KT, 악성코드 감염 확인하고도 신고 안해…개보위 “개인정보 유출 여부 조사”

[마이데일리 = 박성규 기자] KT가 악성코드 ‘BPF도어’에 감염된 서버를 확인하고도 개인정보 유출 신고를 하지 않은 것으로 드러났다. 개인정보보호위원회는 신고 지연 여부와 실제 유출 가능성을 함께 들여다보는 조사에 착수했다.

7일 통신업계에 따르면 KT는 지난해 3~7월 사이 ‘BPF도어’와 ‘웹셸(WebShell)’ 등 악성코드에 감염된 서버 43대를 자체 확인했으나, “유출 정황이 없었다”는 이유로 관계기관에 신고하지 않았다. 해당 서버에는 이름·전화번호·이메일·단말기식별번호(IMEI) 등 고객 개인정보가 포함돼 있었다.

‘BPF도어’는 서버 내부에 장기간 잠복하며 탐지를 회피하는 고도화 악성코드로, 올해 초 SK텔레콤 대규모 해킹 사태에서도 동일 계열로 활용됐다. 업계는 SK텔레콤 사례에서 2300만 명 이상 이용자의 개인정보가 유출된 점을 감안하면 KT 역시 유사한 공격 루트에 노출됐을 가능성을 배제하기 어렵다고 본다.

현행 개인정보보호법 시행령은 개인정보처리자가 1000명 이상의 개인정보 유출 사실을 인지하면 72시간 이내에 개인정보보호위원회에 신고하도록 규정하고 있다. KT는 “합동조사단 조사 결과에서도 유출 사실이 확인되지 않았다”며 “법령상 요건에 해당하지 않아 신고하지 않았다”는 입장이다.

하지만 보안 전문가들은 감염 서버 규모와 악성코드 특성을 고려할 때 단순 감염으로 보기 어렵다고 지적한다.

한 보안 전문가는 “BPF도어는 침입 후 명령제어(C2) 서버와 연결돼 내부 정보를 빼내는 구조를 가진다”며 “유출이 명확히 확인되지 않았다고 해서 피해가 없다고 단정하기 어렵다”고 말했다.

개인정보보호위원회는 이번 사건을 KT의 정보보호 관리체계 전반을 점검하는 계기로 삼을 방침이다.

위원회 관계자는 “BPF도어 감염으로 인한 개인정보 유출 여부와 신고 적정성을 함께 조사 중”이라며 “민관 합동조사단 조사 내용을 모두 공유받아 종합 점검하고 있다”고 밝혔다.