“치밀하게 기획된 명령어로 실행”...농협, 사이버테러 규정

실시간
뉴스

딜라이트닷넷

“치밀하게 기획된 명령어로 실행”...농협, 사이버테러 규정

디지털데일리 발행일 2011-04-18 15:14:41

이상일 기자

URL복사

[일문일답]농협 전산장애 원인은?

[디지털데일리 이상일기자] 농협의 전산마비 사태가 일주일째를 맞고 있는 가운데 농협중앙회는 지난 14일에 이어 18일 오전 11시 서울 서대문 농협중앙회 별관에서 기자회견을 자처했다.

이날 기자회견은 농협이 항간에서 제기되고 있는 의혹에 대해 해명하는 차원에서 마련됐으나 가장 큰 관심사인 파일삭제가 누구에 의해 실행됐는지에 대해서는 밝히지 못했다.

이 자리에선 농협 전산마비사고의 개요와 현재 복구 상황, 그리고 외부에서 지적되고 있는 의문에 대해 농협측의 설명이 이어졌다.

지난 14일 기자회견에 비해 새롭게 밝혀진 내용이라면, 파일삭제 명령 대상이 농협의 일부 서버가 아닌 모든 서버였고, 또한 약 5%정도의 신용카드 거래 데이터가 손실됐음을 공식적으로 시인했다는 점이다.

다음은 18일, 농협 관계자들과의 일문일답.

▲구체적인 사고 경위는.

검찰의 수사가 진행되고 있는 만큼 일부 공개를 양해 바란다. 협력사 노트북PC에서 삭제 명령어가 들어간 파일이 실행됐다. 치밀하게 계획된 명령어의 조합이다. 이것이 동시에 전 서버를 공격했다. 하지만 이를 조기 인지해 중계서버를 제외한 나머지 서버에는 이상이 없다.
▲이번 사고로 누군가 이득을 취했을 가능성이 있나.

파일 삭제명령만 내렸고 특정 정보 유출 명령은 없었다. 외부에서 특정 정보를 얻을 목적으로 하는 일반적인 해킹과는 다르다. 이런 사고는 국외에서도 찾기 어려운 희귀한 경우다. 사이버테러 수준이라고 할 수 있다. 치밀하게 기획된 명령어로 실행됐기 때문이다. 상상할 수 없는 명령어가 실행된 것이다.

▲삭제 명령어가 IBM 중계서버를 제외한 다른 서버도 대상으로 했나.

삭제 명령이 전 서버를 대상으로 한 것이지만 보안부서에서 미리 탐지하고 시스템을 셧다운 시켰다. 물론 일부 서버에 침투 흔적이 있지만 장애 서버로 판단하기에는 미미했다.

▲농협 전산망 시스템에 대해 잘 알아야 이번 사고를 일으킬수 있나.

일반적 기술이지만 서버 커널과 네트워크, 방화벽을 모두 꿰뚫고 있어야 가능한 명령조합이다.

▲삭제명령이 내려진 시각은. 삭제 명령이 사전에 심어졌을 가능성은?

12일 오후 4시56분에 삭제 명령이 시작됐다. 명령이 실행되도록 예약됐을 가능성에 대해선 경위를 파악중이다. 현재로서는 어떻게 명령이 실행됐는지 검찰이 분석중인 것으로 알고 있다. 삭제명령어의 경우 독립된 스크립트에 심어졌다. 삭제 명령 자체에는 삭제를 제외한 별도의 명령은 없었다.

▲최고 계정권한을 가지고 있는 직원들에 대한 혐의가 있는 것인가.

이번 사고는 해킹의 수준을 넘어선 것이다. IT본부의 사무실 내에서 PC가 실행됐는데 이는 2-3중의 방어망을 뚫고 한 것이다. 직위의 문제가 아니라 기술의 문제다.

▲왜 중계 서버가 공격 대상이었나.

임의로 선택된 것으로 파악된다. 본 시스템은 2-3중으로 보안이 돼있기 때문에 내부인도 접근이 어렵다.

▲주센터와 백업센터 파일이 같이 지워졌다고 했는데 가능한 일인가.

백업과 본시스템이 동시 삭제된 것은 사상 초유의 일이다. 일반적으로 DR센터에서는 오작동에 의한 업데이트 명령과 정상 업데이트 명령을 기술적으로 구분 못 한다. 이 때문에 삭제명령이 배포됐을 때 DR센터 서버도 이를 구분하지 못하고 받아들였다.

▲(카드)거래 내역 손실 파악 정도는. 원장이 파괴된 것은 아닌가.

--주 원장에 있는 거래데이터는 삭제되지 않았다. 피해서버는 중계서버로 거래 데이터 내역이 쌓이지 않는다. 카드 원장의 경우 지난 토요일부터 복구를 시작했는데 이 과정에서 일부 데이터가 유실된 것으로 파악됐다.

▲디스크 백업도 일부 파괴됐다는데 이유는.

백업은 테이프와 디스크백업으로 나뉘는데 디스크 백업의 경우 비즈니스연속성볼륨(BCV, Business Continuity Volume) 백업체계를 수행하고 있다. 그런데 이를 통해 데이터를 복구하는 과정에서 일부 디스크가 장애로 파손된 것으로 파악됐다. 하지만 이러한 디스크 장애는 통상적으로 발생하는 것으로 장애로 판단하지 않는다.

▲(카드)거래 내역 손실 부분은 어떻게 복구하나.

카드거래와 관련한 정보건수가 4억2천만건으로 여기에 대한 인덱스를 만들면 데이터 유실 정도를 파악할 수 있다. 현재 이 부분을 진행하고 있다.

한편 백업은 테이프 백업과 디스크 백업으로 이뤄지는데 이 둘을 비교해 자료를 복원하고 있다. 백업 디스크가 일부 파괴된 것도 현재는 이 파손된 부분을 조립하는 것이 과제다. 현재 데이터 어느 부분이 비고 어느 부분에서 찾을 수 있는지는 담당 업무 프로그래머와 현황파악을 완료했다. 그래서 지금은 데이터 정합성을 검증하고 있다.