[김지연기자] 농협의 전산시스템 장애는 농협 내 거의 모든 서버를 대상으로 한 광범위한 데이터 삭제 명령 때문이었던 것으로 드러났다.
그러나 농협 측은 당시 빠르게 대처한 덕분에 중계 서버 이외로는 확대되지 않았으며, '삭제' 명령만 있었기 때문에 고객정보 유실은 없다고 강조했다.
농협의 전산시스템 장애 복구를 담당하고 있는 태스크포스팀(TFT) 김유경 팀장은 18일 "사고의 원인이 된 유닉스 명령어는 해당 서버의 파일을 파괴하도록 돼 있는, 엔지니어 아니면 잘 모르는 명령어"라며 "상당히 치밀하게 계획된 고도의 경험있는 사람이 작성한 명령의 조합이라고 판단한다"고 말했다.
농협은 이같은 사건이 우리나라에도 없고 해외에서도 보기 어려운 사례라고 봤다. 농협 측은 일상적으로 알고 있는 해킹의 수준을 넘어선 것으로 보이며, 치밀하게 계획된 모양이 '사이버 테러 수준'이라고 표현했다.
김 팀장은 "농협 내 전산 시스템을 잘 알아야 내릴 수 있는 명령어는 아니고, 일반적인 기술"이라면서도 "서버의 내부 커널과 방화벽을 전부 꿰고 있어야 가능한 명령어 조합"이라고 언급했다.
농협은 또한 이번 공격이 피해를 입은 중계서버만이 아니고 전 서버를 대상으로 한 것이었음을 분명히 했다.
김유경 팀장은 "다른 서버에도 침투 시도가 있었지만 피해 정도가 미미해 장애 서버로 분류하지 않았다"고 말했다.
김 팀장은 또 "동시에 IT본부에 있는 전 서버를 공격했는데, 중계 서버에 멈췄던 것은 조기에 발견해 중간에 네트워크도 차단하고 다른 서버를 셧다운했기 때문"이라며 "4시56분경 파일삭제 명령이 실행된 것으로 보이며 5시30분에 전 거래를 중단시켰다"고 덧붙였다.
김 팀장은 "해킹이나 정보 유출 등에 필요한 '카피' 명령이 없이 데이터 삭제(파괴) 명령부터 시작됐기 때문에 데이터 유출은 없었다"고 강조했다.
특히 "피해 서버는 중계서버에 한정돼 있을 뿐, 주 원장 서버에 있는 금융거래 데이터는 삭제된 바도 없고 유출된 적도 없다"며 "데이터를 복원 불가능할 때 쓰는 '유실'이나 '손실'이라는 단어는 맞지 않다"고 바로잡았다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기