농협 전산 사고
1. 개요
2011년 4월 12일, 농협의 전산 시스템 중 계정계와 카드사/ATM/창구를 연결해주는 게이트웨이(IBM 서버 시스템) 의 OS가 고의적으로 삭제되어 3일 이상 고객 서비스가 다운되어 버린 초대형 금융사고.
농협이 금융권에서 일하는 전산 개발자들에게 공공의 적이 된 사건. 이 사건 이후, 모든 금융사의 보안 정책이 무시무시하게 빡세졌고 1금융권은 전산센터 로비에 공항 검색대까지 생겼다! 모든 비인가 휴대저장장치(USB, 노트북 등)의 반입 금지 정책이 도입되었고 내부망과 외부 인터넷망이 분리되었으며[1] 개인정보 보호정책레벨이 급상승하여 개발 편의성이 많이 하락했다. 사실 원래 진작에 이랬어야하는거긴 했지만...
2. 사건의 경과
2011년 4월 12일 오후 5시 20분경, 갑자기 전국 농협 전산망에 오류가 생겨 농협의 은행 업무가 '''전면 중지'''되었다. 4월 13일 수요일 오후 6시 현재 창구에서 일부 업무처리만 가능. 이 사고로 인하여 각종 자동이체 및 금융거래에 차질이 생기는 고객수도 엄청 많아졌다. 아예 본점에서 각 영업점으로 복구가 장기화 될 조짐이 보이니, 업무를 수기로 마감하라는 공문을 보내었다고 한다.
4월 12일 오후 5시 이후부터는 ATM를 비롯한 모든 온라인거래가 불능이었다가 4월 13일부터는 창구업무가 마비되었으며, 같은 날 오후 1시부터 창구에서 단순한 입출금 거래만 가능해졌다. BC카드에서 발급한 신용카드의 경우 신용거래 기능은 살아 있으나 체크카드의 경우 거래가 불가능하다. 대신 현금IC카드를 들고가면 예금인출은 가능하다.[2] ATM거래 정상화는 원래 13일 오후 5시까지 예정이었으나 오후 9시→14일 오후 2시로 연기되었다.(…)
결국 15일에 '''카드 빼고''' 다 열렸는데 아직은 체크카드 이용이 좀 불안정하다고. 홈페이지 이용도 불안정한 상태다. 그리고 카드 '''원장'''이 일부 '''손실'''되었다는 소문이 돌고 있는데 제발 소문이길. [3] 그런데 그것이 실제로 일어났습니다 #1 #2 그래도 걱정(?)은 하지 마시라. 거래내역은 VAN사가 모두 가지고 있으니.[4] 다만 신용으로 먹고 살아야 하는 은행에 이런 일이 일어났다는것 자체가 문제일 뿐.
우선 예금업무가 먼저 복구가 된 것은 예금원장의 전산은 HP의 시스템으로 구성되었기 때문에 예금원장의 손실이 없었고, 가장 먼저 입출금업무를 담당하는 IBM서버부터 복구를 했기 때문. 카드가 가장 늦게 복구되는 이유는 카드시스템은 전부 IBM제 서버를 사용했기 때문에… 농협은 업무계열별로 서버업체를 다르게 한다.[5]
농협측에서는 전산담당 외주업체 직원의 노트북에서 명령을 잘못 내린 것이 원인이라고 발표했다.
# 허나 타 기사에 따르면 서버관리자만 사용가능한 루트 권한을 탈취당했다고 한다.# 한 마디로 농협 전산망이 루팅당한 셈.(…) 이에 대해 새로운 의견이 있다. http://jsapark.tistory.com/1523 더 보기의 IBM의 UNIX 시스템 부분 참고.[6]
조선일보에서는 기자가 어딘가에서 알음알음 들은(?) '''rm.dd'''라는 원산지 불명의 명령어를 제목에까지 박아서 운명을 바꾼 다섯문자 운운하며 기사를 썼는데, 이것이 순식간에 인터넷 언론 전체로 퍼지면서 사건을 일으킨 명령어로 알려졌다. 아마 rm -rf /가 와전된 듯 싶은데, 실은 이런 명령어 입력형식은 없다. 차라리 "# dd if=/dev/zero of=/dev/md0[7] bs=512 count=1" [8] 였으면 이해라도 했을텐데 말이다. 더군다나, 조선일보 기사 내에서 "최고 접근 권한" 을 Super Root 라고 표기했는데 이역시 없는 단어이다. Super User이나, Root 은 당연히 존재하는 단어이지만, 기사에서 rm.dd 및 Super Root라고 표기했다는것은 50% 진실 50% 뇌피셜이나 다름없다.
3. 반응
가뜩이나 불과 며칠 전 현대캐피탈 전산망 해킹으로 인한 개인정보 유출 사태도 벌어졌던 상황이라 혹시 고객들의 개인정보 누출 불안감이 확산되고 있다.
이 일이 터진 후 이지아&서태지 이혼소송 스캔들이 터지면서, 애초에 그들이 14년 동안 부부였는지도 몰랐던 네티즌들은 '''농협의 보안능력은 이지아만도 못하다'''는 비야냥이 있었다.
그리고 조사가 시작되면서 농협의 허술한 보안 의식이 문제점으로 제기되었다. 2008년에 이미 해커에게 홈페이지 보안이 뚫린 적이 있었으나, 농협 측은 사건을 덮기 위해 경찰에 신고하지 않고 '''해커에게 거액의 돈을 주고 사건을 무마시켰다.''' 그리고 농협은 원래 규정대로라면 3개월에 한번은 바꿔야 할 시스템 계정 비밀번호를 '''6년 9개월 동안 한번도 바꾸지 않았다.''' 그나마 비번도 계좌번호나 1, 혹은 0같은 단순한 숫자로 만들어져 있었다고. [9] 사실 정말 중요한 서버가 아닌 이상 이 사건이 터지기전에 대부분의 금융사 대부분의 서버들은 허술한 비밀번호 체계로 운영되고 있었다고 봐도 무방하다. 관리감독체계가 사실상 없는거나 다름없었다. 농협이 시범케이스로 제대로 두드려 맞은것일뿐.
일단 북한이고 뭐고 서버를 조종하는 노트북을 외부로 반출한 것이 문제.
이재곤 농협 전무는 이 사태에 책임을 지고 사퇴하였다. 다른 은행에서도 이 사건에 큰 쇼크를 받고 부랴부랴 안전점검과 보안강화에 들어가는 모양.
2010년까지 농협정보시스템에서 대표이사를 맡았던 김광옥 대표는 2011년에 IBK기업은행의 전산 자회사 IBK시스템 대표이사로 자리를 옮겼다.
4. 누구 짓인가?
4.1. 북한 짓이다!
이명박 정부 들어 일어난 일이란 점에서, 더구나 4.27 재·보궐선거가 다가오는 시기라서 많은 사람이 예상한 대로 중앙일보에서는 북한의 소행이라는 주장을 제기하였다. # 주요 논지는“IP추적이 안되니까 북한 짓임.” 그러자 농협 관계자가 ‘'''내부자가 간첩이 아닌 이상 불가능하다'''’라는 반박을 제기했다.
농협 전산 사고에 대한 정부의 부칸드립을 일주일 전에 예견한 글이 주목받고 있으며 성지순례객들의 댓글이 이어지고 있다.
그런데 결국 '''검찰에서 북한의 소행으로 결론지었다.''' 이에 대해 농협은 사실관계가 맞지 않는다고 부정하였다. 게다가 검찰은 북한의 소행이란 주장의 근거를 '''말하기 곤란하다'''라고 했으며 그나마 밝힌 근거는 이전 DDoS 공격과 IP와 패턴이 유사하단 점인데, DDoS 공격 자체가 범인이 명확하게 밝혀지지 않은 채로 북한으로 추정했을 뿐이다. 즉 추정 위에 추정을 더한 것.
현실을 아는 1금융권 전산분야에 근무하는 모든 개발자들은 이런 검찰의 주장에 실소를 금치 못했다. 인프라팀 근무자가 아닌 이상, 200대 이상의 서버에 접근권한 조차 없을 뿐더러 설사 악의적인 의도를 품었다해도 절대 만만한 일이 아니다.
4.2. 과연 그럴까?
지난 DDoS 사태에 사용된 중국 선양의 IP는 북한에 대여되어 있었기에 DDoS 사태에 북한이 개입했을 가능성이 없는 것은 아니다. 농협 전산망을 통제하는 PC를 좀비PC로 만든 DDoS 아이피도 같은 아이피라는 점을 감안하면, 북한이 해당 노트북으로 접속하려고 시도한 적이 있었을지도 모른다. 북한의 경우 목적이 있다고 볼 수 있으나 내부 직원은 그렇지 않다는 점에서 북한의 소행을 염두에 둘 근거는 마련되었다고 볼 수 있다. 북한의 짓이라고 해서 '''농협 고위층이 책임을 지지 않고 어물쩍 넘어가려 해도 된다는 건 절대 아니지만.'''[10]
자세히 서술하자면, 검찰의 시나리오는 다음과 같은 문제가 있다.
검찰 주장
보안업계의 반박
검찰의 추정에 의하면 7개월 전 한국IBM직원의 노트북이 백도어 프로그램에 감염되었고, 백도어를 통해 IBM사 직원의 농협 시스템 정보가 빠져나갔으며, 북한이 이 정보에 주목하여 농협 시스템 정보를 분석하고 이를 토대로 스크립트를 작성하여, 노트북이 농협 시스템에 접속했을 때 발동하여 시스템을 파괴했다는 이야기다.
이러한 시나리오가 성립하려면, 무작위로 들어오는 백도어 프로그램을 통해 들어오는 많은 데이터 중 ‘농협’에 접속하는 ‘IBM 직원’의 노트북을 찾아내어야[11] 하고, 백도어를 통해서 방대한 시스템 정보를 완벽하게 분석해 내어야 한다. 특히 스크립트로 파괴 과정을 조정하려면 '''해당 시스템의 구조를 세세하게 알고 있지 않으면 불가능'''[12] 한 이야기다. 또한 루트 권한을 위한 패스워드도 당연히 알아내야 한다.[13] 이것이 백도어 프로그램과 도청 정보를 통해 완벽하게 파악될 수 있을까? 또한 백도어 프로그램이 7개월동안 적발되지 않아야 하며, 작성한 스크립트를 다시 IBM 직원의 노트북에 심어야 한다.[14] 그리고 '어떤 시간에 농협 시스템에 이 노트북이 접속될지' 그 시간을 정확하게 예상하여 그 시간에 발동[15] 하도록 해야 하는 것이다.
위의 이야기를 종합하면, 1. '''본문'''에 의하면 기막힌 우연과 치밀한 해킹 능력이 발휘된 이러한 일이 일어날 확률은 낮은 편이다. 적어도 검찰이 추정하는 경로로의 북한의 개입은 상당히 힘들다.
5월 5일 군 관계자 역시 북한의 소행으로 단정하기 어렵다고 밝혔다
2011년 7월 5일 일부 언론은 미국의 보안업체 맥아피가 이번 사건과 관련해 작성했던 보고서 에 의한 기사에서 맥아피는 북한이 한국 전산망 공격의 배후라고 확정지었다고 하였으나,# 이는 2009년 7월과 2011년 3월에 있었던 북한의 DDoS 공격에 관한 것이며, 농협 전산망 공격에 대한 분명한 주체로 정해진 것은 아니다.
이러한 공격은 실제로도 가능한게, 이란 핵시설을 파괴하기 위해 제작한 바이러 스턱스넷이 실제로 수년간 발견되지 않고도 핵시설을 파괴시켜버렸다. 국가간의 해킹 전쟁은 고도로 발달되었고 이러한 공격을 APT공격이라고 한다. 한국을 공격하는 대표적인 국가는 당연히 북한 러시아 중국 그리고 미국이다
5. 이후
소니의 플레이스테이션 시리즈용 온라인 서비스인 플레이스테이션 네트워크 또한 비슷한 시기에 접속이 불가능해지고 개인정보가 유출되는 사태가 벌어지자 '''농협스테이션''', 플레이스테이션 농협이라 까이고 있다(...)
농협사태가 터진 날부터 약 일주일간 대규모 DDoS 공격이 있었다. 해당 시기의 DDoS 공격으로, 엔하위키 미러 및 몇몇 IT업체와 커뮤니티들이 이용불능 상태가 되었으나, 규모가 작은 사이트들이었기 때문에 언론 보도는 없었다.
농협은 이후 전산 보안팀을 신설할 계획이며 인원을 뽑고 투자를 할 것이다고 했다.
하지만 2013년 3.20 전산망 마비사태의 주역으로 다시 등장했으며, 2014년 1월, 국민카드, 롯데카드와 함께 개인정보를 시원하게 털려버렸다.
2015년 12월 29일 연말 2일을 앞두고선 또 터졌다.
[1] 군대의 인트라넷을 생각하면 된다. 이후 2금융권까지 정책이 확대되었다. 그래서 국내 중소기업들이 망분리PC(인터넷망 PC와 내부망 PC가 모두 탑재되어 있음. 즉, 한 케이스에 두 컴퓨터를 넣어놓은 형태.)를 많이 보급하기도 했다.[2] 이른바 창구단말지급. 창구단말지급으로 인출할 경우에는 카드의 비밀번호를 알아야 하고 신분증을 지참해야 한다.[3] 사실 원장 손실은 사용내역이 변경되는 게 아니고 날아가 버리는 것이니 카드사용자 입장에서는 사용내역에 대해서 공짜가 되는 것이라 좋은 일인데, 판매자 입장에서는 판매한 만큼 돈을 못받는 것이니(…)[4] 결국 특정기간에 카드결제일이 속해 있는 고객들에게 결제일을 한달 미룬다는 문자메시지가 왔다. 한달이나 기간을 추가로 얻은 셈이니 간접적으로는 혜택을 본 것일지도…[5] 예금, 보험원장에는 HP서버, 하나로마트와 경제업무에는 Sun, 카드 및 EAI같은 기타업무에는 IBM서버를 사용.[6] 사실 서버 한 대도 아니고 200대가 넘는 서버가 아작이 났는데 rm 커맨드로 했다는 건 조금 무리가 있다. 쉘이나 SMS가 아니면. 날아간 서버를 다 일일이 접속해서 rm 커맨드를 넣어야 한다는 것인데…[7] 은행 등에선 RAID를 주로 활용하므로 Red Hat Enterprise Linux 계열 기준으로 RAID시에 기본적으로 할당되는 것으로 작성하였다.[8] MBR + 1차 부트로더 삭제 (예를 들어 LILO, GRUB과 같은 부트로더는 MBR 밖에 있는 2차 부트로더다.)[9] 일단 예전에 사용하던 유니시스 메인프레임은 금융권에서 조흥은행, 신한은행, 농협과 수협만 사용했었고, 조흥은행과 신한은행이 신 시스템으로 교체를 하면서 유니시스는 거의 농협만의 전유물이 되었기 때문으로 보인다.[10] 누구 짓이냐를 가리기 이전에, 저 말도 안되는 보안의식만으로도 사건발생 시점에서 농협 고위층은 책임져야 한다.[11] 처음부터 농협을 노린 범행이 아니라, 우연히 농협과 관련된 IBM 직원의 노트북을 찾아낸 뒤에 이러한 범행을 저질렀을 가능성은 있다.[12] 이걸 완벽하게 알아낸다는 것은… 위에서 농협이 했던 말처럼, 북한이 농협이나 한국IBM의 관련부서에 간첩이라도 침투시키지 않고서는 힘들다.[13] 실제로 검찰의 발표 자료를 보면 키로거 프로그램으로 루트 계정의 패스워드를 얻어낸 흔적이 캡쳐되어 있었다. 그런데 그 패스워드란 것이 ‘passw0rd’ 뭐 이따구… [14] 이것은 처음에 심은 악성코드에 범인의 차후 지령을 받아들이는 코드가 있으면 충분히 가능한 일이며, 실제로도 굉장히 흔하게 사용되는 방법이다. 그리고 7개월 동안 악성코드의 활동을 전혀 감지하지 못했다는 것은 해당 노트북에 대한 보안 관리가 '''매우 허술'''하였음을 시사한다.[15] 이것은 특정 시간 이후로 해당 노트북이 농협 시스템에 접속한 것을 감지하였을 때 발동한다던가 하는 조건을 준다면 충분히 구현할 수 있다. 다만 검찰의 판단은 범인이 발동 명령을 '''직접 실시간으로''' 내렸다는 것이다.