KTが前年、個人情報を含むサーバーがマルウェア「BPFドア」(BPFDoor)に感染した事実を把握しながら、科学技術情報通信部など関係当局はもちろん代表取締役にさえ報告せず、情報保安団内部で隠蔽していたことが明らかになった。
21日、国会科学技術情報放送通信委員長のチェ・ミニ議員室がKTから提出を受けた感染認知時点および内部意思決定資料には、このような状況が盛り込まれていた。
チェ議員室がKTから受け取った資料によると、KT情報保安団レッドチーム所属のA次長は前年4月11日、「企業モバイルサーバーで3月19日からマルウェアが稼働中」という事実を担当チーム長に報告し、セキュリティ脅威対応チームのB次長にも共有した。これはBPFドア感染を初めて確認した時点である。同日、B次長は当時情報保安団長だったムン・サンリョン最高情報セキュリティ責任者(CISO)とファン・テソン担当(現CISO)らに「事業部署別に緊急脆弱性措置・個別適用中」という内容を報告した。
情報保安団は続いて4月18日、サーバー製造会社にワクチンの手動検査と分析を「緊急」で要請するなど内部対応に乗り出したが、肝心の会社経営陣にはいかなる公式報告も上げなかった。KTは「ムン団長らがオ・スンピル当時の部門長(副社長)とティータイム中に『変種マルウェアが見つかった』という事実を口頭で共有した」とし、「オ副社長はこれを日常的なセキュリティ状況の共有と認識しただけで深刻性は把握していなかった」と説明した。緊急措置が進行する最中にも、最高経営陣への報告が『お茶を飲みながらの一言』レベルにとどまったということだ。
侵害事故の申告をしなかった理由についても、KTは「既存に経験のない類型のマルウェアに対する初期分析と拡散遮断に集中するあまり申告義務を深く考慮できなかった」と主張した。しかし内部では「緊急対応」が進んだにもかかわらず、代表報告・法定申告が漏れた点で、隠蔽の意図があったのではないかとの指摘が出ている。
後続措置もまた保安団の内部判断のみで進められた。KTは5月13日からスクリプト基盤のマルウェア点検を実施した後、6月11日から全社サーバーへ拡大し、7月31日まで点検を続けた。当時の指揮は、その後CISOに昇進したファン・テソン担当が担った。この過程もオ副社長にティータイム中に簡単に共有する水準にとどまり、KTは「オ副社長は日常的なセキュリティ点検と認識した」と繰り返し説明した。KTは感染事実に関して侵害事故の申告可否を議論する公式会議を一度も開かなかった。
結局、氏名、電話番号、メールアドレス、端末識別番号(IMEI)など加入者の個人情報が保存されたサーバーを含め、計43台のサーバーが感染したにもかかわらず、KTは最高経営陣への報告と当局への申告をいずれも行わず、内部のみで事態を処理してきたということだ。BPFドア感染の事実は今月、官民合同調査団のサーバーフォレンジックを通じて遅れて明らかになった。
チェ・ミニ科放委員長は「KTのBPFドア感染隠蔽事件は、期間通信事業者のセキュリティ管理体制が事実上崩壊していることを示す代表例だ」と述べ、「経験のない変種マルウェアだとしながらも『深刻性を認識できなかった』という説明は国民を欺く行為だ」と批判した。さらに「科学技術情報通信部は違約金免除の撤回、営業停止、捜査依頼など可能なあらゆる手段でKTの責任を厳正に問うべきであり、KTは全面的な刷新に乗り出すべきだ」と訴えた。