【 청년일보 】 KT가 지난해 3월부터 7월 사이 자사 서버 43대가 'BPF도어(BPFDoor)' 및 '웹셸(Webshell)'과 같은 은닉성이 강한 악성코드에 대규모로 감염된 사실을 파악하고도, 관계 당국에 이를 신고하지 않은 채 자체적으로 조치하고 은폐한 정황이 뒤늦게 민·관 합동조사단의 중간 조사 결과 발표를 통해 확인되면서 파장이 일고 있다.

특히 감염된 서버 중 일부에는 성명, 전화번호, 이메일 주소, 단말기식별번호(IMEI) 등 가입자의 주요 개인정보가 저장되어 있었던 것으로 알려져 개인정보 유출 가능성에 대한 심각한 우려를 낳고 있다.

BPF도어는 시스템에 잠복하여 장기간 탐지를 피하는 백도어 형태의 악성코드로, 올해 초 수천만 명의 개인정보가 유출된 SK텔레콤(SKT) 해킹 사태에서도 핵심 공격 수단으로 사용된 바 있다.

이러한 선례에도 불구하고 KT는 현재까지 개인정보 유출 정황이 발견되지 않았다는 이유로 현행 개인정보보호법 시행령이 규정하는 1천 명 이상 개인정보 유출 시 72시간 이내 신고 의무를 이행하지 않은 것으로 파악됐다.

KT 측은 "민관합동조사단도 유출이 확인된 내용은 없다고 발표했으며, KT 역시 개인정보 유출 정황이 보이지 않아 신고하지 않은 것"이라고 해명했다.

그러나 업계 및 정부 당국은 SKT 서버에서 BPF도어 계열을 포함한 33종의 악성코드가 발견되었고, 이로 인해 SKT가 역대 최대인 약 1,348억 원의 과징금을 부과받았던 전례를 볼 때, KT 역시 개인정보가 외부로 유출되었을 가능성을 배제하기 어렵다고 보고 있다.

실제로 KT는 악성코드 감염 사실을 자체적으로 조치하는 과정에서 악성코드 제거 스크립트를 실행한 흔적이 포렌식 분석을 통해 발견되었는데, 이는 SKT 사태 이후 정부가 진행한 이동통신사 전수조사에서 KT 해킹 사실이 발견되지 않았던 이유로 지목되며 조직적 은폐 의혹까지 제기되고 있다.

현재 개인정보보호위원회는 이미 불법 초소형 기지국(펨토셀)을 활용한 무단 소액결제 사건과 관련하여 KT에 대한 현장 조사를 진행 중이며, 이번에 드러난 BPF도어 감염 건에 대해서도 개인정보 유출 여부, 침해 규모, 그리고 지연 신고 가능성 등을 포함하여 조사 범위를 확대할 방침이다.

개인정보위 관계자는 “KT의 신고가 없더라도 인지 조사가 가능하며, 과학기술정보통신부로부터 민·관 합동조사단의 조사 내용을 모두 공유받았다”고 밝혀 엄정한 조사를 예고했다.

정부는 이번 사안을 매우 중대한 사안으로 인식하고 있으며, 조사 결과를 토대로 KT에 대한 행정 제재 및 법적 책임을 엄중히 물을 계획이다.

【 청년일보=이성중 기자 】