사상초유의 금융권 전산장애 사건인 농협 사태 수사가 오락가락이다. 내부자 소행과 외부 해킹, 내외공모 등으로 갈팡질팡하는 모습. 이에 IT업계는 외부 해킹보다 원한 관계에 따른 내부자의 악의적인 행동 가능성에 무게를 싣고 있다.
21일 업계에 따르면, 농협 서버파일 삭제에 사용된 명령어가 악의적인 의도가 분명한 것으로 나타났다. rm, rf, dd 등의 유닉스 명령어가 농협 전산시스템을 정확히 이해하는 사람이 의도적인 마음을 품어야 실행시킬 수 있다는 것이다.
서버업계 전문가는 “농협사태에서 언급되는 삭제 명령어는 위험성이 크기 때문에 시스템 관리자가 10년 동안 한번 쓸까말까 할 정도로 사용하지 않는 조합”이라며 “자칫 시스템을 초기화시킬 수 있는데 고의적인 의도를 가지지 않고선 절대로 실수로 그 명령어를 실행할 수 없다”고 밝혔다. rm은 서버의 특정 파일을 삭제하라는 명령어이며, rf는 지정한 하위 폴더를 모두 삭제하라는 명령어다. 가령 ‘rm -rf/'로 명령어를 넣으면 서버의 모든 파일이 삭제된다. 포맷이나 마찬가지다.
rm 명령어는 유닉스 서버에서 사용되긴 하지만 위험성이 커 신중하게 사용된다. 명령어를 입력할 수 있는 권한도 소수에게만 부여되며, 인증도 까다롭다. 또한, 서버 내 쓰레기 파일을 일괄적으로 삭제할 때 사용되는 명령어 조합과 매우 유사해 자칫 실수로 이어질 위험성이 높다.
여러대 서버의 쓰레기 파일을 일괄적으로 삭제할 때 사용되는 ‘rm -rf./’이란 명령어 조합이 있다. 이는 복수의 서버에서 작업하는 수고를 덜기 위해 사전 스크립트를 짠 후 실행된다. 여기서 점 하나만 빠뜨려도 시스템을 완전히 망가뜨릴 수도 있다.
dd란 명령어도 범행의 악의적인 의도를 추측하게 한다. dd는 입력 파일을 읽어내 코드로 변환하거나, 복사하는 명령어다. dd로 시스템 파일에 '(null)'을 덧입혀 rm으로 삭제하는 식으로 사용했을 수 있다.
관련기사
- 농협사태 내부자, 외부해커와 공조?2011.04.22
- 농협 내부범행 정말 몰랐나?, 로그기록 보면...2011.04.22
- 농협사태 '내부소행' 정황 증거 속속 드러나2011.04.22
- 농협 내부소행 본지 특종 이제야 시인...의혹 증폭2011.04.22
피해를 입은 농협의 IBM서버는 전체 553대 중 275대다. 또다른 업계 관계자는 서버 275대를 완벽히 포맷시키는데 사용된 명령은 계획된 순서에 따라 서버를 차례로 이어가며 삭제했다라며 농협 측이 전원을 차단시키지 않았다면 모든 서버가 포맷될 뻔 했다고 전했다.
그는 “농협은 그동안 IT의 무덤으로 불려왔을 정도로 내외 인식이 나빴다”라며 “내부의 이해관계에 따른 의도적인 공격일 가능성이 높다”고 말했다.
