[금융 전산망 구멍] 농협, 전산장애 사이버 테러 규정 왜?

“dd 명령어가 서버 날려… 전문가 아니면 어려워”

농협의 전산대란이 사고가 아닌 의도적 범행이었을 가능성이 높아지고 있다. 농협은 이번 사태가 전산 전문가 그룹이 동원된 고도의 사이버 테러이며 농협 전산망을 완전히 파괴하기 위한 목적으로 보인다고 밝혔다. 검찰 역시 이번 사태가 치밀하게 계획된 범행일 가능성이 높은 것으로 보고 수사망을 확대하고 있다.

그러나 의문점은 여전히 남는다. 도대체 누가, 왜 대형 금융기관의 전산망 무력화만을 목적으로 테러를 저질렀을까.

◇사이버 테러 주장 근거는=농협은 협력업체 직원의 노트북에서 내려진 dd 명령어 등이 엔지니어가 아니면 모르는 수준의 명령어라고 밝혔다. 또 서버의 내부 시스템과 네트워크 방화벽을 모두 꿰고 있어야 조합할 수 있는 정확한 명령어이며 혼자는 하기 힘들다고 했다. 사실상 협력업체 또는 내부 인사가 공모했거나 그에 준하는 전문가 그룹이 범행을 모의했을 가능성이 높다는 의미다.

농협 IT본부분사 핵심 관계자는 전화 통화에서 “노트북에서 내려진 dd 명령어는 마스터부트레코드(MBR)를 비롯해 서버 전체를 통째로 날리는 것으로 복구도 어렵다”면서 “전례가 없는 악의적인 사이버 테러로 볼 수밖에 없다”고 말했다.

농협은 그러나 내부 직원의 공모 가능성에 대해서는 강력 부인했다. 농협 IT본부분사 김유경 팀장은 “최고 접근권한(super root)을 가진 사람이 내릴 수 있는 명령이긴 하지만 이는 직위의 문제가 아니라 기술의 문제”라고 답했다. 해당 권한을 가진 내부 직원보다는 외부 세력이 노트북에 침입, 기술적으로 명령을 내렸을 가능성이 크다는 의미다.

그러나 외부 세력이 농협 전산망을 직접 해킹하는 대신 협력업체 직원을 수소문, 노트북에 침입한 뒤 다시 이를 이용해 전산망을 무력화하는 복잡한 과정을 거치려 했는지는 의문이다. 다만 해당 노트북이 외부 인터넷에 연결돼 있었거나 무선인터넷 또는 휴대전화를 이용한 인터넷 테더링 서비스(휴대전화망을 이용한 인터넷 연결 서비스)를 이용하고 있었다면 얘기가 달라진다. 무선인터넷의 경우 해킹에 매우 취약하기 때문이다. 그러나 농협은 검찰 수사를 이유로 인터넷 연결 여부를 밝히지 않고 있다. 대기업의 경우 주요 보안시설에서는 휴대전화 전파를 차단하고 있지만 농협에는 이 같은 시설이 설치되지 않은 것으로 확인됐다.

◇검찰 수사 박차= 검찰은 현재까지의 수사 상황에 비춰 내부 직원 또는 내·외부인이 공모해 의도적으로 농협 서버를 공격했을 가능성에 무게를 두고 있지만 좀비PC 등을 동원한 외부 해킹 가능성도 열어놓고 있다. 특히 농협 서버 운영 시스템 삭제 명령의 진원지인 협력업체 한국IBM 직원 노트북에 이동식저장장치(USB)가 접속된 흔적을 발견해 경로를 역추적하고 있다. 삭제 명령어가 파일 형태로 돼 있는 점에 비춰 단순 실수나 사고라기보다는 누군가 고의로 파일을 생성해 메인 서버를 공격했을 가능성이 높다는 게 검찰의 판단이다.

사건을 수사 중인 서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 전산망 접근 권한을 가진 농협 및 한국IBM 직원들을 불러 전산망이 마비될 당시 서버 관리 상태와 동선, 사태 직후의 사후 처리 방법 등을 조사했다.

검찰은 이번 사건이 그동안의 사이버 범죄와 달리 복잡하다고 판단해 국정원 사이버테러대응센터 및 한국인터넷진흥원(KISA) 등과 협력체계를 구축했다. 검찰 관계자는 “서버 로그기록 등 삭제 방법이 단순하지 않아 관계 기관의 자문을 구하고 있다”고 말했다. 검찰은 중국 또는 북한의 소행이 아니냐는 시각에 대해 “확인된 바 없다”고 말했다.

한편 검찰은 이번 사건과 현대캐피탈 고객정보 해킹 유출 사건의 연관성도 면밀히 조사 중이다. 검찰은 농협 사태와 현대캐피탈 사건의 발생 시점이 비슷하고 외부 해킹 가능성이 여전한 점 등을 고려해 두 사건의 공통분모가 있는지 집중적으로 살펴보고 있다.

강준구 노석조 기자 eyes@kmib.co.kr