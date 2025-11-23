KT가 지난해 악성코드에 서버가 감염된 정황을 파악하고도 이를 은폐했다는 지적이 나왔다. 보안·기술 관련 담당자들은 감염 정황을 당국과 대표에게 보고하지 않고 내부적으로 수습한 것으로 나타났다.

더불어민주당 최민희 의원실이 KT로부터 제출받은 자료에는 KT가 감염에 소홀히 대처한 정황이 담겼다.

사진=뉴스1

KT 정보보안단 레드팀의 A 차장은 지난해 4월11일 “기업 모바일 서버에서 3월19일부터 악성코드가 실행 중”이라고 담당 팀장에게 보고했다. 보안위협대응팀 B 차장에게도 이 사안이 공유됐다. ‘BPF도어’ 감염을 처음 발견한 시점이다.

같은 날 B 차장은 당시 정보보안단장이던 문상룡 최고보안책임자(CISO)와 황태선 담당(현 CISO) 등에게 “현재 사업 부서별 긴급 취약점 조치·개별 적용 중”이라며 관련 상황을 보고했다. 정보보안단은 4월18일 서버 제조사에 백신 수동 검사와 분석을 요청했지만 회사 경영진에는 보고하지 않았다.

KT 측은 당시 책임자들이 감염의 심각성을 알지 못했다고 설명했다. KT는 “4월18일 문 단장과 모현철 담당이 당시 정보보안단 소속 부문장(오승필 부사장)과 티타임 중 구두로 ‘변종 악성코드가 발견됐다’는 상황을 간략히 공유했다”면서도 “오 부사장은 일상적인 보안 상황 공유로 인식했을 뿐 심각성을 인지하지 못했다”고 밝혔다.

후속 조치도 정보보안단 내 의사결정을 통해서만 이뤄졌다. KT는 5월13일부터 스크립트 기반 악성코드 점검을 시작했다. 6월11일 전사 서버로 점검 범위를 확대하고, 7월 31일까지 점검을 진행했다. 스크립트 기반 점검은 악성코드 탐지용 스크립트를 서버에 일괄 적용해 시스템을 동시에 자동 점검할 수 있는 방식이다.

KT는 이 과정에서 침해사고 신고 여부를 논의하는 공식 회의를 한 차례도 열지 않았다. KT는 “기존에 겪어보지 못한 유형의 악성코드에 대한 초기 분석 및 확산 차단에 집중하는 과정에서 신고 의무에 대해 깊이 생각하지 못했다”고 해명했다.

최민희 의원은 “KT의 이번 BPF도어 감염 사고 은폐 사건은 우리나라를 대표하는 기간 통신사업자의 정보보안 관리 시스템이 무너져있음을 단적으로 증명한 사례”라고 지적했다.

최근 4500여명의 개인정보 유출 사고가 발생한 쿠팡도 침해사고가 발생한 뒤 12일이 지나서야 이를 알아차린 것으로 나타났다.

최 의원실이 한국인터넷진흥원(KISA)로부터 받은 침해사고 신고서에 따르면 쿠팡은 이달 6일 오후 6시38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 침해 사실은 12일 후인 18일 오후 10시52분에 인지했다고 기재됐다.

사진=뉴스1

쿠팡은 20일 피해 고객들에게 “11월18일 고객님의 개인정보가 비인가 조회된 것으로 확인됐다”고 문자 메시지를 보냈다. 쿠팡이 침해 사실을 10일 넘게 파악하지 못하고 고객에게도 정확한 유출 시점을 제대로 알리지 않았다는 비판이 제기되는 대목이다.

다만 쿠팡은 침해사고 인지 후 24시간이 지나기 전에 당국에 신고해 신고 기한을 넘기진 않았다.

쿠팡은 신고서에 “유효한 인증 없이 4536개의 계정 프로필에 접근한 기록이 발견됐다”며 “초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다”고 밝혔다.

기록에는 최근 주문 이력 5건과 고객의 배송 주소록(이름, 전화 번호, 배송주소)이 포함됐다. 과학기술정보통신부와 KISA, 개인정보보호위원회는 쿠팡 신고를 토대로 유출 경위와 피해 여부를 살펴보고 있다.

