글자크기

농협 전산장애, "전시스템 동시다발적 파괴목적"

 >  금융

농협 전산장애, "전시스템 동시다발적 파괴목적"

신수영 기자
2011.04.18 13:19

농협 전산장애 일문일답-2

이재관 농협중앙회 전무이사와 김유경 복구 TF팀장 등은 18일 농협 별관에서 이번 전산장애와 관련한 브리핑을 가졌다. 이 자리에서 농협은 이번 전산장애를 사실상의 사이버테러로 봤으며, 내부에서 저질러졌다고 판단했다. 다음은 농협 관계자와의 일문일답 두 번째다.

-구체적 사건경위를 말해달라.

▶협력업체 PC에서 삭제명령이 실행됐다. 보안팀에서는 삭제명령이 상당히 치밀 계획된 고도의 경험 있는 사람이 작성한 명령어 조합이라 판단하고 있다. rndd는 유닉스 명령이다. 해당 서버 파일 파괴토록 돼 있는 내부 명령어다. 이것이 전 서버를 동시 공격했다. 사태 심각성을 인식해 중계서버에 있는 명령은 중간에 네트워크 차단하고 다른 모든 서버를 셧다운했다. 그래서 당일 17시 30분부터 농협 전 거래 중단됐다.

-어디에 심어져 있었나?

▶별도 독립된 스크립트에 심어져 있었다. 별도의 명령어 조합으로 돼 있는 걸로 파악하고 있다. 정확한 시간은 16시 56분으로 기억한다.

-외부 USB에서 실행됐다는 보도가 있는데.

▶정확치 않은 보도다. 어떻게 실행됐는지는 검찰에서 수사 중이다.

-프로그램 실행될 때 해당직원이 자리에 있었나

▶말하기 어렵다. 검찰이 당시 CCTV를 내부적으로 확보해서 수사 중인 걸로 안다.

-전 서버에 한 번에 명령할 수 있게 설계돼 있다는 이야기인데, 이런 명령권한 가진 사람 몇 명이었나.

▶우리나라에서도 외국사례에도 찾아보기 어렵다. 사이버테러수준 아닐까 생각 들 정도로 치밀하게 계획된 명령어 조합으로 돼 있었다. 삭제명령이 가장 핵심이고, 동시에 실행될 수 있도록 구성됐다. 우리 IT본부 PC에서 실행됐다. 이중삼중 방호벽을 뚫고 들어왔다. 직위의 문제가 아니라 기술의 문제, 일상적 해킹 수준을 넘어서지 않았나 한다.

(전무 보충설명)파일 삭제명령은 최고 명령이다. 이런 명령 내릴 수도 없고 내려서도 안 되는 것으로 알고 있다. 상상할 수 없는 명령어가 들어왔다.

-왜 중계서버 공격하려 했나.

▶추정이지만 의도적으로 계획했던 쪽에서 임의로 선택한 부분이 중계서버로 파악하고 있다. 본시스템은 이중삼중 방어장치 돼 있어서 내부인도 함부로 접근 못한다.

-해고 등으로 앙심 품은 직원 있나.

▶본사 아이티본부 직원 중에는 해고된 직원이 없다.

-카드 입금 못해 밀려있는 액수는.

▶12일부터 오늘까지 5일간 7만3500건. 577억7800만원이다. 이 부분은 오늘 정상적으로 전부 입금시킬 예정이다.

-해킹인가

▶이번 경우는 우리 내부에서 전 시스템에 파괴명령이 동시다발 수행됐다는 면에서 사태가 상당히 심각했다는 생각에서 드린 말이다.

-누군가 고의적 이득을 취했을 가능성은.

▶명령어 조합에는 삭제명령 외에는 아무 것도 없었다. 유출해가거나 특정서버로 전송하라는 명령이 없었다. 파괴명령만 들어 있었다.

독자들의 PICK!

-내부자로 보나.

▶보안시스템이 실시간으로 모든 접속내용을 감시하고 있다. 우리가 10분만에 전 서버 셧다운 시킨 것도 보안시스가 정상적으로 작동했기 때문이다. 고객원장 유출을 사전에 막을 수 있었다. 명령어가 중계서버로 국한된 게 아니고, 전 서버로 목표가 설정돼 있는 걸로 현재는 해석된다. 사실은 일부 다른 서버도 침투 시도 있었으나 피해 미미해서 장애서버로 구분하지 않았다.

-다른 서버란.

▶특정 벤더 지칭하는 것은 좀....IBM서버 이외 서버에 침투된 흔적은 있다. 이 명령어는 서버에 커널과 네크워크 방호벽을 전부 꿰고 있어야 가능한 명령어 조합이다.

-피해보상 시점은 언제부터? 집단소송 움직임이 있다. 정신적 피해보상 등을 어떻게 대응할 것인가.

▶(한용석 준법지원부장)영업 창구에서 고객과 점장 간 합의해 의해 이뤄지고 있다. 혹시 안 되는 것은 본부 심사위에서 하겠다. 정신적 보상에 대해서는 아직 우리나라에서 판결 정확하게 있는 사례 없다. 전문가 자문 받아서 연구한 다음 말하겠다.

-피해보상 920건 금액으로 얼마인가.

▶920건 중에서 금액환산 청구한 건 12건에 558만원이고, 이중 3건 163만원은 보상완료 했다.

-문제 노트북 외부로 반출된 정황 확인되나

▶반출하려면 포맷한 뒤 하게 돼 있다. 만일 그렇다면 로그 기록이 남아있을 것이다.

-방어벽을 뚫었다는 건 내부자 아니면 불가능했다는 뜻인가.

▶말하기 어렵다. 내부에서 저질러졌고, 파괴명령이 들어가 있고 동시다발로 전 서버시스템 대상으로 하고 있다는 점에서 보안사례에서 극히 드문 예로 본다. 기관 망 전체를 무력화하려는 시도로 보인다.

<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>

관련 기사

공유