이유도 경고도 없는 농협 전산망 공격
![[Focus] 폭탄보다 무서운 사이버 테러…"모든 게 한순간에 날아간다"](https://img.hankyung.com/photo/201104/2011042120281_2011042240901.jpg)
약 한 달 전,누군가가 농협의 서버를 관리하던 IBM 직원의 노트북에 '모든 파일을 삭제하라'는 내용의 명령어(rm 및 dd 명령어 등)가 든 프로그램을 심었다.
지난 12일 오후 4시56분,이 프로그램은 최고관리자의 권한(super root)으로 서버에 접속했다.
키보드는 사용하지 않았고 USB 등 이동저장장치나 무선랜 등을 통해 프로그램을 실행했다.
비밀번호는 농협과 IBM 직원 중에서도 4~5명밖에는 알 수 없는 것이었지만 그에겐 문제가 되지 않았다.
공격자의 명령어는 치밀하게 계획돼 있었다. 보안을 위해 쌓아둔 방화벽의 구성을 미리 알고 있었던 듯 가볍게 뛰어넘었다.
명령어는 이어 IBM과 HP 썬 등 3개 회사가 운영하는 서버 안의 모든 내용을 삭제하는 작업을 시작했다.
IBM의 중계서버(시스템을 운영하기 위한 프로그램이 돌아가는 서버) 안의 내용들이 차례로 삭제됐다.
고객의 예금 · 대출 등 금융거래 데이터가 포함돼 있는 다른 2개 서버에도 공격이 들어갔다.
오후 5시10분,전산망이 강제로 작동을 멈췄다. 상황이 뭔가 심각하다는 것을 인지한 농협 IT 본부가 일단 공격을 멈추기 위해 전원을 끊어버린 것이다.
농협 발표와 검찰 수사 내용을 토대로 구성한 농협 전산망 사고의 흐름이다.
⊙ 모든 것이 날아갈 수 있었다
농협 전산망 마비 사고가 일어난 첫날,대부분의 사람은 이를 대단치 않은 일로 여겼다.
금융회사의 전산장애가 드물긴 하지만 종종 일어났기 때문에 금방 복구될 것이라고 봤기 때문이다.
하지만 달랐다. 농협은 지난 13일 창구업무를 제 시간(오전 9시)에 개시하지 못하고 낮 12시가 지나서야 재개했다. 이어 14일까지 현금자동입 · 출금기(ATM) 업무와 인터넷 뱅킹 일부 업무를 차례로 복구했다.
하지만 카드 관련 업무는 지난 21일까지도 100% 복구되지 않은 상황이다.
매우 이례적인 일이다.
금융회사 IT 관계자들은 "재해나 외부 공격에 의해 시스템이 멈추더라도 통상 48시간 내에 모두 복구가 된다"고 설명한다.
왜 복구가 늦어졌는지에 대한 해명은 18일 기자회견에서야 대략적으로 나왔다.
처음 생각과 달리 이번 사고는 누군가의 실수나 단순공격에 따른 게 아니었다.
매우 치밀하게 농협만을 타깃으로 짜인 사이버 테러였다.
"해킹 이상의 소행"이라며 "기간망 전체를 무력화하려는 시도"였다는 것이다.
이로 인해 서버 553대 중 무려 275대가 망가졌고,심지어 카드 사용내역과 관련된 데이터 일부까지 훼손됐다.
일단 복구에만 1주일 이상이 걸렸다.
'누가 왜 했느냐'를 밝히는 수사에는 훨씬 더 오랜 시간이 걸릴 전망이다.
농협의 금융거래 데이터가 지켜진 것은 사실상 '우연'에 가깝다. 보안망은 무력했다.
농협의 주요 금융거래 내역은 HP서버 등에 저장돼 있다.
농협 측은 명령어가 IBM 중계서버를 망가뜨린 것은 "의도적으로 계획을 했던 쪽에서 임의로 선택한 부분이 그것(IBM 중계서버)으로 생각된다"며 "다른 서버들에도 공격 명령이 침투됐지만 전산망 셧다운으로 차단했다"고 밝혔다.
만약 전산망을 강제로 닫은 시점이 10분만 더 늦었다면 고객들의 예 · 적금이나 대출 정보까지 사라질 수 있었다는 얘기다.
김유경 농협 IT본부 팀장은 공격 명령어에 관해 "가장 핵심적인 명령이 동시에 실행될 수 있도록 구성돼 있었다"고 말했다.
검찰 관계자는 "(전산망 파일삭제를 위한) 파일이 만들어져 실행된 것으로 조사됐다"며 "컴퓨터 자체나 또는 USB 내에 있던 이 파일이 마우스 클릭이나 다른 수단으로 실행됐을 것"이라고 말했다.
⊙ 경고 없는 테러…동기 의문
의문은 '누가,왜 했나'다. 농협 측은 처음엔 내부 소행에 비중을 두는 해석을 내놨다.
물리적으로 '모든 파일 삭제' 명령어가 서울 양재동 농협 IT본부 건물 3층 시스템 작업실에 있던 노트북에서 실행됐기 때문이다.
김 팀장은 "운영체제(커널)와 네트워크 방화벽 구성을 꿰고 있어야 가능한 조합"이라고 설명했다.
그러나 검찰 수사가 진행되면서 사건에 대한 해석은 180도 바뀌고 있다.
적어도 내부와 외부가 공모했을 가능성이 제기된다. 이 경우 외부 해킹조직이 관련돼 있을 수 있다.
"처음엔 조직에 불만이 있는 1명이 고의로 테러를 벌였다고 생각했지만,이제는 그런 단순한 사안이 아니라 훨씬 복잡한 사안이 됐다"는 게 농협 관계자들의 평가다.
농협 측은 "내부 IT 담당 직원들 중 최근에 해고된 사람은 없다"고 했다.
갑자기 잠적한 사람도 없다. 금융회사의 혼란을 틈타 돈을 가로채려 하는 등의 시도도 발견되지 않았다.
김 팀장은 혼란을 의도해 이득을 본 사람이 있겠느냐는 질문에 "공격 명령어에는 '삭제하라'는 명령뿐이었고 정보를 유출하거나 특정 서버로 내용을 복사해 전송하는 명령은 없었다"고 했다.
돈을 요구하지도 않았고,경고 메시지도 날리지 않은 채 갑자기 '테러'가 시작됐다.
검찰 관계자는 "농협 사건이 복잡해지고 있고 치밀하게 한 것 같다"며 "현대캐피탈 사태처럼 처음부터 돈을 요구한 것도 없어 사건의 실체가 뭔지 파악이 쉽지 않다"고 설명했다.
"긴 터널에 들어온 것 같다"고 비유하기도 했다.
⊙ 부실한 전산 관리 드러나
범인이 누구냐와 별개로,이번 사건을 계기로 농협의 부실한 전산 관리감독 실태가 적나라하게 드러나고 있다.
미래희망연대 김혜성 의원이 농협에서 제출받아 공개한 문서에 따르면 농협은 최장 6년9개월 동안 시스템 운영 비밀번호를 바꾸지 않아 작년 11월 금감원에서 시정하라는 명령을 받았다.
농협 지침은 3개월마다 1회 이상 비밀번호를 바꾸도록 규정하고 있다.
비밀번호도 계정명과 같거나 1이나 0000 같은 단순 숫자로 설정된 경우가 많았다.
있으나마나한 '종이호랑이 비밀번호'였던 셈이다.
농협 측은 "개발자들이 작업과정에서 쓰는 비밀번호로 실제 중요 내용이 들어 있는 시스템 파일들에 대한 접근 번호는 아니다"고 해명했다.
농협은 3년 전에도 전산상 권한설정을 잘못해 민원인의 민원 내용이 공개되도록 하는 바람에 민원인에게 합의금을 지불한 적이 있다.
⊙ "피해 전액보상" 약속했지만
농협은 사건 발생 직후부터 꾸준히 "피해액을 전액 보상하겠다"고 강조하고 있다.
21일까지 농협이 집계한 민원전화는 총 31만1408건에 이른다.
이 중 1047명은 연체이자 이체수수료 발생 등에 따라 피해보상을 요구했다.
농협은 1047건 중 735건에 대해서 651만2000원을 보상했다.
대부분 피해액이 분명한 연체수수료 등이었다.
하지만 문제는 피해가 분명치 않은 경우다.
주식을 사고 팔려고 했는데 자금 인출을 제때 못하는 등 '기회비용' 사례들이다.
부동산 계약 체결,물품대금 납입 등 중요한 금융거래를 제때 못해 입은 물질적,정신적 피해도 있다.
이에 따라 네티즌과 금융소비자연맹을 중심으로 옥션 해킹사건과 하나로텔레콤 개인정보 유출 때처럼 집단소송 움직임도 나타나고 있어 앞으로 추이가 주목된다.
이상은 한국경제신문 기자 selee@hankyung.com
지난 12일 오후 4시56분,이 프로그램은 최고관리자의 권한(super root)으로 서버에 접속했다.
키보드는 사용하지 않았고 USB 등 이동저장장치나 무선랜 등을 통해 프로그램을 실행했다.
비밀번호는 농협과 IBM 직원 중에서도 4~5명밖에는 알 수 없는 것이었지만 그에겐 문제가 되지 않았다.
공격자의 명령어는 치밀하게 계획돼 있었다. 보안을 위해 쌓아둔 방화벽의 구성을 미리 알고 있었던 듯 가볍게 뛰어넘었다.
명령어는 이어 IBM과 HP 썬 등 3개 회사가 운영하는 서버 안의 모든 내용을 삭제하는 작업을 시작했다.
IBM의 중계서버(시스템을 운영하기 위한 프로그램이 돌아가는 서버) 안의 내용들이 차례로 삭제됐다.
고객의 예금 · 대출 등 금융거래 데이터가 포함돼 있는 다른 2개 서버에도 공격이 들어갔다.
오후 5시10분,전산망이 강제로 작동을 멈췄다. 상황이 뭔가 심각하다는 것을 인지한 농협 IT 본부가 일단 공격을 멈추기 위해 전원을 끊어버린 것이다.
농협 발표와 검찰 수사 내용을 토대로 구성한 농협 전산망 사고의 흐름이다.
⊙ 모든 것이 날아갈 수 있었다
농협 전산망 마비 사고가 일어난 첫날,대부분의 사람은 이를 대단치 않은 일로 여겼다.
금융회사의 전산장애가 드물긴 하지만 종종 일어났기 때문에 금방 복구될 것이라고 봤기 때문이다.
하지만 달랐다. 농협은 지난 13일 창구업무를 제 시간(오전 9시)에 개시하지 못하고 낮 12시가 지나서야 재개했다. 이어 14일까지 현금자동입 · 출금기(ATM) 업무와 인터넷 뱅킹 일부 업무를 차례로 복구했다.
하지만 카드 관련 업무는 지난 21일까지도 100% 복구되지 않은 상황이다.
매우 이례적인 일이다.
금융회사 IT 관계자들은 "재해나 외부 공격에 의해 시스템이 멈추더라도 통상 48시간 내에 모두 복구가 된다"고 설명한다.
왜 복구가 늦어졌는지에 대한 해명은 18일 기자회견에서야 대략적으로 나왔다.
처음 생각과 달리 이번 사고는 누군가의 실수나 단순공격에 따른 게 아니었다.
매우 치밀하게 농협만을 타깃으로 짜인 사이버 테러였다.
"해킹 이상의 소행"이라며 "기간망 전체를 무력화하려는 시도"였다는 것이다.
이로 인해 서버 553대 중 무려 275대가 망가졌고,심지어 카드 사용내역과 관련된 데이터 일부까지 훼손됐다.
일단 복구에만 1주일 이상이 걸렸다.
'누가 왜 했느냐'를 밝히는 수사에는 훨씬 더 오랜 시간이 걸릴 전망이다.
농협의 금융거래 데이터가 지켜진 것은 사실상 '우연'에 가깝다. 보안망은 무력했다.
농협의 주요 금융거래 내역은 HP서버 등에 저장돼 있다.
농협 측은 명령어가 IBM 중계서버를 망가뜨린 것은 "의도적으로 계획을 했던 쪽에서 임의로 선택한 부분이 그것(IBM 중계서버)으로 생각된다"며 "다른 서버들에도 공격 명령이 침투됐지만 전산망 셧다운으로 차단했다"고 밝혔다.
만약 전산망을 강제로 닫은 시점이 10분만 더 늦었다면 고객들의 예 · 적금이나 대출 정보까지 사라질 수 있었다는 얘기다.
김유경 농협 IT본부 팀장은 공격 명령어에 관해 "가장 핵심적인 명령이 동시에 실행될 수 있도록 구성돼 있었다"고 말했다.
검찰 관계자는 "(전산망 파일삭제를 위한) 파일이 만들어져 실행된 것으로 조사됐다"며 "컴퓨터 자체나 또는 USB 내에 있던 이 파일이 마우스 클릭이나 다른 수단으로 실행됐을 것"이라고 말했다.
⊙ 경고 없는 테러…동기 의문
의문은 '누가,왜 했나'다. 농협 측은 처음엔 내부 소행에 비중을 두는 해석을 내놨다.
물리적으로 '모든 파일 삭제' 명령어가 서울 양재동 농협 IT본부 건물 3층 시스템 작업실에 있던 노트북에서 실행됐기 때문이다.
김 팀장은 "운영체제(커널)와 네트워크 방화벽 구성을 꿰고 있어야 가능한 조합"이라고 설명했다.
그러나 검찰 수사가 진행되면서 사건에 대한 해석은 180도 바뀌고 있다.
적어도 내부와 외부가 공모했을 가능성이 제기된다. 이 경우 외부 해킹조직이 관련돼 있을 수 있다.
"처음엔 조직에 불만이 있는 1명이 고의로 테러를 벌였다고 생각했지만,이제는 그런 단순한 사안이 아니라 훨씬 복잡한 사안이 됐다"는 게 농협 관계자들의 평가다.
농협 측은 "내부 IT 담당 직원들 중 최근에 해고된 사람은 없다"고 했다.
갑자기 잠적한 사람도 없다. 금융회사의 혼란을 틈타 돈을 가로채려 하는 등의 시도도 발견되지 않았다.
김 팀장은 혼란을 의도해 이득을 본 사람이 있겠느냐는 질문에 "공격 명령어에는 '삭제하라'는 명령뿐이었고 정보를 유출하거나 특정 서버로 내용을 복사해 전송하는 명령은 없었다"고 했다.
돈을 요구하지도 않았고,경고 메시지도 날리지 않은 채 갑자기 '테러'가 시작됐다.
검찰 관계자는 "농협 사건이 복잡해지고 있고 치밀하게 한 것 같다"며 "현대캐피탈 사태처럼 처음부터 돈을 요구한 것도 없어 사건의 실체가 뭔지 파악이 쉽지 않다"고 설명했다.
"긴 터널에 들어온 것 같다"고 비유하기도 했다.
⊙ 부실한 전산 관리 드러나
범인이 누구냐와 별개로,이번 사건을 계기로 농협의 부실한 전산 관리감독 실태가 적나라하게 드러나고 있다.
미래희망연대 김혜성 의원이 농협에서 제출받아 공개한 문서에 따르면 농협은 최장 6년9개월 동안 시스템 운영 비밀번호를 바꾸지 않아 작년 11월 금감원에서 시정하라는 명령을 받았다.
농협 지침은 3개월마다 1회 이상 비밀번호를 바꾸도록 규정하고 있다.
비밀번호도 계정명과 같거나 1이나 0000 같은 단순 숫자로 설정된 경우가 많았다.
있으나마나한 '종이호랑이 비밀번호'였던 셈이다.
농협 측은 "개발자들이 작업과정에서 쓰는 비밀번호로 실제 중요 내용이 들어 있는 시스템 파일들에 대한 접근 번호는 아니다"고 해명했다.
농협은 3년 전에도 전산상 권한설정을 잘못해 민원인의 민원 내용이 공개되도록 하는 바람에 민원인에게 합의금을 지불한 적이 있다.
⊙ "피해 전액보상" 약속했지만
농협은 사건 발생 직후부터 꾸준히 "피해액을 전액 보상하겠다"고 강조하고 있다.
21일까지 농협이 집계한 민원전화는 총 31만1408건에 이른다.
이 중 1047명은 연체이자 이체수수료 발생 등에 따라 피해보상을 요구했다.
농협은 1047건 중 735건에 대해서 651만2000원을 보상했다.
대부분 피해액이 분명한 연체수수료 등이었다.
하지만 문제는 피해가 분명치 않은 경우다.
주식을 사고 팔려고 했는데 자금 인출을 제때 못하는 등 '기회비용' 사례들이다.
부동산 계약 체결,물품대금 납입 등 중요한 금융거래를 제때 못해 입은 물질적,정신적 피해도 있다.
이에 따라 네티즌과 금융소비자연맹을 중심으로 옥션 해킹사건과 하나로텔레콤 개인정보 유출 때처럼 집단소송 움직임도 나타나고 있어 앞으로 추이가 주목된다.
이상은 한국경제신문 기자 selee@hankyung.com
![[수능에 나오는 경제·금융] 세계 각국이 '일본화 현상'…탈출구는 혁신](https://img.hankyung.com/photo/202404/AA.36514019.3.jpg)
![[경제야 놀자] 2만원보다 1만9900원이 '훨씬 싸다'고 느끼는 이유](https://img.hankyung.com/photo/202404/01.36538353.3.jpg)
![[경제학 원론 산책] 중앙은행이 지급준비율 조정할때 변동되죠](https://img.hankyung.com/photo/202404/AA.36503891.3.jpg)