농협 파견된 한국IBM 직원 노트북에서 삭제명령, 실수로 보기엔 장애범위 너무 커
농협이 장애를 일으킨 전산망을 일부 복구한 가운데 사건의 실마리가 하나씩 드러나고 있다.
일단 12일 오후 5시께 농협 IT본부 분사에 파견된 한국IBM 직원의 노트북에서 IBM 중계서버에 대한 파일 삭제 명령이 내려지면서 장애가 시작된 것으로 드러났다.
농협측은 "협력사 직원 노트북에서 장애를 일으킨 명령이 실행된 흔적이 발견됐다"고 설명했다.
농협의 전산시스템은 IBM과 HP 등 여러 제조사 서버를 사용하고 있지만 유독 IBM 서버 100여대에서만 실행파일이 삭제된 것도 이를 뒷받침하고 있다.
다만 이 직원은 "누군가에 의해 노트북을 통해 파일 삭제 명령이 내려졌을 뿐 자신과는 무관하다"고 진술한 것으로 전해졌다.
한국IBM은 농협에 직원을 파견해 시스템 유지보수를 지원하는 것으로 알려졌다.
한국IBM은 사건의 세부사항에 대해서는 본사방침을 이유로 공식 확인을 거절하고 있지만 검찰수사와 당국조사에 협조한다는 입장을 전했다.
때문에 이번 농협전산망 중단 사고는 누가 그리고 어떠한 경로와 목적으로 중계서버의 핵심 실행파일에 대한 삭제명령을 내렸는지로 모아지고 있다.
이번에 삭제된 것은 업무용 서버의 운용매뉴얼격인 파일시스템인데 삭제되면 서버가 작동불능에 빠지고 복구에도 상당한 시간이 소요된다.
특히 각종 거래데이터를 저장해두는 '재해복구시스템'(DR)에서 마저 일부 데이터가 훼손된 것으로 드러났다. 이는 실행파일이 삭제된 중계서버와는 무관하다. 복구가 늦어진 것은 DR데이터를 제 3차 백업장치인 테이프스토리지에서 옮겨오는데 시간이 걸렸기 때문으로 전해지고 있다.
내부직원 또는 협력사 직원의 실수라고 보기엔 장애의 범위와 피해가 너무 큰 것이다.
이 때문에 전문가들은 "복수의 시스템에 대해 파일삭제 명령이 내려지고 DR 데이터 마저 훼손된 것은 아무리 생각해도 고의라고 볼 수밖에 없다"면서 의도적 해킹가능성을 제기하고 있다.
농협 역시 사태의 심각성을 반영, 이날 오후 수사기관과 금융당국에 이번 전산장애에 대한 원인규명을 의뢰한다고 밝혔다.
독자들의 PICK!
일각에서는 아무리 협력업체인 한국IBM이 자사 서버에 대한 유지보수를 전담한다 하더라도 전체 전산시스템을 교란하는 파일삭제 명령이 아무런 제지없이 자유롭게 내려졌다는 것은 그만큼 농협의 IT보안체계가 허술하다는 뜻이라며 안이한 보안의식을 질타하는 목소리도 커지고 있다.