여전히 100% 복구되지는 않고 있으나, 전산망 고장이 일주일 가까이 지속되면서 사상 최악인 농협 사태의 전말이 드러나고 있다.
전산망이 멈춘 12일 이후 복구 노력을 총 지휘하고 있는 김유경 경제팀장은 18일 "이번 사건은 내부 전산망 구조를 잘 아는 전문가에 의해 고의로 자행된 사실상의 테러"라고 말했다. 검찰도 외부 해커의 소행 가능성을 배제하지 않고 있지만, 내부자 소행일 가능성에 좀더 무게를 두고 있는 것으로 알려졌다.
농협이 이날 기자회견을 통해 단편적으로 밝힌 내용을 종합하면, 사건은 12일 오후 4시50분께 농협 IT분사 3호실에 놓여 있던 협력업체 직원의 노트북PC에서 파일 삭제 명령이 실행되며 시작됐다. 이 명령은 유닉스체제에서 파일을 삭제하는 'rm'(영어 remove의 약자) 명령어는 물론이고, 삭제된 파일을 복구조차 할 수 없도록 완전히 없애는 'dd'(영어 data description의 약자) 명령어까지 포함돼 있었다. 농협 측은 "당초부터 최악의 사태를 의도한 것이 틀림없다"며 "전문가 수준의 범인이 치밀하게 계획해 만든 명령어 조합"이라고 설명했다.
이 명령이 12일 영업시간이 끝난 후 실행된 것으로 보아 전문가들은 범인이 특정 시각에 실행되도록 사전에 작업을 했을 것으로 보고 있다. IT분사 3호실에 있는 협력업체 직원의 노트북에서 명령이 실행됐고, 농협이 사실을 안 것은 오후 4시56분이었다. 보안시스템이 여러 대의 컴퓨터에서 오류가 나고 있는 것을 알렸고, 확인해 보니 동시다발적으로 수백 대 컴퓨터에서 파일이 삭제되고 있었다. 발생 중인 거래를 실시간으로 기록하는 백업 서버에도 똑같은 명령이 실행되고 있었다.
농협 IT분사는 이를 중단시키지 않을 경우 모든 서버에 피해가 갈 것으로 판단, 5시5분 모든 시스템을 강제로 중단시켰다. 김 팀장은 "중계서버만을 노린 것이 아니고 모든 서버를 노렸다"며 "당시 빨리 '셧 다운'하지 않았다면 피해가 더 컸을 수 있다"고 밝혔다. 실제로 피해가 발생하지 않은 다른 서버에도 침투를 시도한 흔적이 발견됐다.
모든 시스템을 완전히 껐다 켠 후 살펴 본 결과 275대의 서버에서 회복 불가능한 수준의 파일 삭제가 확인됐고, 농협 IT분사는 가장 시급한 창구 입ㆍ출금을 관장하는 서버부터 복구에 들어갔다. IT분사는 이미 모든 서버를 복구하려면 엄청난 시간이 소요될 것이라는 것을 알고 있었지만, 최원병 중앙회장 등 상부에는 "내일 아침 영업시간 전까지 복구하겠다"고 거짓말을 했다.
IT분사 실무자들의 뻔뻔한 거짓말은 이후에도 계속됐다. 이미 14일 언론에 알려진 신용카드 거래내역 데이터 손실과 관련, "사실무근"이라며 부인했다가 17일 오후 뒤늦게 "고객정보가 기록된 원장 데이터베이스(DB) 서버는 안전하지만 중계서버의 임시 저장소에 있던 거래내역 일부가 삭제됐다"고 실토했다. 12일 결제됐던 카드 거래내역이 원장DB로 넘어가지 않고 중계서버에 임시 저장된 상태에서 삭제됐는데도 관련 사실을 부인했던 것이다.
농협은 "18일 오전까지 관련 내역을 일단 살려냈으며, 결제중개업체(VAN)의 협조로 100% 복구하겠다"고 주장하고 있으나, 사태 이후 이어진 주먹구구식 행태와 거짓말을 감안하면 농협의 약속 이행가능성은 여전히 불투명하다.
●유닉스 명령어 rm, dd
유닉스 시스템에서 'rm'(영어의 remove(삭제)에서 유래)은 파일을 삭제하는 명령어이다. 이 명령어 뒤에 삭제 대상이나 옵션을 붙여서 쓰는데, 예컨대 'rm -rf'라고 입력하면 모든 하위 디렉토리와 파일을 일괄 삭제하게 된다.
'dd'(영어의 data description에서 유래) 명령어는 원래 데이터 백업용으로 사용하는 명령어이다. 하지만 '/dev/null' 같은 옵션을 붙여 사용하면 모든 하드디스크 공간에 '0'을 입력해 초기화해 버릴 수도 있다. rm만 사용하면 삭제된 파일이 어딘가에 남아 있어 복구가 가능하지만, rm을 사용한 후 dd로 하드디스크를 초기화시켜 버리면 복구가 불가능하다.
최진주 기자 pariscom@hk.co.kr
기사 URL이 복사되었습니다.
댓글0