농협 사태 "루트권한 탈취 DR까지 삭제 탓"

일반입력 :2011/04/13 18:41    수정: 2011/04/14 11:47

김희연 기자

사고 발생 20시간이 지나서도 완전 복구가 이루어지지 않고 있는 농협 전산망 마비 사태는 내부 관계자에 의해 의도적으로 파일 및 DR(재해복구) 서버가 파괴된 때문이라는 분석이 나왔다.

13일 익명을 요구한 금융업계 관계자는 가장 문제가 되는 것은 최상위 권한인 '루트권한'까지 탈취됐다는 것이라고 말했다. 이를 통해 회사 내부자가 대외 및 채널 서비스를 제공하는 서버 일부 파일 삭제 뿐 아니라 DR(재해복구)서버까지 파괴한 것으로 보인다. 이 때문에 신속한 복구가 이뤄지지 못하고 있다고 말했다.

그는 내부자가 주센터 파괴가 목적이 아니라 시스템파괴를 통한 마비가 목적이었던 것으로 보인다면서 DR서버까지 파괴해 복구를 지연시켰다는 점으로 미뤄볼 때 내부자 소행임을 확인해주는 증거가 될 수 있을 뿐 아니라 '루트권한'을 탈취하지 않으면 시스템 파괴는 이뤄질 수 없는 작업일 것이라고 밝혔다.

최초 농협 측 주장처럼 단순한 서비스 장애였다면, 장시간 서비스가 중단되는 사태가 없었을 것이라는 것이다.

관련업계 전문가들도 상식적으로 단순한 서비스 장애문제인 경우나 시스템 파괴였다면 이처럼 오랜시간 복구작업이 진행되지는 않았을 것이라면서 DR센터 시스템파괴로 모든 데이터를 다시 복구해야 했기 때문에 장시간 지체됐을 가능성이 높다고 설명했다.

때문에 이번 사건을 일으킨 내부 관계자는 의도적으로 서버에 접근해 파일을 삭제했을 가능성에 한층 더 무게가 실리고 있는 상황이다.

다른 금융업계 관계자는 농협은 아마도 IBM서버 파일이 삭제된 정황 이외에도 내부자 소행 정황 등 여러 가지 정황 증거들을 이미 포착했지만 워낙 민감한 사안이다 보니 섣불리 언급할 수 없을 것이라고 말했다.

실제로 농협 측은 현대캐피탈 해킹사건을 의식한 탓인지 해킹사태는 아니라고 공식부인했다. 또 협력업체 직원 PC를 통해 파일 삭제 명령이 내려진 것이란 설명만 되풀이 하고 있다.

그러나 보안업계 한 관계자는 내부 관계자 소행인 경우, 권한관리가 모두 이뤄지고 있는 금융 시스템구조상 내부자 아이디나 패스워드를 이용해 접속했을 것이고 모든 접속기록 등 증거들이 남아 있을 것이라고 사건을 분석했다.

관련기사

농협은 끊임없이 해킹이나 내부자 유출이 아니라고 부인했지만, 관련 IT관계자들은 단순한 서버장애가 이렇게 장시간 복구되지 않을 수 있는가에 대해 의문을 제기했다. 이번 농협 장애가 신속하게 전산장애를 처리하는 것이 통상적이었던 금융업계에서 이례적인 일이었기 때문이다.

한 금융 IT전문가는 제1금융권은 주요정보통신기반 시설로 지정됐기 때문에 엄격한 보안관리를 받고 있기는 하지만 보안사고는 언제나 작은 허점을 통해서 발생할 수 있는 것이라고 문제점을 지적했다.