콜백문자업체 경기남부경찰청 반부패·경제범죄수사대는 지난 19일 KT가 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹과 관련해 판교 사옥 및 방배 사옥에 대한 압수수색에 들어갔다. 사진은 방배 사옥 모습. 연합뉴스 KT가 지난해 개인정보가 포함된 서버가 악성코드 ‘BPF도어’에 감염된 사실을 파악하고도 회사 경영진은 물론 당국에도 보고하지 않은 채 정보보안단 내부에서 은폐한 정황이 드러났다. 21일 국회 과학기술정보방송통신위원장 최민희 의원실이 KT로부터 제출받은 자료에 따르면, KT 정보보안단 레드팀 소속 A 차장은 지난해 4월 11일 “기업 모바일 서버에서 3월 19일부터 악성코드가 실행 중”이라는 사실을 확인하고 팀장과 보안위협대응팀 B 차장에게 이를 보고했다. 이것이 BPF도어 감염의 첫 발견이었다. 같은 날 B 차장은 당시 정보보안단장이던 문상룡 최고보안책임자(CISO)와 황태선 담당(현 CISO) 등에게 현재 취약점 조치 상황을 보고했지만, 회사 경영진에 대한 공식 보고는 이루어지지 않았다. 정보보안단은 4월 18일 서버 제조사에 백신 수동 검사와 분석을 긴급 요청했으나, 내부 판단 선에서만 대응을 이어갔다. 최민희 의원실 제공 KT는 “당시 문 단장과 담당자가 오승필 부사장에게 티타임 중 ‘변종 악성코드가 발견됐다’는 내용을 간단히 구두 공유했지만, 오 부사장은 이를 일상적인 보안상황 정도로 인식해 심각성을 알지 못했다”고 해명했다. 신고 의무를 이행하지 않은 이유에 대해서는 “기존에 경험하지 못한 악성코드 분석과 확산 차단에 집중하느라 신고 여부를 깊이 고민하지 못했다”고 설명했다. 이후 KT는 5월 13일부터 악성코드 스크립트 점검을 시작해 6월 11일부터는 전사 서버로 범위를 넓혀 7월 31일까지 점검을 진행했다. 이 과정 역시 당시 담당자였던 황태선 CISO가 주도했으며, 이 또한 내부 구두 공유 수준에서만 보고가 이뤄졌다. 결과적으로 가입자 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등이 저장된 서버를 포함해 총 43대의 서버가 감염됐음에도 KT는 대표이사나 관계기관에 단 한 차례도 공식 보고하지 않았다. 전체 감염 사실은 이달 민관 합동 조사단의 서버 포렌식 과정에서 뒤늦게 확인됐다. 최민희 과방위원장은 “KT의 이번 은폐 사건은 국가 기간통신사업자의 보안 관 경기남부경찰청 반부패·경제범죄수사대는 지난 19일 KT가 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹과 관련해 판교 사옥 및 방배 사옥에 대한 압수수색에 들어갔다. 사진은 방배 사옥 모습. 연합뉴스 KT가 지난해 개인정보가 포함된 서버가 악성코드 ‘BPF도어’에 감염된 사실을 파악하고도 회사 경영진은 물론 당국에도 보고하지 않은 채 정보보안단 내부에서 은폐한 정황이 드러났다. 21일 국회 과학기술정보방송통신위원장 최민희 의원실이 KT로부터 제출받은 자료에 따르면, KT 정보보안단 레드팀 소속 A 차장은 지난해 4월 11일 “기업 모바일 서버에서 3월 19일부터 악성코드가 실행 중”이라는 사실을 확인하고 팀장과 보안위협대응팀 B 차장에게 이를 보고했다. 이것이 BPF도어 감염의 첫 발견이었다. 같은 날 B 차장은 당시 정보보안단장이던 문상룡 최고보안책임자(CISO)와 황태선 담당(현 CISO) 등에게 현재 취약점 조치 상황을 보고했지만, 회사 경영진에 대한 공식 보고는 이루어지지 않았다. 정보보안단은 4월 18일 서버 제조사에 백신 수동 검사와 분석을 긴급 요청했으나, 내부 판단 선에서만 대응을 이어갔다. 최민희 의원실 제공 KT는 “당시 문 단장과 담당자가 오승필 부사장에게 티타임 중 ‘변종 악성코드가 발견됐다’는 내용을 간단히 구두 공유했지만, 오 부사장은 이를 일상적인 보안상황 정도로 인식해 심각성을 알지 못했다”고 해명했다. 신고 의무를 이행하지 않은 이유에 대해서는 “기존에 경험하지 못한 악성코드 분석과 확산 차단에 집중하느라 신고 여부를 깊이 고민하지 못했다”고 설명했다. 이후 KT는 5월 13일부터 악성코드 스크립트 점검을 시작해 6월 11일부터는 전사 서버로 범위를 넓혀 7월 31일까지 점검을 진행했다. 이 과정 역시 당시 담당자였던 황태선 CISO가 주도했으며, 이 또한 내부 구두 공유 수준에서만 보고가 이뤄졌다. 결과적으로 가입자 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등이 저장된 서버를 포함해 총 43대의 서버가 감염됐음에도 KT는 대표이사나 관계기관에 단 한 차례도 공식 보고하지 않았다. 전체 감염 사실은 이달 민관 합동 조사단의 서버 포렌식 과정에서 뒤늦게 확인됐다. 최민희 과방위원장은 “KT 콜백문자업체