정부 조사 시작되자 서버 조기 폐기…황태선 실장 입건
 |
| 황태선 KT 정보보안실장이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 최근 발생한 소액결제 피해와 관련해 대응 현황과 향후 계획을 설명하고 있다. (사진=연합뉴스) |
[알파경제=이준현 기자] 국가 기간통신망을 책임지는 KT가 서버 악성코드 감염 사실을 인지하고도 1년 6개월 가까이 은폐한 정황이 드러나 경찰이 강제 수사에 착수했다.
경찰은 19일 KT 판교·방배 사옥을 압수수색하고 황태선 정보보안실장을 위계에 의한 공무집행방해 혐의로 입건했다.
중대 보안 사고를 '티타임'에서 구두로만 보고하고 정부 조사가 시작되자 서버를 조기 폐기한 정황이 포착됐다.
◇ 악성코드 발견하고도 1년 6개월 '쉬쉬'
24일 업계에 따르면 KT 정보보안단 레드팀 소속 A 차장은 2024년 4월 11일 기업 모바일서버에서 3월 19일부터 악성코드가 실행 중이라는 사실을 발견했다.
확인된 악성코드는 리눅스 시스템을 표적으로 하는 백도어 'BPFDoor(BPF도어)'로, 주로 중국 배후 해킹 조직이 사용하는 고난도 프로그램으로 알려져 있다.
A 차장은 즉시 담당 팀장에게 메일로 보고했고, 같은 날 보안위협대응팀 소속 차장은 당시 정보보안단장이었던 문상룡 최고보안책임자(CISO)와 황태선 담당(현 CISO)에게 "현재 사업 부서별 긴급 취약점 조치 개별 적용 중"이라며 상황을 전달했다.
이후 4월 18일 서버 제조사에 백신 정밀 분석을 요청하고, 5월부터 7월까지 전사 서버 점검을 확대하는 등 실무 차원의 대응은 이루어졌다.
반면 정작 법적 의무 사항인 조치는 전무했다. 개인정보가 포함된 서버 등 총 43대가 감염되었음에도 대표이사 보고는 생략되었고, 한국인터넷진흥원(KISA) 신고조차 이루어지지 않았다.
이에 대해 KT 측은 "기존에 겪어보지 못한 유형의 악성코드에 대한 초기 분석 및 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못했다"고 해명했다.
현행 정보통신망법은 침해 사고 인지 즉시 당국 신고를 의무화하고 있다.
최민희 국회 과학기술정보방송통신위원장은 "KT의 담당 부서는 사태의 심각성을 알고도 법적 조치는 취하지 않고 내부적으로 감추는 데 급급했다"고 비판했다.
 |
| (사진=연합뉴스) |
◇ 서버 폐기 의혹 일파만파...경찰 강제수사
앞서 지난 7월 19일 KISA가 KT 원격상담시스템 서버 해킹 의혹을 공식 통보하자, KT는 불과 13일 만에 해당 서버를 폐기했다.
당초 KT 계획상 이 서버는 신규 시스템과 1~2개월 병행 운영 후 8월 21일 이후 폐기될 예정이었다. 그런데 정부 조사 통보 직후 갑작스럽게 8월 1일로 앞당겨 폐기가 이뤄졌다.
특히 KT는 과학기술정보통신부에 서버 폐기 시점을 8월 1일이라고 보고했지만, 경찰 조사 결과 실제로는 8월 1일(2대), 6일(4대), 13일(2대) 등 3차례에 걸쳐 분산 폐기한 것으로 드러났다.
폐기된 서버의 백업 로그가 별도로 존재했음에도 KT는 9월 18일까지 민관 합동 조사단에 이 사실을 철저히 숨겼다.
로그 데이터는 해커의 침입 경로와 활동 내역을 재구성할 수 있는 핵심 증거다. 이를 숨긴 것은 사고 원인 규명보다 자사 과실을 덮는 데 급급했다는 지적이 나온다.
과기정통부는 "폐기 서버 백업 로그가 있음에도 조사단에 미보고하고 허위 자료를 제출했다"며 "정부 조사를 방해하기 위한 고의성이 있다고 판단해 수사를 의뢰했다"고 밝혔다.
경기남부경찰청 반부패·경제범죄수사대는 19일 오전 9시부터 오후 5시 50분까지 약 9시간 동안 수사관 20여명을 동원해 KT 판교 및 방배 사옥을 압수수색했다.
경찰은 서버 폐기와 관련한 내부 보고서, 침해 사고 관련 내부 보고 자료 등을 확보했으며, 황태선 정보보안실장을 위계에 의한 공무집행방해 혐의로 입건했다.
이번 해킹 사태로 불법 펨토셀 20대를 통해 2만2227명의 가입자 식별정보(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐으며, 368명이 총 2억4319만원의 소액결제 피해를 입었다.
 |
| 김영섭 KT 대표이사가 24일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고에 대한 청문회에서 위원 질의에 답하고 있다. (사진=연합뉴스) |
◇ '티타임 보고'로 뭉갠 내부통제
이번 사태는 KT 내부 통제 시스템의 총체적 붕괴를 보여준다.
KT 측은 "4월 18일 문상룡 단장과 모현철 담당이 당시 정보보안단 소속 부문장(오승필 부사장)과 티타임 중 구두로 변종 악성코드가 발견됐다는 상황을 간략히 공유했다"며 "다만 오 부사장은 일상적인 보안 상황 공유로 인식했을 뿐 심각성을 인지하지 못했다"고 해명했다.
국가 기간망을 책임지는 기업의 중대 보안 사고가 공식 의사결정 라인을 타지 않고 차 한잔 나누는 자리에서 구두로만 공유됐다는 것은, KT 내부에 책임 소재를 모호하게 만드는 문화가 고착화돼 있음을 보여준다.
황태선 현 CISO는 당시 담당으로 악성코드 보고를 받았고, 현재는 개인정보보호책임자(CPO)까지 겸직하고 있다. 보안 침해 사고를 방어해야 할 책임자가 사고 발생 시 이를 고객에게 알려야 할 책임자를 겸하면서 구조적인 이해 상충이 발생했다는게 중론이다.
김영섭 KT 대표는 결국 이번 사태의 책임을 지고 4일 이사회에서 연임 포기 의사를 밝혔다. 그는 10월 국정감사에서 "경영 전반의 총체적 책임을 지는 CEO로서 개인정보 유출 및 소액결제 피해 발생에 대한 합당한 책임을 지는 것이 마땅하다"고 언급한 바 있다. 김 대표는 2026년 3월까지 임기만 채우고 퇴임한다.
KT는 민영화 이후 정권이 바뀔 때마다 CEO가 교체되는 '주인 없는 회사'의 전형적인 모습을 보여왔다. 이번에도 보안 인프라 투자보다는 임기 내 단기 성과에 집착하는 경영진의 보신주의가 조직적 은폐를 낳았다는 비판이 제기된다.
KT새노조는 "이번 사태는 단순 보안 사고가 아니라 국가 기간통신망 운영 기업의 고의적 은폐이자 명백한 법령 위반"이라며 "검찰은 즉시 수사에 착수해야 한다"고 촉구했다.
경찰은 압수수색으로 확보한 자료를 분석해 해킹 은폐 시도가 있었는지 규명할 방침이다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
