ、その約1カ月後の12月には2次侵害も検知され、追加のセキュリティ対策を続けた。1次、2次の侵害では、社内アカウント情報やサーバー内のメールがそれぞれ13GB、2GB流出したことが確認されたという。

チェ委員長の議員室は2月、SK Innovation E&Sのサーバー侵害事故に関する情報提供を受け、約2カ月にわたり事実関係を確認してきた。科学技術情報通信省も調査に着手し、SK Innovation E&Sは3月26日にKISAへ侵害事故を申告した。

情報通信網法では、侵害事故を認知した時点から24時間以内にKISAへ申告しなければならない。議員室は、SK Innovation E&Sが提出した資料に「事故を自社で処理する過程で、調査に必要なハッキング関連サーバーを廃棄したり、OSを再インストールしたりしたため、関連資料の一部が現時点で消失している」との記載があると指摘した。

議員室によると、科学技術情報通信省とKISAは当該事故の調査を進めているが、必要なサーバーがすでに廃棄されており、調査は難航しているという。

これに対しSK Innovation E&Sは、当時は侵害事故に迅速に対応するためサーバーをフォーマットしたり、保存期限を過ぎた設備を廃棄したりしたのであり、故意に削除したものではないと説明したという。

チェ委員長は「民間分野の国家中核施設で発生したハッキングは、政府と緊密に連携して管理・監督しなければならない」としたうえで、「科学技術情報通信省は徹底した調査を通じて真相を明らかにすべきだ」と述べた。