[포인트데일리 손지하 기자] KT가 지난해 개인정보가 포함된 서버 43대가 악성코드에 감염된 사실을 인지하고도 대표이사와 당국에 보고하지 않은 채 정보보안단 내부에서 은폐한 정황이 드러났다.

21일 국회 과학기술정보방송통신위원회 최민희 위원장실이 KT로부터 제출받은 자료에 따르면 KT 정보보안단은 지난해 4월 악성코드 'BPF도어' 감염 사실을 최초 발견한 이후에도 공식적인 보고 절차를 거치지 않고 티타임에서의 구두 공유로만 상황을 처리한 것으로 확인됐다.

◇4월 감염 발견했지만 경영진 보고는 '티타임 구두 공유'=자료에 따르면 KT 정보보안단 레드팀 소속 A 차장은 지난해 4월 11일 기업 모바일서버에서 악성코드가 실행 중이라는 사실을 담당 팀장에게 보고하고 보안위협대응팀 소속 B 차장에게도 공유했다. 이는 BPF도어 감염을 최초로 발견한 시점이다.

같은 날 B 차장은 당시 정보보안단장이었던 문상룡 최고보안책임자와 황태선 담당에게 "현재 사업 부서별 긴급 취약점 조치 및 개별 적용 중"이라며 관련 상황을 보고했다. 정보보안단은 4월 18일 서버 제조사에 백신 수동 검사와 분석을 긴급 요청했지만 회사 경영진에는 어떤 공식 보고도 하지 않았다.

KT는 이와 관련해 "4월 18일 문 단장과 모현철 담당이 당시 정보보안단 소속 부문장인 오승필 부사장과 티타임 중 구두로 변종 악성코드가 발견됐다는 상황을 간략히 공유했다"며 "다만 오 부사장은 일상적인 보안 상황 공유로 인식했을 뿐 심각성을 인지하지 못했다"고 해명했다.

침해사고를 신고하지 않은 이유에 대해서는 "기존에 겪어보지 못한 유형의 악성코드에 대한 초기 분석 및 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못했다"고 답변했다.

◇후속 조치도 보안단 자체 판단으로만 진행=후속 조치 또한 정보보안단 내부 판단으로만 이뤄졌다. KT는 5월 13일부터 스크립트 기반 악성코드 점검을 시작해 6월 11일부터는 전사 서버로 범위를 확대해 7월 31일까지 점검을 진행했다. 이 과정은 이후 최고보안책임자로 승진한 황태선 담당이 지휘했다.

KT는 이에 대해서도 "5월 2일 황 단장과 모 담당이 오 부사장에게 티타임 중 변종 악성코드가 다수 발견돼 스크립트 기반의 점검이 필요하다고 구두로 공유했다"며 "오 부사장은 일상적인 보안점검의 일환으로 인식했을 뿐 심각성을 인지하지 못했다"고 했다.

결국 성명, 전화번호, 이메일 주소, 단말기 식별번호 등 가입자 개인정보가 저장된 서버를 포함해 총 43대의 서버가 감염됐음에도 KT는 대표이사는 물론 당국에도 신고하지 않은 채 티타임에서의 구두 공유 수준으로만 사태를 처리했다.

◇공식 회의 단 한 차례도 없어… 조사단 포렌식으로 뒤늦게 발각=KT는 이때까지도 침해사고 신고 여부를 논의하는 공식 회의를 단 한 차례도 열지 않았다. BPF도어 감염 사실은 이번 달 민관 합동 조사단이 서버 포렌식을 하면서 뒤늦게 드러났다.

최민희 과방위원장은 "KT의 이번 BPF도어 감염 사고 은폐 사건은 우리나라를 대표하는 기간통신사업자의 정보보안 관리 시스템이 무너져있음을 단적으로 증명한 사례"라며 "겪어보지 못한 변종 악성코드에 대해 심각성을 인지하지 못했다며 차 한 잔 나누는 담소 거리로 삼은 것은 충격적 행태"라고 지적했다.

그러면서 "과학기술정보통신부는 KT에 대해 위약금 면제, 영업정지, 수사 의뢰 등 모든 수단을 동원해서라도 책임을 묻고 바로 잡아야 하고 KT는 스스로 전면적인 쇄신에 나서라"고 촉구했다.