이유도 경고도 없는 농협 전산망 공격
약 한 달 전,누군가가 농협의 서버를 관리하던 IBM 직원의 노트북에 '모든 파일을 삭제하라'는 내용의 명령어(rm 및 dd 명령어 등)가 든 프로그램을 심었다.
지난 12일 오후 4시56분,이 프로그램은 최고관리자의 권한(super root)으로 서버에 접속했다.
키보드는 사용하지 않았고 USB 등 이동저장장치나 무선랜 등을 통해 프로그램을 실행했다.
비밀번호는 농협과 IBM 직원 중에서도 4~5명밖에는 알 수 없는 것이었지만 그에겐 문제가 되지 않았다.
공격자의 명령어는 치밀하게 계획돼 있었다. 보안을 위해 쌓아둔 방화벽의 구성을 미리 알고 있었던 듯 가볍게 뛰어넘었다.
명령어는 이어 IBM과 HP 썬 등 3개 회사가 운영하는 서버 안의 모든 내용을 삭제하는 작업을 시작했다.
IBM의 중계서버(시스템을 운영하기 위한 프로그램이 돌아가는 서버) 안의 내용들이 차례로 삭제됐다.
고객의 예금 · 대출 등 금융거래 데이터가 포함돼 있는 다른 2개 서버에도 공격이 들어갔다.
오후 5시10분,전산망이 강제로 작동을 멈췄다. 상황이 뭔가 심각하다는 것을 인지한 농협 IT 본부가 일단 공격을 멈추기 위해 전원을 끊어버린 것이다.
농협 발표와 검찰 수사 내용을 토대로 구성한 농협 전산망 사고의 흐름이다.
⊙ 모든 것이 날아갈 수 있었다
농협 전산망 마비 사고가 일어난 첫날,대부분의 사람은 이를 대단치 않은 일로 여겼다.
금융회사의 전산장애가 드물긴 하지만 종종 일어났기 때문에 금방 복구될 것이라고 봤기 때문이다.
하지만 달랐다. 농협은 지난 13일 창구업무를 제 시간(오전 9시)에 개시하지 못하고 낮 12시가 지나서야 재개했다. 이어 14일까지 현금자동입 · 출금기(ATM) 업무와 인터넷 뱅킹 일부 업무를 차례로 복구했다.
하지만 카드 관련 업무는 지난 21일까지도 100% 복구되지 않은 상황이다.
매우 이례적인 일이다.
금융회사 IT 관계자들은 "재해나 외부 공격에 의해 시스템이 멈추더라도 통상 48시간 내에 모두 복구가 된다"고 설명한다.
왜 복구가 늦어졌는지에 대한 해명은 18일 기자회견에서야 대략적으로 나왔다.
처음 생각과 달리 이번 사고는 누군가의 실수나 단순공격에 따른 게 아니었다.
매우 치밀하게 농협만을 타깃으로 짜인 사이버 테러였다.
"해킹 이상의 소행"이라며 "기간망 전체를 무력화하려는 시도"였다는 것이다.
이로 인해 서버 553대 중 무려 275대가 망가졌고,심지어 카드 사용내역과 관련된 데이터 일부까지 훼손됐다.
