[일간투데이 신형수 기자] 국회 과학기술정보방송통신위원장 최민희 의원(남양주갑)은 지난 21일 지난해 4월 KT 전·현직 CISO와 CTO가 BPFDoor 악성코드 감염 사실을 알고도 대표이사에게 보고하지 않고 조직적으로 은폐한 사실을 공개하며 강력히 질타했다.

최 의원은 “KT 자료 확인 결과, 정보보안단 내부에서만 은폐와 축소가 이루어졌으며, 책임자들이 법적 조치를 취하지 않고 사태를 감추는 데 급급했다”며 재발방지와 법적 책임을 강조했다.

KT 정보보안단 레드팀 소속 직원은 3월 19일부터 악성코드가 실행 중임을 보고했음에도, 회사 경영진에게는 단 한 차례도 공식 보고가 이뤄지지 않았다.

심지어 4월 18일 정보보안단 부문장이 부사장과 티타임 중 구두로 상황을 공유했을 뿐, 부사장은 이를 일상적 보안 상황으로만 인식해 심각성을 전혀 인지하지 못했다고 밝혔다.

KT는 “겪어보지 못한 변종 악성코드라 신고 의무를 깊이 생각하지 못했다”는 해명을 내놓았으나, 최 의원은 이를 조직적 은폐 시도로 규정했다.

이후 정보보안단 내부에서는 5월 13일부터 스크립트 기반 점검을 시행해 6월 11일 전사 서버로 확대, 7월 31일까지 진행했으나 경영진 회의나 침해사고 신고는 단 한 차례도 이루어지지 않았다.

결국 43대의 개인정보가 저장된 서버를 포함한 전사 서버가 감염됐음에도 대표이사와 KISA에는 보고하지 않고 내부에서 은폐한 셈이다.

최민희 의원은 “KT의 이번 사건은 정보보안 관리 시스템 붕괴를 보여주는 사례이며, 통신강국과 AI 강국으로서 위상을 위협하는 충격적 행태”라고 지적했다.

이어 “과기부는 KT에 위약금, 영업정지, 수사 의뢰 등 모든 수단을 동원해 책임을 묻고 전면 쇄신을 강제해야 하며, KT는 자체적으로 정보보안 체계를 완전히 재정비해야 한다”고 강조했다.

최 의원은 상임위원회 차원에서도 KT의 정보보안 관리 및 침해사고 대응 체계를 점검하고 법적·행정적 조치를 적극 추진하겠다고 밝혔다.