KT, 악성코드 침해 사실 은폐 정황…"심각성 인지 못해"

2024년 KT BPF Door 악성코드 감염사실 은폐 경위ⓒ최민희 의원실

지난해 4월 KT 전·현직 CISO(정보보호최고책임자)와 CTO(최고기술책임자)인 부사장이 BPFDoor 악성코드 감염 사실을 알고도 침해사고 신고와 대표이사 보고 없이 내부적으로 은폐한 사실이 드러났다.

21일 최민희 과방위원장실이 KT로부터 제출받은 자료에 따르면 작년 4월 11일 KT 정보보안단 레드팀 소속 A차장은 “기업 모바일서버에서 3월 19일부터 악성코드가 실행중에 있다”는 사실을 담당팀장인 B에게 메일로 보고하고, 보안위협대응팀 소속 C차장에게도 공유했다.

C차장은 같은 날 정보보안단장인 문상룡 CISO와 당시 담당이었던 황태선 담당(현 CISO) 등에게 “현재 사업부서별 긴급 취약점 조치·개별 적용중”이라며 관련 내용을 보고했다.

이후 KT 정보보안단은 4월 18일 서버 제조사에 백신 수동검사와 분석 시행을 긴급 요청했다. 회사 경영진에 관련 보고는 이뤄지지 않았다.

KT는 “4월 18일 문상룡 단장과 모현철 담당이 당시 정보보안단 소속 부문장(오승필 부사장)과 티타임 중 구두로 ‘변종 악성코드가 발견됐다’는 상황을 간략히 공유했다”고 말했다. 이어 “오승필 부사장은 일상적인 보안상황 공유로 인식하였을 뿐, 심각성을 인지하지는 못했다”고 전했다.

침해사고 신고 누락에 대해 KT는 “기존에 겪어보지 못한 유형의 악성코드에 대한 초기 분석 및 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못했다”고 해명했다.

이후 조치 역시 정보보안단 내부 결정에 그친 것으로 나타났다.

KT는 5월 13일부터 스크립트 기반의 점검(악성코드 점검 툴)을 시행한 뒤 6월 11일 전사로 확대, 7월 31일까지 진행했다.

스크립트 기반 점검은 악성코드 탐지용 스크립트를 서버에 일괄 실행해 수십~수백 대 시스템을 자동으로 동시에 점검할 수 있는 방식이다. 감염 여부·이상 행위를 식별할 수 있다.

이 과정에 대해서도 KT는 “5월 2일 황태선 단장과 모현철 담당이 오승필 부사장과의 티타임 중 구두로 ‘변종 악성코드가 다수 발견돼 스크립트 기반의 점검이 필요함’ 을 공유했다”며 “오승필 부사장은 당시 일상적인 보안점검의 일환으로 인식했을 뿐 심각성을 인지하지 못했다”고 해명했다.

그러나 침해사고 신고 여부를 논의할 회의는 열리지 않았다.

최민희 과방위원장은 “KT의 이번 BPFDoor 감염사고 은폐 사건은 우리나라를 대표하는 기간통신사업자의 정보보안 관리 시스템이 무너져있음을 단적으로 증명한 사례"라며 "과기부는 KT에 대해 위약금 면제, 영업정지, 수사 의뢰 등 모든 수단을 동원해서라도 책임을 묻고 바로 잡아야 할 것이며 KT는 스스로 전면적인 쇄신을 해야 한다"고 촉구했다.