BPF도어 감염 수주간 방치
경영진·정부 보고 없이 내부 대응만
개인정보 포함 서버까지 감염
CISO도 알았지만 신고·조치 없어
KT가 개인정보 유출 가능성이 있는 악성코드 감염 사실을 은폐한 정황이 드러나면서 통신 보안 시스템 전반에 대한 신뢰가 흔들리고 있다.
지난 21일 국회 과학기술정보방송통신위원회 최민희 위원장실이 KT로부터 제출받은 내부 자료에 따르면, KT는 지난해 4월 11일 기업 모바일 서버에서 'BPF도어(BPFDoor)' 악성코드 감염 사실을 처음 인지했다. 당시 레드팀 소속 직원이 "3월 19일부터 악성코드가 실행 중"이라는 사실을 팀장에게 보고하고, 보안위협대응팀에도 공유한 것으로 확인됐다.
KT 정보보안단은 즉시 서버 제조사에 백신 수동 검사와 분석을 요청하고, 스크립트 기반 점검을 진행하는 등 실무 차원의 대응에 나섰다.
그러나 해당 사실은 경영진에게 공식적으로 보고되지 않았고, 정부 신고도 이뤄지지 않았다. 회사 측은 "4월 18일과 5월 2일 부사장과 티타임 중 구두로 상황을 간략히 공유했다"고 해명했다.
실제로 오승필 부사장은 "변종 악성코드 발견", "스크립트 기반 점검 필요" 등 내용을 전달받고도 "일상적인 보안 상황 공유로 인식했을 뿐 심각성을 인지하지 못했다"고 답변한 것으로 전해졌다.
이에 대해 정치권과 업계는 KT 경영진이 국가 기간통신망 보안을 단순한 담소 수준으로 취급하며 심각성을 외면했다고 비판하고 있다.
KT는 이후 5월 13일부터 전사 서버에 대한 점검을 시작해 7월 31일까지 총 43대 서버에 대한 조치를 진행했지만, 이 모든 과정은 정보보안단 내부 판단으로만 이뤄졌다. 해당 악성코드는 성명, 전화번호, 이메일, 단말기 식별번호(IMEI) 등 가입자 개인정보가 포함된 서버에까지 감염된 것으로 드러났다.
KT는 침해사고 신고를 하지 않은 이유에 대해 "초기 분석 및 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못했다"고 밝혔다.
그러나 정보통신망법상 고객정보보호 책임이 있는 최고보안책임자(CISO)들이 관련 사실을 인지하고도 아무런 조치를 취하지 않은 것은 법적·도덕적 책임을 방기한 것이라는 비판이 제기된다.
![[출처=최민희 의원실 제공]](https://cdn.ppss.kr/news/photo/202511/275865_87741_3112.jpg)
최민희 위원장은 "KT의 이번 BPF도어 감염 사고 은폐 사건은 우리나라를 대표하는 기간통신사업자의 정보보안 관리 시스템이 무너져 있음을 단적으로 증명한 사례"라며 "‘겪어보지 못한 변종 악성코드’에 대해 ‘심각성을 인지하지 못했다’며 차 한 잔 나누는 담소 거리로 삼은 것은 충격적 행태"라고 강하게 비판했다.
또한 "과기정통부는 KT에 대해 위약금 면제, 영업정지, 수사 의뢰 등 가능한 모든 수단을 동원해 책임을 묻고, KT는 전면적인 쇄신에 나서야 한다"고 강조했다.
통신업계 관계자 역시 "KT의 은폐 행위는 고객 정보를 안일하게 다뤄온 태도를 여실히 보여준다"고 지적하며, 이번 사태가 통신사업자의 기본 책임을 재점검하는 계기가 돼야 한다고 언급했다.