농협 전산장애 장기화와 피해확산으로 이번 사건 배후에 대한 의혹들이 끊이지 않고 있다. 농협의 일관된 '모르쇠'가 사건을 키웠다는 비판도 만만치 않다. 이번 사태가 내부소행이 유력하고, 범행과정에서 움직일 수 없는 흔적을 남겼다는 본지 특종 보도에도 부인으로 일관하던 농협 역시 사건발생 일주일 만에 이를 공식 시인했다. 사건에 대한 정황증거들이 속속 드러나기 시작했기 때문이다.
20일 관련업계 전문가들은 이번 사건에 대해 기술적으로 접근해보면 내부 관계자 소행인 경우에는 권한관리가 모두 이뤄지고 있기 때문에 금융 시스템구조상 '로그'에 모든 접속기록 등과 같은 정황 증거들이 남아 있었을 것이라고 분석했다. 범인검거에는 시간이 걸리겠지만 내부자임을 파악하는 것은 긴 시간이 필요하지 않다는 것이다.
로그는 정보화 장비 및 네트워크 운영 과정에서 발생한 모든 내용들의 발생시간 등을 함께 기록한 자료를 말한다. 그런만큼 로그는 특수피해나 보안사고가 발생했을 경우 결정적인 증거가 될 수 있다. 이 때문에 대다수 금융권들은 로그를 법적인 규제를 통해 관리·감독하도록 되어있다.
전자금융거래법(세칙 제9조 1항 11호, 4항)을 보면 시스템 가동기록인 로그를 접속 성공여부와 상관없이 기록·유지하도록 하며 정기적으로 관리책임자에게 보고되도록 한다. 로그의 관리·감독은 필수다.
금융권에 이런 규제까지 이뤄지고 있어 이번 농협 사태는 더 많은 의문을 남긴다. 로그파일 분석이나 감시만 제대로 했더라도 내부자 소행과 반복된 이상징후 패턴에 대해 확인할 수 있었을 것이다. 적어도 시스템상의 증거는 남아있는 것이 일반적이다. 로그기록 삭제명령 패턴 등 모든 시스템 증거들은 남아 있었을 것이라고 전문가들은 분석했다.
■농협 '내부자 소행' 정말 몰랐나?
물론 방대한 로그데이터를 하나하나 분석하는데는 시간이 걸렸을 것이란 의견도 있다. 하지만 실시간 시스템 로그관리·감독을 받고 있는 금융권들은 얘기가 달라진다.
이날 익명을 요구한 한 로그관리 보안전문가는 로그데이터에는 육하원칙같은 것들이 모두 남아있다며 로그관리를 받고 있는 금융업체는 실시간으로 로그데이터를 수집해 특정패턴이 반복되거나 위협상황이 발생했을 때 전산담당자에게 알려주기 때문에 해당문제가 발생하면 문제가 되는 해당 로그차단이 가능하다고 말했다.
금융권에서 관리하는 로그는 통상적으로 시스템에서 나오는 시스템로그와 거래로그가 있다. 하지만 법적인 규제를 받는 것은 시스템로그로 IT 컴플라이언스로서 중요하게 여겨지는 것 중 하나라고 전문가들은 설명했다. 이 때문에 이들은 금융권로그가 완벽하게 자원을 감시할 순 없지만, 적어도 시스템 기록 분석은 가능한 수준의 정보가 남아 있는 것이 보통이라고 말했다.
또 다른 보안전문가는 내부의 IBM협력업체 직원PC에서 명령된 것은 시스템 로그가 남아있기 때문에 추적이 가능했을 것이라고 설명했다. PC자체는 분명 허용된 IP주소가 있겠지만, 허용된 권한에 대해서는 따로 어떤 관리가 이뤄지는 것이 통상적인 보안관리 정책이라는 것이다. 그런 부분에서 문제 본질에 대해 모를 수 없어 기술적으로 의문점이라고 말했다.
관련기사
- 농협사태 '내부소행' 정황 증거 속속 드러나2011.04.20
- 농협 내부소행 본지 특종 이제야 시인...의혹 증폭2011.04.20
- 농협 사태 "루트권한 탈취 DR까지 삭제 탓"2011.04.20
- [단독]농협 전산망 마비, '내부자 소행'...새국면2011.04.20
관련업계 전문가들은 기술적으로 조금만 더 사건본질에 접근했다면 원인규명은 그리 어렵지 않은 일이라고 강조했다. 이 때문에 검찰의 수사가 진행되면서 사건정황이 밝혀질수록 농협의 계속된 침묵과 말바꾸기가 오히려 사건을 키운 꼴이 됐다.
금융권 IT전산 담당자들은 이번 농협사태는 보안기술 뿐 아니라 '내부 보안'도 얼마나 중요한지 알 수 있는 업계에 경종을 울리는 사건이었다면서 내부 보안을 위한 업계 및 기업 내부의 체계적인 조치와 프로세스들이 정착되어야 할 것 같다고 말했다.
