[서울=뉴스핌] 양태훈 기자 = KT가 BPFDoor 악성코드 감염 사실을 파악하고도 최고경영진과 관계기관 신고를 생략한 채 내부적으로만 처리한 정황이 드러났다. 감염 서버가 개인정보 저장 장비를 포함해 40여 대에 달했음에도 정식 보고나 회의는 없었고, 일부 내용은 차담(茶談) 자리에서 간략히 언급된 수준에 그친 것으로 확인됐다.

21일 국회 과학기술정보방송통신위원회 최민희 위원장실이 공개한 KT 제출자료에 따르면, KT 정보보안단 레드팀은 지난해 4월 11일 기업 모바일 서버에서 BPFDoor 악성코드가 수주 전부터 실행 중인 사실을 확인해 내부에 공유했다. 이후 정보보안단은 백신 수동 검사 요청 등 '긴급' 대응에 나섰지만, 이 과정은 모두 실무 조직 내에서만 이뤄졌다.

KT는 당시 보안 책임자들이 악성코드 발견 사실을 소속 부문장에게 전달하기는 했으나, 이는 내부 티타임 중 구두로 간략히 언급된 것이었고, 부문장은 이를 통상적인 보안 상황 정도로 받아들였다고 설명했다.

[사진=뉴스핌 DB]

침해사고 신고를 하지 않은 이유에 대해서도 KT는 "기존에 경험하지 못한 유형의 악성코드여서 초기 분석과 확산 차단에 집중하는 과정에서 신고 의무를 깊이 검토하지 못했다"고 해명했다.

그러나 자료에 따르면 정보보안단은 감염 범위가 확대되고 '변종 악성코드 다수 발견'이라는 내부 판단이 나온 이후에도 정식 보고 절차를 밟지 않았다. 전사 서버를 대상으로 한 스크립트 기반 점검은 2024년 5월부터 7월 말까지 진행됐지만, 이와 관련한 대책 논의나 침해사고 신고 여부를 검토하는 회의는 한 차례도 열리지 않았다.

BPFDoor 감염은 총 43대 서버에서 확인됐으며, 이 가운데에는 가입자 성명·연락처·단말기 식별번호(IMEI) 등이 저장된 장비도 포함됐다.

최민희 위원장은 "기간통신사업자로서의 의무를 고려하면 KT의 대응은 은폐에 가깝다"며 "과기정통부는 위약금 면제 여부, 영업정지, 수사 의뢰 등 가능한 모든 조치를 검토해야 한다"고 강조했다. 이어 "경영진이 '심각성을 몰랐다'는 답변을 내놓은 것은 더욱 충격적이며, KT는 스스로 보안체계를 근본적으로 재정비해야 한다"고 지적했다.

dconnect@newspim.com