치밀한 접속흔적 지우기… “내부사정 정통한 전문가 소행”
○ 검찰, 내부 소행에 무게
13일부터 농협을 대상으로 내사에 들어간 서울중앙지검 첨단범죄수사2부는 당초 이번 사건이 정보 유출을 목적으로 하는 해킹일 가능성이 높다고 보고 수사를 진행해 왔다. 농협 서버의 운영시스템 파일을 삭제하라는 명령어가 실행된 한국IBM 직원의 노트북 컴퓨터가 인터넷과 연결돼 있었기 때문이다. 전문 해커라면 외부에서도 이 노트북을 경유해 농협 서버에 얼마든지 접속할 수 있다는 것이 검찰의 판단이다. 문제의 노트북 관리자인 IBM 직원의 근무경력에 별문제가 없고 해킹 범죄 전력도 없어 범행 동기가 약하다는 것이 해킹 가능성에 무게를 둔 이유다.
하지만 14일 밤 진행된 검찰의 서울 서초구 양재동 농협정보기술(IT)본부 현장검증은 수사의 물꼬를 바꾸는 계기가 됐다. 해당 IBM 직원뿐 아니라 일부 농협 직원도 노트북에 얼마든지 접근할 수 있다는 점을 현장검증을 통해 확인한 것. 또 노트북에서 파일 삭제 명령을 내린 뒤 접속기록을 지우는 행위가 반복적으로 이뤄졌다는 점도 확인됐다. 모든 전산시스템은 접속기록을 남기도록 설계돼 있다. ‘100% 완벽 보안’은 현실적으로 불가능한 탓에 사고가 터지면 사후적으로라도 접속 흔적을 파악해 조치를 취하기 위한 것이다. 접속기록은 접속 시간과 장소, 접속자, 이용시간, 열람 또는 수정 명세 등으로 이뤄져 있다. 내부 사정에 정통한 전문가가 아니라면 이처럼 치밀하게 자신의 흔적을 지우기 어렵다는 게 IT 전문가들의 의견이다.
○ 고의에 의한 사이버 테러 가능성?
농협의 한 관계자는 “서버 관리업체 직원이 12일 오후 4시 반 은행 영업이 끝난 뒤 최고관리자 권한으로 들어가 서버를 파괴하는 것을 오후 5시경 보안팀 관계자가 발견해 차단했다”고 주장했다. 서버관리업체 직원과 농협 직원의 공모 가능성도 제기된다. 컴퓨터 바이러스가 담긴 휴대용 저장장치(USB메모리)를 노트북에 꽂은 채로 서버에 연결해 보수가 필요해졌고, IBM 직원이 보수 과정에서 전산망 마비라는 걷잡을 수 없는 상태로 번진 것 아니냐는 의혹이다. 시스템통합(SI)업체 관계자는 “농협이 대외적으로 밝힌 전산망 마비 원인이 100% 진실인지 의문”이라며 “운영시스템이 날아갈 정도라면 농협 내부자의 실수나 연루 가능성을 완전히 배제하기 힘들다”고 말했다.
내부자 소행으로 드러날 경우 농협의 위기관리능력은 치명타를 입을 것으로 보인다. 외부 협력업체 노트북에서 내려진 명령어로 서버들이 일제히 파괴된 것 자체가 시중은행에서는 있을 수 없는 사건으로, 평소 관리 소홀에 따른 예고된 재앙으로 봐야 한다는 것이다. 금융회사 보안업체 관계자는 “다른 시중은행에서 이런 일이 생기려면 100명 이상이 공모를 해야 가능하다”며 “농협은 관리의 편의를 위해 한 사람에게 너무 많은 권한을 준 것으로 보인다”고 지적했다. 이동훈 고려대 정보보호대학원 교수는 “서버 관리자의 실수로 이렇게 큰 파장을 몰고 올 수는 없다”며 “침입에 의한 해킹이라기보다 내부 문제일 가능성이 훨씬 높다”고 주장했다.
○ 잇따른 사고에 불신 팽배
지난해 12월 24일 한국씨티은행의 전산망 마비, 이달 8일 현대캐피탈 해킹 사건에 이어 농협의 전산망 마비 사고까지 불과 넉 달도 안 돼 3건의 초대형 금융전산사고가 연이어 터지면서 금융권에 대한 고객 불신도 점증하고 있다. 특히 농협의 경우 고객 데이터와 금융거래 정보가 훼손됐을 가능성까지 제기되면서 충격을 주고 있다. 농협의 한 관계자는 “서버의 손상 정도가 심해 사건 당일인 12일 발급된 농협카드 신규 고객 정보 등은 복구하지 못할 가능성이 있다”고 말했다. 이는 최원병 농협중앙회 회장이 14일 “소중한 고객정보와 금융거래 원장은 모두 정상이며, 전혀 피해가 없다”고 밝힌 것과는 엇갈린 증언이어서 향후 검찰의 수사결과가 주목된다.
장윤정 기자 yunjung@donga.com@@@
김철중 기자 tnf@donga.com@@@
김상훈 기자 sanhkim@donga.com@@@