KT가 지난해 개인정보가 저장된 서버가 악성코드 ‘BPF도어(BPFDoor)’에 감염된 사실을 인지하고도 이를 대표이사와 정부에 보고하지 않은 채 정보보안단 내부에서 은폐해 온 것으로 드러났다.
21일 국회 과학기술정보방송통신위원장 최민희 의원실이 KT로부터 제출받은 자료에 따르면, KT 정보보안단은 감염 사실을 인지한 직후 내부적으로 긴급 조치를 진행하면서도 법적 신고 의무와 경영진 보고 절차는 이행하지 않았다.
자료에 따르면 KT 정보보안단 레드팀 소속 A 차장은 지난해 4월 11일, “기업 모바일 서버에서 지난 3월 19일부터 악성코드가 실행 중”이라는 사실을 팀장 B와 보안위협대응팀 C 차장에게 이메일로 보고했다.
같은 날 C 차장은 정보보안단장 문상룡 CISO, 당시 담당이던 황태선 담당(현 KT CISO) 등에게 “사업부서별 긴급 취약점 조치가 진행 중”이라는 내용을 공유했다. 이어 KT 정보보안단은 4월 18일 서버 제조사에 백신 수동 검사와 분석을 긴급 요청했다.
그러나 이 같은 긴급 대응과 달리 회사 경영진에 대한 공식 보고는 없었다. KT는 “4월 18일 문상룡 단장과 모현철 담당이 부문장 오승필 부사장에게 티타임 중 ‘변종 악성코드가 발견됐다’고 간단히 공유했다”고 답변했다. KT 측은 “오 부사장은 이를 일상적인 보안 상황 공유 정도로 인식해 심각성을 파악하지 못했다”고 밝혔다. 구두로 잠깐 언급된 수준이었다는 의미다.
KT는 침해사고 신고를 하지 않은 이유에 대해 “겪어보지 못한 유형의 악성코드 초기 분석과 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못했다”고 해명했다.
최민희 의원실은 “감염 사실을 알고도 법적으로 취해야 할 조치를 일절 하지 않았다”며 “명백한 은폐 행위”라고 지적했다.
악성코드 대응 조치도 정보보안단 내부 결정으로만 진행됐다. KT는 5월 13일부터 스크립트 기반 점검(악성코드 탐지 스크립트 일괄 실행)을 시작해 6월 11일 전사 서버로 확대했고, 점검은 7월 31일까지 이어졌다. 총 43대 서버에서 감염 또는 이상 행위가 발견됐다. 이 과정 역시 CISO로 승진한 황태선 담당이 지휘했다.
KT는 “5월 2일 황태선 단장과 모현철 담당이 오승필 부사장에게 티타임 자리에서 ‘변종 악성코드가 다수 발견돼 전사 점검이 필요하다’고 다시 구두 공유했다”며 “당시에도 오 부사장은 일상적 보안점검 수준으로만 이해했다”고 밝혔다.
KT는 이 과정에서 침해사고 신고 여부를 판단하기 위한 공식 회의를 단 한 차례도 개최하지 않은 것으로 확인됐다.
최민희 과방위원장은 “겪어보지 못한 변종 악성코드로 인해 개인정보 저장 서버를 포함한 43대 서버가 감염됐는데도 대표이사 보고와 KISA 신고를 하지 않았다”며 “이는 정보보안단 내부 은폐 이상도 이하도 아니다”고 말했다. 이어 “이번 사건은 우리나라 기간통신사업자의 정보보안 관리 체계가 무너져 있음을 보여주는 단적인 사례”라며 “이대로라면 5G·6G 시대 통신강국 위상은 물론 AI 경쟁력까지 흔들릴 수 있다”고 우려했다.
그는 “변종 악성코드를 ‘심각성을 인지하지 못했다’며 티타임 담소거리로 넘긴 것은 충격적”이라며 “과학기술정보통신부는 위약금 면제·영업정지·수사 의뢰 등 가능한 모든 조치를 통해 KT의 책임을 물어야 한다”고 강조했다.
조유현 더나은미래 기자
