KT가 지난해 개인정보가 저장된 서버가 악성코드 ‘BPF도어’(BPFDoor)에 감염된 사실을 확인하고도 이를 최고경영진에게 알리지 않은 채 내부 조직에서 은폐한 것으로 드러났다.
침해 규모가 가입자 정보를 포함한 43대 서버에 달했음에도, KT는 어떠한 공식 보고 절차도 밟지 않고 티타임에서 구두 공유 수준으로만 처리한 셈이다.
21일 국회 과학기술정보방송통신위원장 최민희 의원실이 KT로부터 받은 내부 자료에 따르면 KT 정보보안단은 지난해 4월 중순부터 감염 사실을 인지하고도 3개월 넘게 자체 판단만으로 사안을 처리해 온 것으로 파악됐다.
자료에 따르면 지난해 4월 11일 KT 정보보안단 레드팀 소속 A 차장이 “기업 모바일 서버에서 3월 19일부터 악성코드가 실행 중”이라는 사실을 담당 팀장에게 보고하면서 감염이 처음 드러났다. 이후 보안위협대응팀 B 차장이 문상룡 당시 CISO와 황태선 담당(현 CISO)에게 관련 내용을 공유했지만, 보고는 모두 구두 형태에 머물렀다.
4월 18일 정보보안단은 서버 제조사에 백신 수동 검사와 분석을 긴급 요청했음에도, 해당 상황은 여전히 경영진에게 공식 보고되지 않았다. KT는 문 단장과 모현철 담당이 오승필 당시 부문장(부사장)에게 티타임 중 “변종 악성코드가 발견됐다”고 언급했으나, 오 부사장이 이를 “일상적인 보안 공유”로 받아들여 심각성을 인지하지 못했다고 설명했다.
KT는 침해사고 신고가 이뤄지지 않은 이유에 대해 “기존에 없던 유형의 악성코드였다”며 “초기 대응에 집중하느라 신고 의무를 깊이 검토하지 못했다”고 해명했다. 그러나 이후 후속 조치 역시 CISO와 보안단 내부의 판단만으로 진행됐다.
5월 13일부터 KT는 스크립트 기반 악성코드 점검을 시작했고 6월 11일 전사 서버로 확대해 7월 31일까지 자체 점검을 이어갔다. 이 기간에도 감염 사실이 공식 체계로 보고되거나 사고 신고 여부를 논의한 회의는 열리지 않았다. KT는 이 과정에서조차 오 부사장과의 소통이 티타임 구두 보고에 그쳤다고 밝혔다.
결국 가입자의 성명·전화번호·이메일·단말기 식별번호(IMEI) 등 민감한 개인정보가 저장된 서버를 포함한 총 43대가 감염됐음에도 대표이사나 정부 기관으로 이러한 사실이 전달되지 않은 채 내부 일부 인력 선에서만 사건이 처리된 것이다. BPF도어 감염은 최근 민관 합동 조사단의 서버 포렌식 과정에서 뒤늦게 확인됐다.
최민희 과방위원장은 “KT의 이번 BPE도어 감염 사고 은폐 사건은 우리나라를 대표하는 기간통신사업자의 정보보안 관리 시스템이 무너져있음을 단적으로 증명한 사례”라며 “변종 악성코드 감염을 티타임 수준의 대화로 넘긴 것은 충격적 행태”라고 비판했다.
또 “과기정통부는 KT에 위약금 면제, 영업정지, 수사 의뢰 등 모든 수단을 동원해서라도 책임을 물어야 한다”며 “KT는 스스로 전면적인 쇄신에 나서라”고 촉구했다.
이주희 기자 jh224@segye.com
