지난 2024년 4월, KT 전·현직 CISO(정보보호최고책임자)와 CTO(최고기술책임자)인 부사장이 BPFDoor 악성코드 감염사실을 알고도 침해사고 신고는 물론 대표이사에게도 보고하지 않고 내부적으로 은폐한 사실이 확인됐다.
최민희 더불어민주당 의원(국회 과학기술정보방송통신위원장, 남양주갑)은 KT에서 제출받은 자료를 확인한 결과 “KT의 담당 부서는 사태의 심각성을 알고도 법적으로 취해야 할 조치는 취하지 않고 내부적으로 감추는데 급급했다”며 “책임자들에 대한 법적 책임을 반드시 묻고 재발방지책을 마련해야 할 것”이라고 21일 밝혔다.
최민희 과방위원장실이 KT에서 제출받은 자료에 따르면, 2024년 4월 11일, KT 정보보안단 레드팀 소속 A차장은 “기업 모바일서버에서 3월 19일부터 악성코드가 실행중에 있다”는 사실을 담당팀장인 B에게 메일로 보고하고 보안위협대응팀 소속 C차장에게도 공유했다.
같은 날 C차장은 정보보안단장인 문상룡 CISO와 당시 담당이었던 황태선 담당 (現 KT CISO) 등에게 “현재 사업부서별 긴급 취약점 조치, 개별적용중”이라며 관련 내용을 보고했다. 이후 KT 정보보안단은 4월 18일 서버 제조사에 백신 수동검사와 분석 시행을 ‘긴급반영 요청’했다.
하지만 정보보안단 내부에서 악성코드에 대한 대응이 ‘긴급’하게 이뤄진 것에 비해, 회사 경영진에 관련 보고는 이뤄지지 않았다.
KT는 “4월 18일 문상룡 단장과 모현철 담당이 당시 정보보안단 소속 부문장(오승필 부사장) 과 티타임 중 구두로 ‘변종 악성코드가 발견되었다’는 상황을 간략히 공유하였다”고만 밝혔을 뿐이다. 또, “다만, 오승필 부사장은 일상적인 보안상황 공유로 인식하였을 뿐, 심각성을 인지하지는 못하였다”고 답변했다.
경영진에 대한 제대로 된 보고가 아니라 티타임 중에 지나가는 말처럼 악성코드 발견을 얘기했다는 것이다.
침해사고 신고를 하지 않은 이유에 대해서도 “기존에 겪어보지 못한 유형의 악성코드에 대한 초기 분석 및 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못하였다”는 답변을 내놓았다.
정보보안단 내부에서는 ‘기존에 겪어보지 못한 유형의 악성코드’에 대해 ‘긴급’하게 대응했음에도 정작 대표이사에게 보고하지 않고 침해사고 신고도 하지 않았다는 것은 이를 은폐하려고 한 것으로 추정된다.
이후 조치 역시 정보보안단 내부 결정으로만 이뤄졌다. KT는 5월 13일부터 스크립트 기반의 점검(악성코드 점검 툴)을 최초 시행 후, 6월 11일 전사 서버로 확대 시행하여 7월 31일까지 진행한 것으로 확인됐다. 스크립트 기반 점검은 악성코드 탐지용 스크립트를 서버에 일괄 실행해 수십~수백 대 시스템을 자동으로 동시에 점검할 수 있는 방식으로 감염 여부·이상 행위를 체계적으로 식별할 수 있다.
이 과정은 CISO로 승진한 황태선 담당의 지휘로 이뤄졌는데, 이 과정에 대해서도 KT는 “5월 2일 황태선 단장과 모현철 담당은 오승필 부사장과의 티타임 중 구두로 ‘변종 악성코드가 다수 발견되어, 스크립트 기반의 점검이 필요함’을 공유했다”며 “다만, 오승필 부사장은 당시 일상적인 보안점검의 일환으로 인식하였을 뿐 심각성을 인지하지 못했다”고 답변했다.
‘변종 악성코드가 다수 발견’ 돼 전사 서버를 대상으로 한 점검이 필요하다는 얘기를 듣고도 ‘심각성을 인지하지 못하였다’는 것이다. KT는 이 과정에서 침해사고 신고 여부 등을 판단할 회의는 단 한차례도 열지 않았다고 밝혔다.
결국 “겪어보지 못한 변종 악성코드”로 인해 개인정보가 저장된 서버를 포함한 총 43대의 서버가 감염됐음에도 관련 내용을 대표이사에게 보고하지도 KISA에 신고하지도 않고 정보보안단 내부에서 은폐한 것이다.
정보통신망법에 따라 고객정보보호의 최고책임을 가진 전·현직 CISO와 이를 지원하는 정보보안단 담당자들까지 BPFDoor 감염 사실을 조직적으로 은폐한 것은 그동안 KT 가 고객정보를 어떻게 취급해 왔는지를 적나라하게 보여주는 대목이다.
최민희 과방위원장은 “KT의 이번 BPFDoor 감염사고 은폐 사건은 우리나라를 대표하는 기간통신사업자의 정보보안 관리 시스템이 무너져있음을 단적으로 증명한 사례”라며 “제대로 바로잡지 못하면 5G, 6G를 선도해온 통신강국의 위상조차 흔들리게 되고 AI 강국으로의 도약도 위험하게 될 것”이라고 우려했다.
이어 “‘겪어보지 못한 변종 악성코드’에 대해 ‘심각성을 인짐하지 못했다’며 차 한 잔 나누는 담소거리로 삼은 것은 충격적 행태가 아닐 수 없다”며 “과기부는 KT에 대해 위약금 면제, 영업정지, 수사 의뢰 등 모든 수단을 동원해서라도 책임을 묻고 바로 잡아야 할 것이며 KT는 스스로 전면적인 쇄신을 해야 한다”라고 밝혔다.
