KT 보안 수뇌부, CEO·정부 패싱하고 악성코드 숨겼나

리눅스 기반 시스템을 노리는 고도화된 백도어 악성코드인 ‘BPF도어(BPFDoor)’가 KT망에 침투해 개인정보가 담긴 서버를 장악한 것으로 확인됐다. 이런 가운데 관련 논의가국가 기간통신사업자의 공식 회의 테이블이 아닌 임원들의 한가로운 티타임 속에서 소비되고 사라졌다는 정황이 나와 파문이 커지고 있다.

KT 보안 수뇌부가 사태를 인지하고도 대표이사(CEO) 보고와 정부 신고를 누락한 채, 내부적으로 사태를 은폐하려 했을 가능성에 무게가 실리고 있다.

무슨 일?
21일 국회 과학기술정보방송통신위원회 최민희 위원장실이 공개한 ‘KT 사이버 침해 인지 및 의사결정 자료’에 따르면 KT의 보안 대응 체계는 한동안 사실상 마비 상태였다. 해킹 사실을 확인하고도 신고 대신 자체 수습을 택했고, 이 과정에서 컨트롤타워는 작동하지 않았기 때문이다.

실제로 지난해 4월 11일 KT 정보보안단 레드팀(모의해킹 담당) 소속 A 차장은 사내 모바일 서버의 이상 징후를 포착했다. 3월 19일부터 이미 악성코드가 실행 중이었다는 사실이 확인된 것으로 알려졌다. A 차장은 즉시 직속 상사인 B 팀장에게 이메일로 “기업 모바일 서버에서 악성코드가 활성화되어 있다”고 보고했고 이는 보안위험대응팀 C 차장에게도 공유됐다. 최초 인지 시점이다.

실무진은 빠르게 움직였다. C 차장은 당일 즉시 문상룡 당시 정보보호최고책임자(CISO)와 황태선 담당(현 CISO)에게 “사업부서별 긴급 취약점 조치를 개별 적용 중”이라며 사태의 위중함을 알렸으며 일주일 뒤인 4월 18일에는 해당 서버 제조사에 백신 수동 검사와 정밀 분석을 긴급 요청했다. 

실무 라인에서는 이미 관련 내용을 ‘비상상황’으로 인식하고 있었던 것으로 보인다.

문제는 의사결정 라인이었다. 실무진이 발을 동동 구르는 동안 경영진의 대응은 안이하기 짝이 없었다는 정황이 속속 나오고 있다. 실제로 KT 측 해명에 따르면 문상룡 단장과 모현철 담당은 4월 18일 오승필 당시 기술혁신부문장(부사장)과의 ‘티타임’ 자리에서 이 문제를 처음 거론했다.

공식적인 서면 보고나 대책 회의는 없었다. 부문장과 티타임 중 구두로 ‘변종 악성코드가 발견됐다’는 상황을 간략히 전달한 것으로 알려졌다. 수많은 고객 정보가 털릴 위기 상황이 차 한 잔을 마시며 나누는 가벼운 잡담 소재로 전락했다는 비판에서 자유로울 수 없다.

일각에서 오 부사장은 관련 논의를 일상적인 보안 상황 공유로 인식했을 뿐, 심각성을 인지하지 못했다는 말도 나온다. 그러나 이는 보안 책임자들이 사태의 심각성을 의도적으로 축소 보고했거나, 경영진의 보안 불감증이 극에 달했음을 보여주는 대목으로 풀이될 뿐이다.

한편 정부 당국과 CEO의 눈과 귀를 가린 채 보안부서만의 ‘나 홀로 전쟁’은 계속됐다. 5월 13일부터 스크립트 기반의 악성코드 점검이 시작됐고 6월에는 전사 서버로 범위를 넓혔다. 그리고 7월 말까지 이어진 자체 점검 결과, 성명·전화번호·이메일·단말기 식별번호(IMEI) 등 민감한 개인정보가 저장된 서버를 포함해 총 43대의 서버가 감염된 것으로 확인됐다.

이 과정에서도 보고 행태는 변하지 않았다. 5월 2일 황태선 담당(현 CISO)이 오 부사장에게 티타임 도중 “변종 악성코드가 다수 발견돼 스크립트 점검이 필요하다”고 구두로 스치듯 보고한 것이 전부로 확인됐다. 

결국 KT는 감염 사실을 인지한 지 수개월이 지나도록 침해사고 신고 여부를 논의하는 공식 회의를 단 한 차례도 열지 않았다. 정보통신망법상 개인정보 유출이나 침해사고 발생 시 즉시 관계 당국에 신고해야 하는 의무를 정면으로 위반한 것이다. 

논란 커진다

KT 내부에서 조용히 덮일 뻔했던 이 사건은 이달 진행된 민관 합동 조사단의 서버 포렌식 작업을 통해 1년여 만에 세상에 드러났다. 조사 결과 KT가 주장한 ‘일상적 점검’은 사실상 침해사고 은폐를 위한 내부 단속이었음이 확인됐다.

최민희 과방위원장이 이번 사태를 단순한 보안 사고가 아닌, 국내 통신 인프라 관리 체계의 총체적 난국으로 규정한 이유다. 최 위원장은 “우리나라를 대표하는 기간통신사업자의 정보보안 시스템이 얼마나 허술하게 무너져 있는지 단적으로 보여주는 사례”라며 “악성코드 감염이라는 비상벨이 울렸음에도 이를 ‘담소 거리’로 치부한 경영진의 안일함은 충격적”이라고 질타했다.

이어 “과학기술정보통신부는 이번 사태에 대해 위약금 면제 철회, 영업정지, 수사 의뢰 등 법이 허용하는 모든 수단을 동원해 KT의 책임을 엄중히 물어야 한다”며 “KT 역시 경영진 차원의 전면적인 쇄신과 재발 방지 대책을 내놓아야 할 것”이라고 강력히 촉구했다.
기 힘든 타격을 입게 될 전망이다.

BPF도어(BPFDoor) 악성코드는?

KT 서버 43대를 감염시킨 BPF도어는 2022년경부터 전 세계적으로 발견되기 시작한 리눅스(Linux) 기반의 백도어 악성코드다.

통상적인 해킹은 서버에 특정 포트(출입문)를 열어두고 외부와 통신한다. 보안 담당자들은 열려 있는 포트만 감시해도 이상 징후를 잡을 수 있다. 하지만 BPF도어는 다르다. 이름 그대로 BPF(Berkeley Packet Filter) 기술을 악용한다.

보안 업계에서 화이트해커로 일하는 A씨는 “BPF도어는 문을 열어두는 게 아니라, 네트워크 패킷이 지나가는 길목에 청진기를 대고 있는 것과 같다”며 “특정 비밀번호(매직 패킷)가 포함된 신호가 잡히기 전까지는 죽은 듯이 잠복해 있기 때문에 일반적인 방화벽이나 백신으로는 탐지 자체가 불가능에 가깝다”고 설명했다.

실제로 KT 실무진이 지난해 4월 이를 발견해 낸 것은 불행 중 다행인 성과였다. 다만 문제는 그다음이었다. 탐지가 어려운 ‘신종’일수록 발견 즉시 한국인터넷진흥원(KISA) 등 당국에 알려 위협 정보를 공유해야 한다. 그래야 다른 기업이나 기관으로의 확산을 막을 수 있기 때문이다. 하지만 KT는 이를 ‘내부 대외비’로 묶어버렸다.

업계에서는 이번 KT 사태를 두고 2016년 발생한 우버(Uber)의 해킹 은폐 사건을 떠올린다. 당시 우버는 해커에게 5700만 명의 개인정보를 탈취당하자 이를 신고하는 대신 해커에게 10만 달러(약 1억 3천만 원)를 주고 입막음을 시도했다. 이 사실이 1년 뒤 밝혀지면서 우버는 천문학적인 벌금은 물론, 최고보안책임자(CISO)가 법적 처벌을 받는 불명예를 안았다.

KT 역시 양상은 비슷하다. 물론 해커와 결탁한 것은 아니지만, ‘평판 하락’을 우려해 1년 가까이 침해 사실을 숨겼다는 점에서는 본질이 같다.

익명을 요구한 대학 정보보호학과 교수는 “국가 통신망을 책임지는 기간통신사업자가 해킹 사실을 숨긴 것은, 전염병이 돌고 있는데 병원이 환자 수를 숨긴 것과 같다”며 “KT가 ‘심각성을 인지하지 못했다’고 해명한 것은 보안 무능을 자인하거나, 알면서도 뭉갰다는 뜻으로 해석될 수밖에 없다”고 강하게 비판했다.