‘데이터’ 손댈 수 있는 NH카드 차세대 중단 목소리도 나와

문재인 정부의 MB정부 적폐 청산이 가속도를 붙이는 가운데 최근 지난 2011년 농협 전산장애 관련, 재조사 요구가 일고 있어 그 가능성 여부에 업계 이목이 쏠리고 있다.

7일 정치권 및 업계에 따르면, 지난 2011년 4월 12일 발생한 농협 전산장애 원인 및 그 배경에 대한 조사 필요성이 제기되고 있다.

같은 해 5월, 서울중앙지검 첨단범죄수사팀은 북한 소행으로 규정하며, “새로운 형태의 사이버테러이고, 2009년, 2011년 디도스와 비슷한 북한이 간여한 사건”이라고 수사결과를 발표했다.

그러나 여타 보안 전문업체 및 전문가 주장 그리고 당시 주간한국 보도 등이 사이버테러가 아닌 당시 MB정부 실세들의 자금세탁 의혹을 잇따라 제기하며 논란은 아직도 이어지고 있다.

◆2011년 4월로 돌아가 보면… = 지난 2011년 4월, 농협은 사상 초유의 전산장애 사태를 맞았다.

‘알 수 없는 원인’으로 인해 안성센터 카드시스템부터 장애가 발생하기 시작했고, 급기야 주전산기를 다운시키는 최악의 장애를 겪게 됐다.

통상 은행권 전산장애가 길어야 12시간 이내에 복구가 가능한데, 왠지 모를 이유로 농협 전산장애 사태는 거의 일주일 이상 소요됐다.

당시 장애 상황만 놓고 보면, 4월 12일 오후 5시경 장애가 발생했고, 13일 오전에 일부 복구, 오후 일부 창구업무 재개 등 ‘복구 자체’가 더디게 진행되고 있었다.

2011년 4월 14일, 오전 인터넷뱅킹, 금융자동화기기 등을 복구해 거의 모든 업무가 정상됐지만, 유독 체크, 직불카드 서버는 정상화되지 못하고 있었다.

이후 17일까지 농협은 장애서버 총 275대 가운데 172대를 복구했다. 12일 장애 이후 5일이 지난 17일까지도 서버를 완전히 복구하지 못하고 있었던 것이다.

농협측은 2011년 4월 12일 장애 이후 거의 한달여만에 모든 시스템을 정상화할 수 있었다.

업계에서는 당시, 은행 IT시스템이 수시로 애플리케이션 및 데이터 백업을 받는 상황에서 이같이 오랜 시간 복구에 걸린 이유에 대해 적극적인 문제제기를 했지만, 사건은 검찰의 ‘북한소행 발표’로 일단락 됐다.

◆주요 쟁점은 = 2011년 농협 장애 이후 일각에서는 외부해킹 외에 다른 조치로 인한 장애 가능성을 지속 제기했다.

우선 기술적으로, 악성코드의 성격이다. 농협 4.12 전산장애 원인으로 지목된 IBM소속 외부 기술자가 서버에 접속한 장소는 당시 ‘양재동 IT센터(현재 의왕시로 이전)’다.

그런데, 공교롭게 1차 장애가 발생하기 시작한 장소는 안성센터(백업센터 및 카드 IT시스템 주전산센터)다.

검찰 발표를 그대로 적용해 보면, 양재동에서 활동하기 시작한 악성코드가 굳이 안성센터까지 찾아 공격을 감행했다는 얘기가 된다.

악성코드가 안성센터 IP를 갖고 찾아가 ‘카드 IT시스템’을 타깃 공격했고 이 공격이 반대로 양재동 IT센터로 올라오고 있었다는 얘기다.

당시 농협측 증언에 따르면, 다른 서버들이 잇따라 장애가 나면서, 양재센터 서버 보호를 위해 임의로 농협은행 계정계 주전산기를 다운시켰다는 주장이 있기 때문이다.

북한 소행이라는 감찰 발표를 그대로 인용하고, 한국사회 혼란이 그 목적이라고 가정해도, 공격하기도 쉽고 또 혼란이 극대화될 수 있는 ‘양재센터 농협은행 IT시스템’을 놓고, ‘안성센터 카드 IT시스템’을 찾아가기는 쉽지 않다는 데 있다.

예를 들어, 은행 IT시스템을 우선 공격한 후 안성센터까지 확산됐다면, 악성코드가 통상적인 방식으로 확산됐다고 가늠할 수 있다.

실제로 당시 해킹에 사용된 ‘rm all/’ 명령어는 모든 유닉스 시스템 공통 명령어로, IBM 서버 뿐만 아니라, 양재센터 HP 서버도 대상이 될 수 있었다는 추론이다.

‘혼란’을 목적으로 한 공격이었다는 당시 검찰 발표대로 라면, 주전산기 HP 서버도 공격할 수 있었는데, 굳이 안성센터 카드 서버까지 찾아갈 이유가 없다는 주장이다.

보안업계 한 전문가는 “악성코드에 경로를 여러 개로 설정할 경우, 이른바 ‘메모리 블로킹’ 현상이 발생해 악성코드가 심어져 있던 PC 및 1차 공격 서버의 속도가 급격히 떨어지게 된다. 이 과정에서 백신 프로그램이 작동하거나 악성코드가 검출된다. 악성코드는 최대한 작게 만들고, 유입경로도 애초 악성코드 유포 PC 외에는 무작위로 확산되도록 제작하는 게 일반적”이라고 설명했다.

다음으로 해석할 수 있는 대목은 명령어 성격이다.

농협측은 당시 장애 서버 등을 추적하다 보니, ‘rm all /’이라는 명령어가 발견됐다고 전한 바 있다.

IT업계에서는 원격 악성코드에서 수백대의 서버에 ‘rm all /’ 명령어를 일시에 확산시킬 수 있는 기술적인 방법이 거의 없다고 전하고 있다.

최근 대형 IT회사에 퇴직한 한 임원은 “악성코드가 명령어인데, 이 명령어에 명령어를 덧붙이는 경우 역시 악성코드가 심어진 PC의 속도를 크게 저해하거나 아예 심어지지 않을 수 있다”며 “또 메인프레임, 유닉스서버, NT 서버 모두 그 같은 명령어를 입력할 경우, 이를 실행할 것이냐는 질의를 수차례 반복해 사용자 승인을 얻도록 하고 있다. 악성코드가 이 단계를 절차대로 밟아가기는 어렵다”고 일갈했다.

당시 검찰의 발표를 근거로 가정해 보면, 2011년 농협을 공격한 악성코드는 IBM 직원의 PC에 심어져서→안성센터 카드 주전산기 IP 확보→DB서버 특정→DB서버 관리자 모드 침투→‘rm all’ 명령어 실행 등 ‘여러 개 명령 및 지정경로’를 갖게 된다는 얘기다.

업계 전문가들은 악성코드가 이처럼 여러개 미션을 갖게 될 경우 크기가 커지고, 백신에 검출될 가능성이 높다고 자문했다.

특히, 실제로 당시 보안 전문가들 사이에서는 이같이 대용량 악성코드를 심어 확산시킬 수 있는 PC 존재 자체를 부인한 바 있다.

이어진 쟁점은, 복구 과정이다.

금융권은 대체적으로 일일 백업 시스템을 운영중 이었는데, 이 백업시스템에서 손쉽게 복구가 가능했음에도 농협은 카드시스템 복구에 10일 이상 소요했다.

여기서 가정할 수는 있는 얘기는 ▲복구가 불가능할 만큼 시스템이 손상을 입었거나 ▲구체적인 장애원인을 제대로 파악하지 못했거나 ▲농협이 전자금융감독규정을 지키지 않아 백업을 게을리 했다는 논란으로 정리할 수 있다.

복구가 불가능할 만큼 손상을 입었다면, 복구에 수개월이 필요했고, 장애원인을 파악하지 못했다고 해도 장애 직전의 애플리케이션 복구는 1일 이내 가능하다.

당시 농협측은 ‘1주일 간격으로 백업한다’고 밝혀, 농협 장애 이후 1일 백업 및 테이프 소산이 법제화되기도 했다.

◆당시 “검찰 조사도 오락가락” = 지난 2011년 4월 17일 전후, 검찰에서는 담당 검사를 포함해 수사관 3~4명을 파견하며 관련 수사에 나섰다.

당시 초동 수사에 나섰던 검찰은 당시 본지와 인터뷰에서“17일까지 외부 해킹 프로그램이나 흔적이 없어 보인다”고 밝혔다.

이 주장이 같은 해 5월, 북한 소행의 외부 해킹으로 결론이 난 것이다.

검찰은 또 북한 소행이라고 발표하면서, 구체적인 ‘목적성’을 밝히지 않았다. ‘왜 농협을 노렸는지’, 같은 유닉스 서버를 사용하는 다른 금융회사를 왜 공격하지 않았는지 등을 설명하지 못했다.

반면 같은 북한 소행으로 알려진 2012년 3월, 방송사 및 신한은행 PC 공격 사건의 경우 악성코드의 보편적 성격을 그대로 갖고 있다.

PC의 종류가 다 다른 방송사를 대상으로 무작위로 유포됐고, 일부 방송사는 방송 진행에 차질을 빚기도 했다.

‘악성코드의 무작위 유포를 통한 업무방해와 사회혼란’이라는 해킹의 구체적인 목적이 남겨진 것이다.

그럼에도, 농협 사건은 ‘rm all/’ 명령어 까지 사용하는 파괴력으로 여타 금융회사는 두고 유독 농협만 공격했으며, 또 굳이 안성센터 카드 서버를 찾아가 공격했다. 석연치 않은 대목이다.

◆“정치권 일각, 재조사 요구” = 한편 정치권 일각에서는 2011년 농협 4.12 전산장애 사건이 ‘북한 소행의 외부해킹이 아닐 가능성’을 제기하며, 재조사 필요성을 강조했다.

더불어민주당 소속 한 관계자는 기자와 통화에서 “당시에도 의혹이 많았던 사건이다. 당시 정권 실세 개입 의혹이 제기됐지만, 검찰의 북한소행 발표로 그대로 사건이 덮어진 느낌이다. 이 의혹 농협을 통해 재조사 해야 할 것”이라고 밝혔다.

◆“NH카드 차세대 보류해야…” = 2011년 상황을 보면 어쨌건 1차 공격은 인성센터 카드 IT시스템 장애부터 시작된다.

때문에, 현재 추진 예정인 NH농협카드 차세대가 일단 보류돼야 한다는 목소리가 일고 있다.

카드내 각종 데이터를 손댈 수 있는 유일한 기회가 ‘차세대 IT시스템’ 같은 사업인데, 재조사 이후로 연기돼야 한다는 주장이 나오고 있는 것이다.

더불어민주당 IT관련 한 관계자는 “박근혜 정부 시절, 중앙회-조합 계정계 분리라는 이유로 의혹이 일고 있는 농협은행 일부 데이터 정리가 이뤄졌을 가능성이 있다”며 “그럼에도, 2011년 농협 전산대란의 단초를 제기한 카드시스템 개편은 일단 미루고, 검찰이든 국회 차원의 특별조사든 진상조사가 선행돼야 할 것”이라고 전했다.

<김동기 기자>kdk@bikorea.net