preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기
닫기
닫기

누가·왜? 농협 전산망 마비 3가지 시나리오

농협 전산망 마비 사태가 22일로 발생 열흘째를 맞았다. 이 사건을 수사 중인 서울중앙지검 첨단범죄수사2부(부장 김영대)는 21일 삭제명령의 진원지인 협력업체 직원 노트북과 서버에 남아 있는 ‘디지털 족적(足跡)’에 대해 전문기관의 협조를 받아 분석 작업에 들어갔다. 그러나 수사에 착수한 지 일주일이 넘도록 농협 IT본부 서버에 대한 ‘삭제(rm) 명령’이 어떻게 내려졌는지 경로조차 파악하지 못하고 있다. 검찰 관계자는 “긴 터널에 들어왔다. (자료) 분석에만 2~3주는 걸릴 것”이라고 했다.



①앙심 품은 농협 하청업체 직원의 복수극?
②내부 협조 없이는 불가능…내외부 공모한 조직적 범죄
③외부 침입 흔적 발견…전문 해커의 단순 테러











 검찰은 누가, 어떻게, 왜 이런 범죄를 저질렀는지에 관해 현재까지 드러난 사실을 바탕으로 세 가지 가능성을 상정해놓고 있다. 우선 정보기술(IT) 업계의 고질적인 하청-재하청 구조에 앙심을 품은 전·현직 직원의 복수극일 가능성이 제기된다. 농협 서버에 내려진 삭제명령은 ‘최고접근(Super Root) 권한’을 가져야 가능하지만, 금융감독원 특별검사와 검찰 조사에서 농협이 보안규정을 준수하지 않은 정황이 포착됐다. 규정상 서버 관리자와 농협 직원이 권한을 나눠 갖게 돼 있는데 실제로는 업무 편의를 위해 유지·보수를 맡은 협력업체나 하청업체 직원도 이 권한을 모두 가졌던 것으로 파악됐다는 것이다. IT 업계에서는 현재 운용 중인 농협의 ‘신(新)시스템 프로젝트’가 복잡한 하청-재하청 구조로 진행됐고, 이 과정에서 하청업체들이 받는 압박이 심했다는 지적이 나오고 있다.



 두 번째 시나리오는 농협 내부 직원과 외부자의 공모에 의한 조직적 범죄 가능성이다. 상당수 전문가는 이번 사태가 내부 협조 없이는 불가능했을 것으로 보고 있다.



‘삭제명령’이 담긴 스크립트(명령어 조합으로 이뤄진 프로그램)가 단계적으로 실행돼 서버를 파괴했기 때문이다. 이 스크립트를 협력업체 직원 노트북에 심기 위해서는 내부자가 공모했거나, 최소한 농협 시스템을 잘 아는 인물이 개입됐을 가능성이 크다.



 세 번째는 전문 해커에 의한 사이버 테러 가능성이다. 전산망 방화벽 내부에서 여러 차례 침입 흔적이 발견됐고, 정보를 빼내기 위한 ‘복사’ 명령 없이 삭제명령만 내려졌다. 해커들은 일반적으로 자신의 실력을 과시하기 위해 특별한 흔적을 남기기 때문에 검찰의 분석 과정에서 이를 발견할 가능성도 있다. 그러나 최근 일어난 디도스(DDos·분산서비스거부) 공격과 같은 ‘묻지마 테러’라면 해커의 소행 여부를 밝히기가 쉽지 않을 것으로 보인다.



 검찰은 당초 사고 발생 당시 ‘최고접근 권한’을 갖고 있던 인물들을 중심으로 수사망을 좁혀갔지만, 권한을 보유했는지 여부만으로는 용의자를 특정하기 어렵다고 판단했다. 결국 노트북과 서버에 어지럽게 남은 스크립트와 파일 등 ‘디지털 족적’을 분석해 경로를 파악하는 쪽으로 수사 방향을 선회했다.



 검찰은 범인이 농협 전산망 방화벽을 우회하거나 뚫은 것은 아닌 것으로 보고 누군가 농협 IT본부 보안실 내에서 e-메일이나 웹상의 가상 저장공간 등을 통해 스크립트를 내려받아 노트북에 설치했을 가능성도 살펴보고 있다. 익명을 요구한 금융업계의 스토리지(저장장치) 전문가는 “해당 서버의 종류와 운영체제(OS), 사용된 명령어 조합을 살펴보면 이런 작업을 할 수 있는 이들을 좁혀갈 수 있을 것”이라고 말했다.



이동현 기자
AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life

많이 본 기사

댓글 많은 기사