KT 악성코드 감염 은폐 '일파만파'

전·현직 CISO와 CTOㆍBPFDoor 감염 사실 대표이사에 미보고

국내 대표 통신사업자인 KT가 악성코드 감염 사실을 조직적으로 은폐한 정황이 드러나 충격을 주고 있다. 2024년 4월 발생한 BPFDoor 악성코드 감염을 전·현직 최고정보보호책임자(CISO)와 최고기술책임자(CTO)가 알고도 법정 신고 의무를 이행하지 않고 내부적으로 감춘 것으로 확인됐다.

21일 최민희 국회 과학기술정보방송통신위원장(더불어민주당·남양주갑)은 "KT에서 제출받은 자료를 확인한 결과, KT의 담당 부서는 사태의 심각성을 알고도 법적으로 취해야 할 조치는 취하지 않고 내부적으로 감추는데 급급했다"며 "책임자들에 대한 법적 책임을 반드시 묻고 재발방지책을 마련해야 할 것"이라고 밝혔다.

최 위원장실이 KT로부터 제출받은 자료에 따르면, 2024년 4월 11일 KT 정보보안단 레드팀 소속 A 차장은 "기업 모바일서버에서 3월 19일부터 악성코드가 실행중에 있다"는 사실을 담당팀장인 B에게 메일로 보고하고, 보안위협대응팀 소속 C 차장에게도 공유했다.

같은 날 C 차장은 정보보안단장인 문상룡 CISO와 당시 담당이었던 황태선 담당(현 KT CISO) 등에게 "현재 사업부서별 긴급 취약점 조치/개별적용중"이라며 관련 내용을 보고했다. 이후 KT 정보보안단은 4월 18일 서버 제조사에 백신 수동검사와 분석 시행을 "긴급반영 요청"했다.

하지만 정보보안단 내부에서 악성코드에 대한 대응이 '긴급'하게 이뤄진 것과 달리, 회사 경영진에 대한 보고는 이뤄지지 않았다. KT는 "4월 18일 문상룡 단장과 모현철 담당이 당시 정보보안단 소속 부문장(오승필 부사장)과 티타임 중 구두로 '변종 악성코드가 발견되었다'는 상황을 간략히 공유하였다"고만 밝혔다.

심지어 "다만, 오승필 부사장은 일상적인 보안상황 공유로 인식하였을 뿐, 심각성을 인지하지는 못하였다"고 답변했다. 경영진에 대한 제대로 된 보고가 아니라 티타임 중에 지나가는 말처럼 악성코드 발견을 언급했다는 것이다.

침해사고 신고를 하지 않은 이유에 대해서도 "기존에 겪어보지 못한 유형의 악성코드에 대한 초기 분석 및 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못하였다"는 해명을 내놓았다.

이후 조치 역시 정보보안단 내부 결정으로만 이뤄졌다. KT는 5월 13일부터 스크립트 기반의 점검(악성코드 점검 툴)을 최초 시행한 후, 6월 11일 전사 서버로 확대 시행하여 7월 31일까지 진행한 것으로 확인됐다. 스크립트 기반 점검은 악성코드 탐지용 스크립트를 서버에 일괄 실행해 수십~수백 대 시스템을 자동으로 동시에 점검할 수 있는 방식이다.

이 과정은 CISO로 승진한 황태선 담당의 지휘로 이뤄졌는데, KT는 "5월 2일 황태선 단장과 모현철 담당은 오승필 부사장과의 티타임 중 구두로 '변종 악성코드가 다수 발견되어, 스크립트 기반의 점검이 필요함'을 공유했다"며 "다만, 오승필 부사장은 당시 일상적인 보안점검의 일환으로 인식하였을 뿐 심각성을 인지하지 못하였다"고 답변했다.

결국 "겪어보지 못한 변종 악성코드"로 인해 개인정보가 저장된 서버를 포함한 총 43대의 서버가 감염됐음에도 관련 내용을 대표이사에게 보고하지도, 한국인터넷진흥원(KISA)에 신고하지도 않고 정보보안단 내부에서 은폐한 것으로 드러났다.

최민희 과방위원장은 "KT의 이번 BPFDoor 감염사고 은폐 사건은 우리나라를 대표하는 기간통신사업자의 정보보안 관리 시스템이 무너져있음을 단적으로 증명한 사례"라며 "제대로 바로잡지 못하면 5G, 6G를 선도해온 통신강국의 위상조차 흔들리게 되고, AI 강국으로의 도약도 위험하게 될 것"이라고 우려했다.

이어 "'겪어보지 못한 변종 악성코드'에 대해 '심각성을 인지하지 못했다'며 차 한 잔 나누는 담소거리로 삼은 것은 충격적 행태가 아닐 수 없다"며 "과기부는 KT에 대해 위약금 면제, 영업정지, 수사 의뢰 등 모든 수단을 동원해서라도 책임을 묻고 바로 잡아야 할 것이며, KT는 스스로 전면적인 쇄신을 해야 한다"라고 밝혔다.