21일 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실에 KT에서 제출받은 자료에 따르면 지난해 4월11일 KT 정보보안단 레드팀 소속 A차장은 "기업 모바일 서버에서 3월19일부터 악성코드가 실행 중"이라는 사실을 담당 팀장인 B에게 메일로 보고하고, 보안위협대응팀 소속 C차장에게도 공유했다.
같은 날 C차장은 정보보안단장인 문상룡 CISO와 당시 담당이었던 황태선 담당(現 CISO) 등에게 "현재 사업부서별 긴급 취약점 조치/개별적용 중"이라며 관련 내용을 보고했다. 이후 KT 정보보안단은 4월18일 서버 제조사에 백신 수동검사와 분석 시행을 긴급반영 요청했다.
그러나 정보보안단 내부에서 악성코드에 대한 대응이 '긴급'하게 이뤄진 것에 비해, 회사 경영진에 관련 보고는 이뤄지지 않았다.
KT는 "4월18일 문상룡 단장과 모현철 담당이 오승필 CTO(부사장·당시 정보보안단 소속 부문장)와 티타임 중 구두로 '변종 악성코드가 발견됐 다'는 상황을 간략히 공유했다"며 "다만 오 CTO는 일상적인 보안 상황 공유로 인식했을 뿐, 심각성을 인지하지 못했다"고 설명했다. 경영진에 악성코드 발견을 제대로 보고한 게 아니라, 티타임 중 지나가는 말처럼 한 것이다.
KT는 침해사고 신고를 하지 않은 이유로 "기존에 겪어보지 못한 유형의 악성코드를 초기 분석·확산 차단하는 과정에서 신고 의무를 깊이 생각하지 못했다"고 말했다.
이후 조치도 정보보안단 내부 결정으로 이뤄졌다. KT는 5월13일부터 스크립트 기반의 점검(악성코드 점검 툴)을 최초 시행 후, 6월11일 전사 서버로 확대 시행해 7월31일까지 진행했다. 이 과정은 황태선 CISO의 지시로 진행됐다. 황태선 단장과 모현철 담당은 오승필 부사장과 티타임 중 구두로 '변종 악성코드가 다수 발견돼 스크립트 기반의 점검이 필요하다'고 공유했으나, 오 부사장은 일상적인 보안점검 일환으로 인식했다는 설명이다. 이 과정에서 침해사고 신고 여부를 판단할 회의는 단 한차례도 열지 않았다.
최민희 과방위원장은 "KT의 이번 BPF도어 감염사고 은폐 사건은 우리나라를 대표하는 기간통신사업자의 정보보안 관리 시스템이 무너져있음을 단적으로 증명한 사례"라며 "과학기술정보통신부는 KT에 대해 위약금 면제, 영업정지, 수사 의뢰 등 모든 수단을 동원해서라도 책임을 묻고 바로 잡아야 한다. KT는 스스로 전면적인 쇄신을 해야 한다"라고 강조했다.
댓글목록
등록된 댓글이 없습니다.