![[오늘의 운세] 5월 28일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/28/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
대출 업무 아직도 먹통 전산장애 발생 나흘째인 15일 농협은 여전히 대출 관련 업무 등 일부 전산 서비스를 완전히 복구하지 못했다. 고객들이 서울 충정로 농협 중앙본부점에서 은행업무를 보고 있다. [김태성 기자]
사상 초유의 농협 전산망 마비 사태를 수사 중인 검찰이 서울 양재동 농협 정보기술(IT) 본부에서 확보한 협력업체(한국 IBM) 직원의 노트북 컴퓨터에서 미처 삭제되지 않은 ‘로그(접속정보) 기록’이 일부 남아 있다는 사실을 확인했다. 이 수사를 맡고 있는 서울중앙지검 첨단범죄수사2부는 확보한 로그 기록을 토대로 ‘파일 삭제 명령’이 입력된 경로를 추적하고 있다.
검찰 관계자는 15일 “로그 기록 중 서버에 남아있던 기록은 무의미한 데이터를 반복해 덮어씌우는 수법으로 지워졌으나 노트북 쪽 로그 기록은 일부 남아 있었다”며 “이 기록을 정밀 분석해 삭제 명령을 입력한 용의자 추적에 들어갈 방침”이라고 말했다. 로그 기록은 금융기관 서버에 접속하면 단말(노트북)과 서버 양쪽에 남는 것으로, 이를 분석하면 접속자와 접속 일시 등을 파악할 수 있다. 검찰 관계자는 “범인에 대한 수사망을 좁힐 실마리를 찾은 셈이지만 정확한 경로를 파악하는 데는 시간이 걸릴 것으로 보인다”고 했다.
검찰은 또 이 노트북을 통해 ‘최고접근(Super Root) 권한’ 계정으로 서버에 접속한 경로를 알아내기 위해 포렌식(디지털 증거 수집 및 분석) 전담 수사관을 동원해 분석 중이다. 최고접근 권한으로 접속하려면 금융거래에 사용하는 OTP(일회용 비밀번호 생성기)처럼 수시로 바뀌는 비밀번호가 필요하다. 이는 내부 직원 가운데에서도 극소수만 알 수 있다.
이에 따라 검찰은 최고접근 권한을 가진 내부 직원이 외부인과 범행을 공모했거나, 외부의 해커가 원격 접속을 통해 최고접근 권한을 얻은 뒤 협력업체 직원의 노트북을 통해 삭제명령을 내렸을 가능성에 무게를 두고 있다. 내부인에 의한 단독 범행 가능성도 배제하지 않고 있다.
검찰은 또 협력업체 직원과 농협 IT본부 직원이 함께 근무하고 있던 농협 IT 본부 안에 있던 폐쇄회로 TV(CCTV) 자료와 출입 기록도 확보해 확인하고 있다. 협력업체 직원과 전산망 접근 권한을 가진 농협 직원들의 휴대전화도 전부 수거해 통화내역을 분석하고 있다. 파일 삭제 명령은 양재동 중계서버뿐 아니라 경기 안성의 재해복구(DR) 서버의 데이터까지 지워 버렸다. DR 서버는 만약의 사태에 대비해 자료를 백업해 놓는 예비 서버다.
검찰은 삭제명령을 입력한 범인이 단위조합을 포함해 3000만 명의 고객 정보를 갖고 있는 농협 서버에 침투해 거래내역이나 개인정보 등을 수집하려 했을 가능성에 주목하고 있다. 한 시중은행 전산 관계자는 “단순히 시스템을 마비시켜 업무를 방해하려 했을 가능성보다는 개인 신상정보나 거래내역 같은 고급정보를 빼내려 했을 공산이 크다”고 말했다.
◆한국은행, 금감원과 공동 검사 착수=한국은행은 18일부터 금융감독원과 함께 농협에 대한 공동 검사에 착수하기로 했다. 한은은 이날 임시 금융통화위원회를 소집해 이같이 결정했고 금감원도 금통위의 공동 검사 요청을 즉시 받아들였다. 한은 관계자는 “농협의 전산망이 나흘째 정상 가동을 하지 못하고 있는 것은 심각한 상황”이라며 “농협의 지급결제 업무가 정상적인지 들여다볼 것”이라고 말했다.
농협은 이날까지도 전산망을 완전 복구하지 못했다. 14일 기자 간담회에서 당일 자정까지 문제를 해결하겠다고 했던 최원병 농협중앙회장의 약속이 또 한번 깨진 것이다. 농협은 체크카드 결제 서비스를 이날 오전 8시, 신용카드 현금 서비스를 이날 오후 2시쯤에야 복구했다. 하지만 대출 관련 업무 등 일부 전산 서비스는 오후 5시 현재까지도 복구되지 못했다. 농협은 “현재 운영 시스템과 과거 전산 기록이 버전이 달라 이를 조정하느라 복구가 지연되고 있다”고 해명했다.
앞서 지난 12일 오후 농협 IT본부에 있던 한 대의 노트북에 ‘모든 파일 삭제(rm.dd)’ 명령어가 입력되면서 발생한 이번 사태로 전국 농협의 553대 중계서버 가운데 275대가 순식간에 마비됐다.
글=이동현·임미진 기자
사진=김태성 기자
◆로그(log) 기록=전산장치의 작동과 관련한 모든 내역을 담은 정보다. 접속자(이용자)와 접속 일시, 시간, 권한 정도와 단순 열람 및 수정 여부까지 항목별로 자동 저장된다. 이 기록은 일반적으로 접속자 로그와 시스템 로그로 나뉘는데, 접속자 로그는 로그 인·아웃 정보, 접속자에 의해 실행된 프로세스 정보 등이 기록되며 시스템 로그에는 접속 요청 및 시도, 실패 여부와 주요 동작 내역 등이 담긴다.
