[금융권 보안 비상] 농협사태 3대 의문점

(1) 사고 아닌 범죄?

(2) 범인, 무엇을 노렸나

(3) 복구과정도 미스터리

농협에서 발생한 시중은행 사상 최악의 전산장애를 두고 갖가지 의문이 속출하고 있지만 농협은 속시원한 답을 내놓지 못하고 있다. 특히 검찰이 농협의 수사의뢰나 금융감독원의 고발 없이 전격적으로 수사에 착수하면서 농협 내부 공모자를 통한 범죄 가능성에 대해 관심이 맞춰지고 있다. 이와 관련, 이들이 목적했던 현금 유출 등이 이미 발생했을 가능성도 배제할 수 없다는 지적도 나오고 있다.

첫째 과연 이번 사태는 사고인가, 범죄인가. 정보통신(IT)전문가들은 농협의 지지부진한 복구속도와 장애 유발 과정을 보며 단순 사고로 보기에는 석연치 않은 점이 있다고 입을 모으고 있다.

우선 협력업체 직원 노트북에서 내려진 삭제 명령 가운데 dd는 일종의 특수한 복사 명령이다. 디스크 삭제 용도로 쓰기에는 오히려 불편하고 복잡하다. 같이 쓰인 rm 명령이 단순히 파일을 지우는 용도라면, dd 명령은 하드디스크의 마스터부트레코드(MBR) 등 특수영역까지 모조리 삭제한다. 전자금융업계 IT 담당자 곽모(36)씨는 “dd 명령은 흔히 영화에서 범행 증거를 남기지 않기 위해 건물에 불을 지르는 식의 용도로 쓰인다고 보면 된다”면서 “대신 복구가 거의 불가능하거나 매우 어렵기 때문에 rm 명령보다는 아주 악의적인 방식”이라고 말했다. 단순 사고이기보다 해킹이나 외부 세력에 의한 고의적인 사태일 가능성이 높다는 의미다.

둘째 그렇다면 무엇을 노린 행동인가. 우선 해커에 의한 사이버 테러 가능성이 제기된다. 대형 금융기관을 무력화시킴으로써 자신을 과시하거나 혹은 이를 통한 모종의 반대급부를 얻기 위한 목적일 수 있다는 것이다.

농협 전산망을 조작해 범행을 저지르던 일당이 이를 감추기 위해 일을 벌인 게 아니냐는 추측도 나온다. 농협 내부 직원　또는 협력업체와 공모해 범행을 시도하다 실패하자 테러를 감행할 수도 있다는 점이다. 검찰 역시 이 같은 가능성을 배제하지 않고 수사를 진행 중이다. 검찰은 이날 농협 IT본부 전산담당 부장을 소환해 사고 배경을 조사하는 한편 전산망에 로그인한 내·외부 인사들의 로그 기록 등을 추적 중이다. 검찰 관계자는 “이번 사태가 벌어진 일련의 과정, 가담자들의 의도, 외부 또는 내부 세력 가담 여부 등을 조사해 구체적인 혐의를 확정할 방침”이라고 말했다.

지나치게 지연되고 있는 복구 과정도 미스터리다. 농협은 앞선 14일 모든 전산망을 완벽하게 복구하겠다고 밝혔지만 15일까지도 신용카드 등의 거래가 여전히 불완전한 상태다. 사건 발생 이후 4일째 복구가 지연되면서 농협이 상황을 은폐하는 게 아니냐는 의혹이 제기되고 있다.

시중은행의 IT 담당자는 “관련법상 금융기관은 데이터센터에 불이 나거나 지진이 일어나도 완벽하게 백업 시스템을 구축하도록 돼 있다”면서 “단순히 서버 533대 가운데 275대에 문제가 생겼다는 차원이라면 이미 복구가 끝났어야 한다”고 말했다.

이에 따라 농협이 밝힌 것과 달리 원장 데이터 서버에도 문제가 생겨 기존 데이터들이 유실됐을 수 있다는 우려가 제기되고 있다. 데이터 손상 없이 중계서버 운영체계만을 복구하는 거라면 이렇게 오랜 시간이 걸리지 않기 때문이다. 신용카드와 체크카드 거래가 가장 늦게 복구되고 있는 것 또한 데이터 손상에 따른 것일 수 있다는 의혹도 나온다.

이에 대해 농협 관계자는 “중요성이 가장 높은 거래부터 순차적으로 복구했기 때문에 늦어진 것일 뿐 데이터 서버와는 관계 없는 문제”라고 말했다.

강준구 기자 eyes@kmib.co.kr