- ▲ 전산망 마비 사태를 겪고 있는 농협중앙회지점/출처=조선일보 DB
사상 최악의 농협중앙회 전산망 마비 사태를 불러온 것은 알파벳 4글자와 점 하나였다. ‘모든 파일 삭제’를 의미하는 명령어 ‘rm.dd’가 실행되자, 농협의 총 553대 서버 중 275대가 불과 5분여 만에 일부 혹은 전체 삭제됐다.
국내 ‘4대 은행’인 농협이 이 정도로 관리가 허술할지 몰랐다는 여론은 차치하고, IT 전문가들도 이구동성 “이해하지 못할 일”이라고 했다. 알파벳 4글자와 점 하나가 도대체 무슨 일을 어떻게 벌인 것일까.
◆‘rm.dd’의 미스터리
15일 농협에 따르면, 이번 사건은 글로벌 정보기술(IT) 기업인 IBM의 운영 서버 유지·보수 담당 직원 노트북 컴퓨터에서 나온 ‘모든 파일 삭제(rm.dd)’ 명령어에서 비롯됐다.
이 마술 같은 명령어에 의해 농협의 총 553대 서버 가운데 IBM이 관리하는 서버 320대 중 275대에서 피해가 발생했다. 심지어 재해에 대비하기 위한 DR(재해복구용) 서버의 파일들까지 삭제됐다. 명령어 시행 후 5분 만이었다.
모든 파일 삭제(rm.dd)는 시스템 안의 모든 것을 삭제하라는 최고 명령어. 가장 큰 미스터리는 누가, 어떻게 ‘rm.dd’라는 명령어를 내렸느냐는 것이다.
농협 관계자는 “550여 명의 IT본부 인력 중 이런 권한을 가진 사람은 아무도 없다”며 “서버를 공급한 한국IBM에서도 최상위 등급인 사람만 내릴 수 있는 명령”이라고 했다. 파견된 협력업체 직원 신분으로는 쓸 수 없는 명령어라는 것이다. 이에 대해 은행 업계에서는 시스템 통제 권한을 협력업체에 주는 건 있을 수 없다는 지적도 나왔다.
검찰은 15일 농협 전산망에 접근 가능한 직원 수십 명의 휴대전화를 확보해 통화 내역 확인 작업에 착수했다. 서울중앙지검 첨단범죄수사는 내부자 연루 가능성도 조사하고 있는 것으로 알려졌다. 하지만 아직 ‘rm.dd’라는 명령어를 쓴 사람이 고의적으로 그런 것인지, 아니면 외부 해킹에 의해 유발된 것인지 여부는 밝혀지지 않고 있다.
◆농협의 허술한 관리, 도마 위
농협 전산망 마비 원인이 여전히 미스터리에 빠져 있는 가운데, 한가지 명확하게 드러난 것은 농협의 허술한 전산망 관리였다.
14일 농협의 ‘전산장애 사태 사과 기자회견’은 “‘4대 은행’ 농협의 전산망 관리가 이토록 허술할 수 있을까”라는 의문만 남겼다.
이날 농협은 “지난 2004년부터 경영효율화 차원에서 전산업무의 상당 부분을 협력업체에 의존해왔다”며 “이에 따라 이번에 사고가 발생한 양재동 농협 IT본부분사에는 협력업체 직원 1~2명이 농협직원들과 함께 상주하며 전산시스템을 모니터링했다”고 밝혔다.
협력업체 직원들은 사무실에 고정된 데스크톱 컴퓨터가 아니라 노트북 컴퓨터를 통해 전산시스템을 감시했고, 얼마든지 외부로 이를 반출할 수 있었던 것으로 나타났다.
농협 측은 노트북 검퓨터를 반출입할 경우 정해진 보안절차를 밟는다고 했지만, “노트북 PC를 외부로 반출할 수 있다”는 것 자체가 해킹이나 바이러스 오염 위험에 고스란히 노출될 수 있다는 것을 의미한다고 IT 전문가들은 지적했다. 더욱이 하나의 노트북 PC로 320개 서버를 연결해 모니터링 할 수 있도록 한 관리체계도 ‘이해 불가’ 대목이다.
복구가 늦어지고 있는 데 대한 비난 여론은 더욱 거세지고 있다. 보통 은행 전산시스템에 문제가 생기면 바로 백업시스템이 가동되는 게 정상이지만, 농협에는 백업 시스템이 없었던 게 아니냐는 의혹까지 나오고 있다.
이에 대해 농협은 ▲아예 운영시스템(OS)을 처음부터 다시 깔았고 ▲중계 서버 외에 일부 연계 서버가 피해를 봐 전체 서버 533대의 안정성 확보를 하느라 복구가 지연되고 있다고 설명했다.