KT가 지난해 BPFDoor 악성코드 감염 사실을 알고도 법적 보고를 하지 않고 내부에서 조직적으로 숨겼다는 사실이 드러났다. 그것도 회사 보고라인을 통해 정식 보고한 것이 아니라 부사장과의 ‘티타임’에서 구두로 언급하는 수준에 그쳤던 것으로 밝혀져 충격을 주고 있다.

국회 과학기술정보방송통신위원장인 최민희 의원(남양주갑)은 21일 “KT가 제출한 내부 자료를 확인한 결과, 감염 사실을 파악한 정보보안단이 사태의 심각성을 알고도 법적 조치를 취하지 않고 은폐하는 데 급급했다”며 “관련 책임자들에 대한 법적 조치와 재발 방지책 마련이 필수”라고 지적했다.

■ “겪어보지 못한 변종 악성코드”라더니… 경영진 보고는 ‘티타임 언급’

KT가 제출한 자료에 따르면, 2024년 4월 11일 KT 정보보안단 레드팀은 기업 모바일 서버에서 3월 19일부터 악성코드가 실행 중이었다는 사실을 내부에 보고했다. 정보보안단은 즉시 긴급 대응에 들어가 제조사에 백신 분석과 수동 검사까지 요청했다.

그러나 이렇게 ‘긴급’하게 대응한 것과 달리, 대표이사·C레벨 경영진에 대한 보고는 전혀 이뤄지지 않았다.

KT는 당시 정보보안단이 오승필 부사장에게 티타임 중 “변종 악성코드가 발견됐다”고 구두로 언급했다고 해명했다. 하지만 오 부사장은 “일상적 보안 공유로만 이해해 심각성을 인지하지 못했다”고 답변했다는 것이다.

더 나아가 KT는 침해사고 신고를 하지 않은 이유에 대해 “처음 보는 유형의 악성코드라 확산 차단에 집중하느라 신고 의무를 깊게 생각하지 못했다”고 밝혀, 사실상 은폐 의도를 드러냈다는 비판이 나온다.

■ 전사 서버 43대 감염… 회의 한 번 없이 ‘조용히’ 덮어

감염 사실은 보안단 내부에서만 공유됐고, 이후 전사 서버 점검도 CISO 승진자 지휘 아래 내부 결정으로만 진행됐다.

KT는 전사 서버 43대가 감염됐음에도 대표이사 보고는 물론, 법에서 의무화한 KISA 침해사고 신고도 하지 않았다.

심지어 침해사고 관련 회의는 단 한 차례도 열리지 않았다고 KT는 답했다.

■ “정보보안 시스템 무너져… KT 전면 쇄신해야”

최 의원은 “전·현직 CISO와 정보보안단 간부들이 법적 책임이 있는 침해사고 신고를 의도적으로 하지 않은 것은 KT의 보안 체계가 얼마나 심각한지 보여주는 사례”라며 우려를 표했다.

이어 “5G·6G를 선도해온 대한민국 통신망의 신뢰가 흔들릴 수 있다”며 “과기부는 위약금 면제, 영업정지, 수사의뢰 등 가능한 모든 수단을 동원해 책임을 묻고 바로잡아야 한다”고 강조했다.

최 의원은 “KT 역시 스스로 전면적인 쇄신에 나서야 한다”며 “차 한 잔 나누며 ‘변종 악성코드’를 잡담 소재로 삼은 행태는 국가 기간통신사업자로서 도저히 묵과할 수 없는 일”이라고 말했다.