농협, 전산장애 "사실상 사이버테러" 판단

농협 전산장애 브리핑 일문일답-1

김유경 농협중앙회 복구 TF팀장은 18일 "이번 전산장애를 일으킨 삭제 명령은 상당히 치밀하게 계획된 것"이라며 "고도의 경험 있는 사람이 작성한 명령어 조합으로 사이버테러 수준"이라고 밝혔다.

그는 이날 농협 전산장애 관련 브리핑에서 "내부에서 저질러졌고, 파괴명령이 들어가 있고, 동시다발로 전 시스템을 대상으로 하고 있다는 점에서 보안사례서 극히 드문 예"라며 이 같이 밝혔다. 또 "기관 망 전체를 무력화하려는 시도로 보인다"고 덧붙였다.

그러나 그는 이번 사태로 이득을 본 사람은 아직 찾지 못했다고 밝혔다.

한편 김 팀장은 이번 전산장애의 원인인 파일 삭제 명령이 협력업체 직원의 PC에서 실행됐으며 IT본부 전 서버를 공격하도록 설계됐다고 설명했다. 김 팀장은 "내부적인 명령으로 엔지니어가 아니면 잘 모르는 명령"이라며 "명령어 조합으로 이뤄져 전 서버를 동시에 공격했으나 조기에 인지, 전 시스템을 차단하면서 중계서버에서 (피해가) 멈췄다"고 밝혔다. 이번 장애가 내부인에 의해 이뤄졌을 가능성을 시사하는 대목이라 주목된다.

김 팀장은 아울러 "이 같은 명령이 배포되면 백업 원장과 주센터의 원장이 동시에 삭제되는 일이 불가피 하다"며 "양쪽이 동시에 삭제되는 것은 국내 뿐 아니라 외국에서도 본 적 없는 사상초유의 사태"라고 밝혔다.

한편, 김 팀장은 이번 삭제명령이 지난 12일 오후 4시56분 시작됐으며 IBM중계 서버 외 다른 서버 공격을 시도한 흔적도 있다고 밝혔다. 그러나 USB를 통해 해당 명령이 실시됐다는 일부 보도에 대해서는 부인했다.

다음은 이재관 농협중앙회 전무이사, 김 팀장, 박주일 금융부장 등과의 일문일답


-중계서버의 임시 원장은 백업되고 있었나. 양쪽 다 파일이 지워지는 일이 어떻게 가능한가.
▶중계서버에 거래내역 데이터가 있고 모든 금융정보는 별도 서버에 구축돼 있다. 피해범위는 중계서버에 한정됐다. (주 정보가 넘어가는)HP 등 금융거래서버에는 전혀 피해 없다. 백업시스템은 통상 실시간 백업을 하고 주센터와 백업센터 데이터가 동시에 업데이트된다. 그러나 업데이트 시 정상 및 오작동에 의한 명령을 구분할 수 없다. 지금처럼 삭제명령이 배포되면 백업 원장과 주센터 원장 동시 삭제는 불가피하다. 이번 경우 복구 수순이 주말에 받은 테이프라이프러리(2차 백업장치)에 있는 데이터를 복원하는 과정서 시간이 소요됐다. 백업 시스템과 본시스템이 동시에 삭제되는 것은 우리나라 뿐 아니라 외국서도 본적 없는 사상초유의 사태다.

-원장서버 삭제시 복구 가능한가.
▶주원장 서버의 경우, 금융거래, 농협 경제거래 같은 중요한 데이터는 6중 백업장치를 운영한다. 주원장 데이터는 악의적 삭제명령 내려져도 빠르면 3시간, 길면 반나절에 복구되도록 설계 돼 있다.

-고객 거래내역이 얼마나 손실됐는가.
▶주원장에 있는 금융거래 데이터는 삭제 또는 유출되지 않았다. 피해 입은 서버는 대부분 중계서버다. 거래내역 데이터가 초기에 삭제됐다. 손상이나 유실됐다는 의미는 복원 불가능한 경우에 쓴다.

-구체적으로 어떤 업무가 안되는지.
▶가맹점 대금결제 업무를 복구 중이다. 채움카드 발급 및 재발급은 청구서 부분이 안돼서 못 하고 있다. 고객 청구서는 데이터 워낙 많아 현재 작업 중이다. 모바일 현금서비스는 복구를 다 못했고 카드업무 경우, 인터넷으로 고객이 직접 해야 하는 부분은 폭주 우려로 부분적으로 막고 있다.

-데이터가 얼마나 손상됐나.
▶고객이 각 가맹점에서 물건을 구입할 때 사용하는 승인시스템은 장애 관계없이 24시간 운영된다. 이외 카드 원장 중심으로 청구내역, 향후 결제내역, 가맹점 등에 대한 내역이 토요일부터 복구를 시작했다. 일부 자료 빠진 것 확인 등 하고 있는데 자료가 4억2000만건 정도라 시간이 걸린다. 이후에야 손상 정보를 알 수 있다.

(이재관 전무이사 보충) 일반 대고객 업무는 카드를 제외하면 100% 다 복구됐다. 카드 중에서 95%는 복구되고 5%가 남았다. 22일까지는 다 될 것이라고 보고 받았다. 지워진 데이터 양을 5%로 본다. 12일 일어난 거래 중 일부는 데이타 남아있고 일부는 안 보인다. 이를 찾는 데 시간이 좀 걸린다. 가맹점 통해 넘어오는 매출정보 중에서 중계서버에서 미처리되는 부분이 상당히 있다. 이걸 현재 찾고 있다.

-손실가능성 없나.
▶100% 찾을 수 있다. 백업데이터가 테이프라이프러리로 존재하고 디스크(BCV)로도 존재한다. 일부 디스크 데이터가 하드디스크 장애로 파손된 걸 주말에 발견했다. 그 내역을 조립해야 하는 게 기술팀의 과제였다. 이 데이터가 현재 어디가 비어있고 어디서 찾을 수 있는지는 담당업무 파트와 확인이 다 된 상태다. 거래 데이터 살아있으면 프로그램 돌려서 동일한 원장을 살릴 수 있다. 이 과정이 이미 끝났고 데이터를 검증하는 단계다. 이 데이타가 수억건이 되므로 시간이 하루이틀 더 걸릴 것으로 보고 있다. 정상적 상황이라면 하드웨어를 교체 해 5~10분이면 백업이 된다. 그런데 삭제명령으로 인해 테이프, BCV볼륨 데이터 등 2곳을 찾다보니 지연됐다.

-전액 보상 원칙이라는데 가령 미수금을 입금 못해 주식 반대매매를 당해서 손해를 봤다면?
▶이는 검증이 필요하다. 검증이 이뤄진 부분에 대해서만 보상할 생각이다. 그 외에도 이용불편에 대해서는 각 영업점 담당자들이 피해사례 찾아서 보상할 것이다.