[비즈니스포스트] KT가 지난해 4월 BPF도어 악성코드 감염사실을 알고도 침해사고 신고를 하지 않은 것은 물론 대표이사에게도 보고하지 않은 채 내부적으로 은폐한 것으로 파악됐다.

21일 국회 과학기술정보방송통신위원장 최민희 더불어민주당 의원이 KT에서 제출받은 자료에 따르면 2024년 4월11일 KT 정보보안단 레드팀 소속 A차장은 “기업 모바일서버에서 3월19일부터 악성코드가 실행 중에 있다”는 사실을 담당 팀장인 B에게 메일로 보고하고, 보안위협대응팀 소속 C차장에게도 공유했다.
 

같은 날 C차장은 정보보안단장인 문상룡 정보보호최고책임자(CISO)와 당시 담당이었던 황태선 담당(현 KT CISO) 등에게 “현재 사업부서별 긴급 취약점 조치와 개별 적용중”이라며 관련 내용을 보고했다. 

이후 KT 정보보안단은 4월18일 서버 제조사에 백신 수동검사와 분석 시행을 '긴급 반영 요청'을 했다.

하지만 정보보안단 내부에서 악성코드에 대한 대응이 ‘긴급’하게 이뤄진 것에 비해, 회사 경영진에 관련 보고는 이뤄지지 않았다.

KT 측은 이에 대해 “4월18일 문상룡 단장과 모현철 담당이 당시 정보보안단 소속 부문장(오승필 부사장)과 티타임 중 구두로 ‘변종 악성코드가 발견되었다’는 상황을 간략히 공유했다”며 “다만 오 부사장은 일상적 보안상황 공유로 인식했을 뿐, 심각성을 인지하지는 못했다”고 답변했다.

KT 측은 침해사고 신고를 하지 않은 이유에 대해서도 “기존에 겪어보지 못한 유형의 악성코드에 대한 초기 분석, 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못했다”고 밝혔다.

이후 조치 역시 정보보안단 내부 결정으로만 이뤄졌던 것으로 파악됐다.

KT는 5월13일부터 스크립트 기반의 점검(악성코드 점검 툴)을 최초 시행 후, 6월11일 전사 서버로 확대 시행해 7월31일까지 진행한 것으로 확인됐다. 

스크립트 기반 점검은 악성코드 탐지용 스크립트를 서버에 일괄 실행, 수십~수백 대 시스템을 자동으로 동시에 점검할 수 있는 방식으로 감염 여부·이상 행위를 체계적으로 식별할 수 있다.

이 과정은 CISO로 승진한 황태선 담당의 지휘로 이뤄졌는데, 이 과정에 대해서도 KT 측은 “5월2일 황태선 단장과 모현철 담당은 오승필 부사장과 티타임 중 구두로 '변종 악성 코드가 다수 발견돼 스크립트 기반의 점검이 필요함'을 공유했다”며 “다만 오 부사장은 당시 일상적 보안점검 일환으로 인식했을 뿐 심각성을 인지하지 못했다”고 답했다.

최 의원은 정보통신망법에 따라 고객정보보호의 최고책임을 가진 전·현직 CISO와 이를 지원하는 정보보안단 담당자들까지 BPF도어 감염 사실을 조직적으로 은폐한 것은 그동안 KT가 고객정보를 어떻게 취급해 왔는지를 적나라하게 보여주는 대목이라고 지적했다.

최 의원은 “KT의 이번 BPF도어 감염사고 은폐 사건은 우리나라를 대표하는 기간 통신사업자의 정보보안 관리 시스템이 무너져있음을 단적으로 증명한 사례”라며 “제대로 바로잡지 못하면 5G, 6G를 선도해온 통신 강국 위상조차 흔들리게 되고, AI 강국 도약도 위험하게 될 것”이라고 말했다.

이어 “‘겪어보지 못한 변종 악성코드’에 대해 ‘심각성을 인짐하지 못했다’며 차 한 잔 나누는 담소거리로 삼은 것은 충격적 행태가 아닐 수 없다”며 “과기부는 KT에 대해 위약금 면제, 영업정지, 수사 의뢰 등 모든 수단을 동원해서라도 책임을 묻고 바로 잡아야 할 것이며, KT는 스스로 전면 쇄신해야 한다”고 주장했다. 조승리 기자