농협 전산망 마비

2011년 4월 12일,

농협 전산망 마비

 

농협중앙회에서 전산장애로 창구거래 등 전체 금융업무가 마비되는 초유의 사태가 발생했다. 농협은 2011년 4월 12일 오후 5시부터 전산망이 불통돼 13일 오후까지 영업점 창구 통장 입출금과 일부 신용카드 거래를 제외하고 현금카드와 현금입출금기(ATM), 인터넷뱅킹 등을 통한 거래가 불가능했다.

농협 측은 전산망 유지·보수를 담당하는 협력업체의 노트북 PC에서 명령어가 입력돼 운영시스템과 주요파일이 훼손되는 사태가 발생한 것으로 확인됐다고 전했다. 이후 농협의 자체 조사 결과, 서버의 유지·보수를 담당하는 한국IBM 직원의 노트북에서 농협 서버의 OS를 삭제하라는 명령이 내려졌던 것으로 확인됐다. IBM 직원의 노트북은 전산망에 문제가 있을 경우에 대비해 항상 서버에 연결돼 있다.

 

한국은행은 전산 장애 사고를 낸 농협에 대해 직권으로 공동검사에 착수했으며, 정부도 전 금융회사의 보안실태 점검에 착수해 농협과 현대캐피탈의 사고 여파로 금융업계가 대대적인 검사를 받게 됐다.

불과 며칠 전 현대캐피탈 전산망 해킹으로 인한 개인정보 유출 사태도 벌어졌던 상황이라 혹시 고객들의 개인정보 누출에 대한 불안감이 확산되었었고, 이 일이 터진 후 이지아&서태지 이혼소송 스캔들이 터지면서, 애초에 그들이 14년 동안 부부였는지도 몰랐던 네티즌들은 농협의 보안능력은 이지아만도 못하다는 비야냥이 있었다.

 

그리고 조사가 시작되면서 농협의 허술한 보안 의식이 문제점으로 제기되었다. 2008년에 이미 해커에게 홈페이지 보안이 뚫린 적이 있었으나, 농협 측은 사건을 덮기 위해 경찰에 신고하지 않고 해커에게 거액의 돈을 주고 사건을 무마시켰다. 그리고 농협은 원래 규정대로라면 3개월에 한번은 바꿔야 할 시스템 계정 비밀번호를 6년 9개월 동안 한번도 바꾸지 않았다. 그나마 비번도 계좌번호나 1, 혹은 0같은 단순한 숫자로 만들어져 있었다. 대단히 중요한 서버가 아닌 이상 이 사건이 터지기 전에 대부분의 금융사 서버들은 허술한 비밀번호 체계로 운영되고 있었다고 봐도 무방했다.

 

검찰은 농협 전산망 마비 사태가 북한의 ‘사이버 테러’에 의한 것으로 추정된다고 밝혔다. 또한 같은 날 국가정보원은 특히 북한의 정찰총국(偵察總局)이 이번 사태에 관여한 것으로 보인다고 밝히기도 했다.

 

검찰과 국가정보원이 북한 소행이라고 보는 원인은 크게 3가지로 첫째, 일반적인 은행 해킹 프로그램들이 정보유출을 목적으로 제작되는 반면 이번 농협 전산망 해킹에 사용된 프로그램은 단순히 시스템 파괴에 목적을 둔 삭제 명령어로만 구성되어 있었다는 점. 둘째, 해킹 프로그램의 제작기법 및 유포경로가 2009년에 있었던 북한의 7.7 DDoS 및 지난 3.4 DDoS 공격 때와 유사하다는 점. 끝으로 해킹 명령을 내리기 위해 이용한 것으로 추정되는 27개의 인터넷 IP주소 중 1개는 3.4 DDoS 사건에 이용된 것과 완전히 일치한다는 점 등이다.

 

정부 조사에 의하면 조선민주주의인민공화국의 외부소행이라고 검찰이 조사 결과를 발표하였는데 여론에서는 무리한 카드라는 비판 또한 제기되었다. 보안업계에서도 조선민주주의인민공화국의 소행이라는 것에는 근거가 빈약하다며 검찰의 조사를 신뢰하지 않는 모습을 보였다. 군 관계자도 "대답할 만한 위치에 있지는 않지만 조선민주주의인민공화국 소행이라고 단정하기는 어렵다"라며 검찰의 조사와 상반된 의견을 보이기도 했다. 검찰의 말대로 만약 이 사건이 정말 조선민주주의인민공화국의 짓이라면 문제가 더 크다는 지적도 있다. 제1금융권이 조선민주주의인민공화국에 해킹됐다는 것은 다른 어느 금융권도 똑같은 피해를 당할 수 있다는 것이다. 또한 디도스 공격이 발생한 후 2년 동안 무엇을 했는지에 대한 당국의 책임도 피할 수 없다는 것이다.

 

정부조사 결과에 따르면….