KT, 악성코드 감염 '알고도' 보고 없었다…사측 "심각성 인지 못해"

KT가 지난해 개인정보 저장 서버가 악성코드 ‘BPF도어’에 감염된 사실을 알고도 대표이사와 정부 등 공식 보고라인에 공유하지 않은 것으로 확인됐다. 감염 인지부터 조치까지 모든 과정이 정보보안단 내부에서 전달된 점이 드러나면서 은폐 의혹을 피할 수 없게 됐다. 

21일 최민희 국회 과학기술정보방송통신위원장실이 KT로부터 제출받은 내부 보고 자료에 따르면, KT가 처음 악성코드 감염을 인지한 시점은 지난해 4월 11일이었다. 정보보안단 레드팀 직원이 “기업 모바일 서버에서 3월 19일부터 악성코드가 실행되고 있다”는 사실을 팀장과 보안위협대응팀에 직접 보고한 것이다. 

같은 날 보안위협대응팀은 당시 정보보안단장이었던 문상룡 최고보안책임자(CISO)와 황태선 담당(현 CISO) 등에게 "현재 사업 부서별 긴급 취약점 조치/개별 적용 중"이라며 관련 상황을 보고했다. 정보보안단은 이어 4월 18일 서버 제조사에 백신 수동 검사와 분석을 긴급 요청했지만, 회사 경영진에는 어떤 공식 보고도 하지 않았다.

이와 관련해 KT는 "4월 18일 문 단장과 모현철 담당이 당시 정보보안단 소속 부문장(오승필 부사장)과 티타임 중 구두로 '변종 악성코드가 발견됐다'는 상황을 간략히 공유했다"며 "다만 오 부사장은 일상적인 보안 상황 공유로 인식했을 뿐 심각성을 인지하지 못했다"고 해명했다.

침해사고를 곧바로 신고하지 않은 데 대해서는 "기존에 겪어보지 못한 유형의 악성코드에 대한 초기 분석 및 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못했다"고 설명했다. 

이후 KT는 5월부터 스크립트 기반 악성코드 점검을 시작해 6월 전사 서버로 범위를 확대했다. 7월까지 약 세 달간 점검이 이어졌지만 이때까지도 침해사고 신고 여부를 논의한 공식 회의나 보고는 한 번도 열리지 않았다. 

이에 대해서도 KT 측은 "5월 2일 황 단장과 모 담당이 오 부사장에게 티타임 중 '변종 악성코드가 다수 발견돼 스크립트 기반의 점검이 필요하다'고 구두로 공유했다"며 "오 부사장은 일상적인 보안점검의 일환으로 인식했을 뿐 심각성을 인지하지 못했다"고 했다.

결국 가입자 성명, 전화번호, 이메일, IMEI 등 개인정보가 저장된 서버를 포함해 총 43대 서버가 감염된 사실이 뒤늦게 확인됐다. 감염 사실은 이번 달 민관합동조사단의 포렌식 과정에서야 처음 외부에 드러났다.

이와 관련해 최민희 국회 과기정통부위원장은 "과기정통부는 KT에 대해 위약금 면제, 영업정지, 수사 의뢰 등 모든 수단을 동원해서라도 책임을 묻고 바로 잡아야 하고 KT는 스스로 전면적인 쇄신에 나서라"고 촉구했다.