[한국정경신문=변동휘 기자] KT가 지난해 개인정보가 포함된 서버의 악성코드 감염 사실을 인지했지만 대표이사에게도 보고하지 않은 채 내부에서 처리한 것으로 드러났다.
KT의 악성코드 감염 관련 의사결정 과정이 공개됐다. (사진=연합뉴스)
21일 국회 과학기술정보방송통신위원장 최민희 의원실은 KT로부터 제출받은 감염 인지 시점과 내부 의사결정 과정 관련 자료를 공개했다.
이에 따르면 KT 정보보안단 레드팀 소속 A 차장은 지난해 4월 11일 기업 모바일서버에서 3월 19일부터 악성코드가 실행 중임을 담당 팀장에게 보고하고 보안위협대응팀 소속 B 차장에게도 공유했다.
같은 날 B 차장은 당시 정보보안단장이었던 문상룡 최고보안책임자(CISO)와 황태선 담당(현 CISO) 등에게 사업 부서별 긴급 취약점 조치/개별 적용 중이라고 보고했다.
정보보안단은 4월 18일 서버 제조사에 백신 수동 검사와 분석을 긴급 요청했다. 하지만 회사 경영진에는 어떤 공식 보고도 하지 않았다.
KT는 이날 문 단장과 모현철 담당이 당시 부문장이었던 오승필 부사장과 티타임 중 구두로 상황을 간략히 공유했다고 밝혔다. 다만 오 부사장이 이를 일상적인 보안 상황 공유로 인식해 심각성을 인지하지 못했다고 설명했다.
신고의무 미이행에 대해서는 경험하지 못한 유형의 악성코드에 대한 초기 분석 및 확산 차단에 집중하는 과정에서 신고 의무를 고려하지 못했다고 해명했다.
이후 KT는 5월 13일부터 스크립트 기반 악성코드 점검을 시작했다. 6월 11일부터는 전사 서버로 범위를 확대해 7월 31일까지 점검을 진행했다. 이 과정은 이후 CISO로 승진한 황태선 담당이 지휘했다. 이 역시 정보보안단 내부 판단으로만 이뤄졌다.
최종적으로 가입자 개인정보가 저장된 서버 포함 총 43대가 감염됐음에도 대표이사 보고나 당국 신고 없이 구두 공유 수준으로만 사태를 처리한 셈이다. 침해사고 신고 여부를 논의하는 공식 회의는 단 한 차례도 열지 않았다. BPF도어 감염 사실은 이달 민관 합동 조사단이 서버 포렌식을 하면서 드러났다.
최민희 과방위원장은 “KT의 이번 BPF도어 감염 사고 은폐 사건은 우리나라를 대표하는 기간통신사업자의 정보보안 관리 시스템이 무너져 있음을 증명한 사례”라며 “과기정통부는 위약금 면제, 영업정지, 수사 의뢰 등 모든 수단을 동원해서라도 책임을 묻고 바로 잡아야 하며 KT는 스스로 전면적인 쇄신에 나서라”고 강조했다.