농협 삭제명령, 시스템 작업실 내부서 작동

[보안뉴스 호애진] 농협은 전산 장애 사태와 관련, 이번 사고를 내부자 소행쪽으로 가닥을 잡고 있다.

농협은 19일 개최된 2차 브리핑에서 “외부에서 서버 삭제 명령을 시도했다면 외부 방화벽에 걸렸을 것”이라며 “협력업체 노트북 PC에서 내려진 기술적 명령어 조합으로 볼 때 작동자가 시스템 보안실 안에 들어와야 가능하다”고 밝혔다.

따라서 농협은 사고 당시 농협 전산망의 서버 삭제 명령을 작동시킨 사람이 시스템보안실 내부에 있었거나 해당 노트북 PC에 이미 삭제명령 프로그램이 보관돼 있다가 실행된 것으로 보고 있다.

노트북이 있는 시스템 작업실은 내부자 중에서도 인가받은 사람만이 진입 가능하며 암호를 입력해야만 노트북에 접근할 수 있는 점도 이를 뒷받침하고 있다는 것.

농협의 관계자는 “상주하는 200명의 협력업체 직원 중 약 20여 명이 시스템 작업실에 들어갈 수 있다” 며 “내부 직원이 50여 명이 들어갈 수 있어 총 70여 명이 가능하다”고 밝혔다.

한편 검찰은 외부 공격·내부 소행 등 모든 가능성을 열어놓고 수사를 하고 있지만 내부 소행에 보다 중점을 두고 내부 직원이 어떠한 경로와 목적으로 중계서버의 핵심 실행파일에 대한 삭제명령을 내렸는지에 대해 초점을 맞추고 있다.

이에 따라 검찰은 농협 서버에 ‘최고접근권한(Super Root)’을 가진 농협IT본부와 한국IBM 직원 5명 가운데 2~3명을 출국금지 조치했다고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>