전산망 마비 사태가 내부 소행이 유력하고, 범행 과정에서 움직일 수 없는 흔적을 남겨 놓았다는 본지 특종 보도(13일자)를 부인으로 일관하던 농협이 사건 발생 일주일이 지난 18일에서야 이를 공식 시인했다.
특히 본지는 내부소행 특종에 이어 당일 곧바로 전산망을 파괴시킨 구체적인 방법까지 후속 단독보도, 농협 측이 당시부터 이번 사건의 윤곽을 파악했을 가능성 크지만 그간 '모르쇠'만을 외치며 수시로 말을 바꾸었다는 점에서 사건의 축소 은폐 의혹까지 불거지고 있다.
농협은 18일 오전 서울 충정로 농협중앙회에서 전산망 장애관련 중간브리핑을 열고 '내부에서 발생한 고의적인 사이버테러'임을 시인했다.
농협은 지난 13일 내부 관계자의 고의적 소행임을 밝힌 본지 특종 보도에 대해 그런 일은 절대 없다며 내부 IBM중계서버에 문제일 뿐이며, 정확한 원인은 파악 중에 있다고만 밝혔다. 농협이 서비스장애로 장시간 사건을 지연시키면서 작업자 실수로 사건을 은폐하려 했던 의혹만 증폭시켰다.
결국 농협은 보도 다음 날인 14일 오후 농협중앙회 본사에서 대국민 사과문 발표 긴급 기자회견을 열어 사건 경위와 원인, 범행 수법등을 파악중에 있고 여러가지 가능성을 열어 놓고 있다고 한발 후퇴했다.
게다가 기자회견 이후에도 농협 측은 원인파악보다는 복구에 힘을 쏟겠다면서 본질에서 벗어나 사건에 대한 의혹만 키웠다.
이번 사건에 대해 관련업계 전문가들은 기술적으로 접근해보면 내부 관계자 소행인 경우에는 권한관리가 모두 이뤄지고 있어 금융 시스템구조상 로그에 모든 접속기록 등 정황 증거들이 남아 있을 것이라고 사건을 분석했다.
로그란, 정보화 장비 및 네트워크 운영 과정에서 발생하는 모든 내용들이 발생시간 등과 함께 기록된 자료를 말한다.
금융권의 경우는 전자금융거래법(세칙 제9조 1항 11호, 4항)으로 시스템 가동기록인 로그를 관리감독하도록 하고 있다. 특히, 로그파일만 분석해보아도 내부자 소행임과 반복된 이상징후 패턴에 대해 확인할 수 있었다는 것이 전문가들의 의견이다.
18일 익명을 요구한 한 로그관리 보안전문가는 로그데이터에는 육하원칙같은 것들이 모두 남아있다면서 로그관리를 받고 있는 금융업체는 실시간으로 로그데이터를 수집해 특정패턴이 반복되거나 위협상황이 발생했을 때 전산담당자에게 알려주기 때문에 해당문제가 발생하면 문제가 되는 해당로그차단이 가능하다고 말했다.
또 다른 보안전문가는 내부의 IBM협력업체 직원PC에서 명령된 것을 시스템 로그가 남아있기 때문에 추적이 가능했을 것이라고 설명했다. PC자체는 분명 허용된 IP주소가 있겠지만, 허용된 권한에 대해서는 따로 어떤 관리가 이뤄지는 것이 통상적인 보안관리 정책이라는 것이다. 그런 부분에서 문제 본질에 대해 모를 수 없어 기술적으로 의문점이라고 말했다.
관련기사
- "100% 완벽한 보안은 없다"...금융권 보안강화2011.04.18
- 아직도 복구중인 농협, 왜 더딘가 했더니...2011.04.18
- 농협 사태 "루트권한 탈취 DR까지 삭제 탓"2011.04.18
- [단독]농협 전산망 마비, '내부자 소행'...새국면2011.04.18
전문가들은 기술적으로 조금만 더 사건본질에 접근했다면 원인규명은 그리 어렵지 않은 일이라고 강조했다. 이때문에 농협의 계속된 침묵과 말바꾸기가 오히려 사건을 키운 것이 됐다.
금융업계 관계자는 보안의 경종을 울려주는 사건이라 다른 금융업계도 긴장하고 있다면서 누구나 보안사건이 발생할 수 있는 만큼, 사건전후 대응을 확실히 할 필요가 있을 것이라고 말했다.
