| 농협 전산망 장애, 막을 수는 없었나? |
| 관리 허술과 안일한 보안 의식이 가장 큰 문제 |
|
|
|
|
|
12일 오후 5시 경부터 시작된 농협 전산망 장애가 일주일이 지난 현재까지도 100% 해결되지 않고 있다. 이번 사고는 농협이 아닌, 어떤 은행이더라도 충분히 있을 수 있는 사고였다는 점에서 전반적인 국내 금융권의 보안 허점을 드러냈고, 국민들이 믿고 맡겨 온 은행의 신뢰도를 크게 실추시켰다는 점에서 최악의 보안 사고로 기록될 것임에 분명하다.
농협 전산망 장애는 협력사인 IBM 직원의 노트북에서 전 서버시스템을 대상으로 파일 삭제 명령이 동시다발적으로 내려져 발생했고, 주 시스템은 물론 백업센터의 데이터까지 삭제되어 서비스가 복구되는데 상당한 시일이 소요되고 있다.
파일삭제 명령을 통해 5분~10분 안에 200~300대 서버 내 파일이 동시에 삭제됐는데, 외부 해킹을 통해서는 짧은 시간에 이 많은 서버들의 권한을 얻어 삭제 명령을 내리는 게 불가능하다는 점에서 업계 전문가들은 외부 해킹보다도 내부 시스템을 잘 아는 내부자의 소행에, 그리고 실수가 아닌, 의도된 공격 쪽에 무게를 두고 있다.
농협 역시 4월 18일, 19일 기자 브리핑을 통해 “사고 원인은 내부자에 의한 고의적 사이버테러로 규정하며, 다시는 이런 사태가 일어나지 않도록 수단과 방법을 가리지 않고 보안 강화에 투자를 하겠다”고 밝혔다.
◆ “사고 경위에 의아스러운 부분 많다”= 수사가 끝나야 정확한 원인 파악이 가능하겠지만, 협력사 직원 PC에서 동시다발적으로 다량의 서버에 파일삭제 명령이 내려져 실행된 것으로 볼 때 관리자(Admin) 권한 관리에 문제가 있고 파일 삭제 명령에 대한 제한이나 통제가 제대로 이뤄지지 않고 있었던 것으로 추정된다.
내부자가 직접 개입해 사회 공학적인 방법으로 정보를 전달했을 가능성도 배제할 수 없으며, 특히 이번 사건의 경우 농협이 협력사 직원에게 지나칠 정도로 과도한 어드민 권한을 부여했다는 지적이 가장 높다.
농협처럼 외부 협력업체에 프로그램을 직접 건드릴 수 있는 어드민 권한을 부여하는 것은 물론, 협력업체 단말이 직접 내부 시스템에 접근 가능하도록 권한을 부여하거나 내부 네트워크에 접속하도록 하는 게 결코 흔한 일은 아니라고 타행의 전산담당자들은 꼬집어 말했다.
일반적으로 타행들은 내부핵심요원이 아니면 어드민 권한을 알려주고 있지도 않을 뿐더러, 어드민 권한이 있는 본인 외에 접근이 어렵도록 OTP(일회용패스워드생성기)를 이용한다거나 작업요청서 신청을 받아 랜덤으로 작성한 패스워드를 부여하고 사용한 뒤 파기하는 식으로 보안을 강화하고 있다.
A은행의 관계자는 “유추 가능한 패스워드를 쓴 건지, 고정된 패스워드를 쓴 건지 모르겠지만 발표된 사고 경위를 볼 때 믿어지지 않는 일이다. 외부 직원에게 직접 어드민 권한을 주는 경우도 없고, 상시로 유저 아이디나 루트 권한을 주는 은행은 없을 것”이라며 “권한을 지닌 내부 직원이 협력사의 도움을 받아 함께 장애처리나 시스템 작업을 하는 일이 있기 때문에 전혀 불가능한 사고도 아니지만 의아스러운 부분이 많다”고 말했다.
또한 농협이 하나의 PC에서 파일 삭제 명령을 내릴 때 여러 서버로 동시에 명령이 실행되지 않고 특정 서버에만 실행되도록 제한을 두거나 통제할 수 있는 방법이 얼마든지 있음에도 이 같은 통제가 이뤄지지 않았다는 게 업계의 지적이다.
B은행 관계자는 “IT 관련 보안 및 내부통제 정책이 있었을 텐데 너무 풀어져 있거나 지침을 안 지켜서 발생한 사고일 수 있다. 사고를 100% 완벽히 막을 수 없지만 통제, 제한 둘 수 있는 여러 방법이 있다. 이번 사고를 보고 통제를 강화하고 개선점을 추가 업데이트하고 있다”고 전했다.
◆ “상시 보안체계 마련과 지속적인 인력 투자가 답”= 이번 농협 전산망 장애와 같은 사태를 막을 수 있는 근본적인 대책은 없을까? 특정 보안 솔루션을 도입하기 위한 단발적인 투자보다는 신규 취약점에 대비한 상시 보안 체계를 갖춰야 하며, 보안에 대한 관심과 무엇보다 사람에 대한 투자가 지속적으로 필요하다고 관계 전문가들은 거듭 강조했다.
고도의 사이버테러나 신규 취약점을 이용한 보안 사고를 특정 보안 제품을 이용해 막으려면 한도 끝도 없을 뿐더러, 한 번 마음을 먹은 공격자는 무슨 방법을 취했어도 사고를 냈다는 것.
또한 어떤 은행이라도 대상만 됐다면 무차별 공격을 얼마든지 당할 수 있으므로 2중, 3중으로 상시 보안 체계를 갖추고 직원들 교육을 시키는 것만이 해결책이라고 보안업계의 한 전문가는 목소리를 높였다.
또 다른 보안업계 전문가는 “대부분의 기업들이 원칙과 정책은 있음에도 불구하고 이를 따라가지 못하는 내부 인력의 한계가 분명히 있다”고 지적하며 “외부 인력에 곳간 키를 맡기기보다 제대로 된 내부 전문가를 양성했더라면 이 같은 사고 위험을 덜 수 있었을 것”이라고 말했다.
현재로서 협력사 직원의 노트북에서 데이터 삭제 명령이 내려졌으나 직접 키보드로 입력되지 않고 USB에 심어졌던 해킹 프로그램에 의해 원격 조정됐을 가능성도 배제할 수 없는 상황이다. 향후 수사결과 밝혀질 정확한 사건의 전말에 많은 이목이 집중되고 있다.
한편, 농협은 오는 22일까지 모든 서비스 복구 조치를 완료할 것이며 모든 고객피해를 보상하겠다고 밝혔다. 검찰은 이번 사건과 관련해 농협 내외부 직원 20명을 출국금지 시키고, 소환해 조사하고 있다. 사고 당시 협력업체 노트북이 외부 인터넷망에 연결됐는지, 담당직원이 무엇을 했는지 등에 대해 면밀히 수사 중이다.
|
[출처] http://www.itdaily.kr/news/articleView.html?idxno=26026 |
jekim92@itdaily.kr