농협은 18일 전산장애 관련 중간브리핑을 열고 이번 사고는 고의적 사이버 테러로 보인다고 밝혔다.

   농협은 "문제를 일으킨 명령어는 전체 서버 파일을 삭제하도록 하는 것으로 고도의 기술을 가진 전문가가 할 수 있는 일"이라고 설명했다.

   그러나 "해당 명령어가 삭제에만 관련돼 있어 고객 정보 유출 등은 없으며 오는 22일까지 대고객 업무 복구를 모두 완료하겠다"고 말했다.

   다음은 농협 관계자와의 일문일답.

--구체적인 사고 경위를 말해달라.

   ▲협력업체의 노트북에서 삭제명령이 들어간 파일이 실행됐다. 이는 상당히 치밀하게 계획된 것으로 고도의 경험 있는 사람이 작성한 것으로 판단한다.

   --이득을 취했을 가능성은

   ▲파일 삭제명령만 내렸고 카피(COPY) 등 특정 정보 유출 명령은 없었다. 외부에서 특정 정보를 얻을 목적으로 하는 일반적인 해킹과는 다르다.

   --해킹 이상의 악의적 소행으로 보는 이유는

   ▲내부에서 저질러진 일이며 동시다발적으로 전 서버 시스템을 대상으로 했다. 기관망 전체를 무력화하려는 시도로 보이는데 외국에서도 사례를 찾기 어려운 극히 드문 일이다.

   --명령어가 IBM을 제외한 다른 서버로도 갈 수 있었나.

   ▲IBM 이외 서버에 침투 흔적은 있으나 미리 차단했다.

   --직원 서버 하나가 농협 전체 전산망과 연관돼 있는 거냐

   ▲공격시도는 특정서버에 국한된 것 아니다. 서버 간 방화벽이 처져 있지만, 물리적으로 연결돼 있어 방화벽 뛰어넘으면 접속 가능하다.

   --농협 전산망 시스템 잘 알아야 가능한 소행인가.

   ▲일반적 기술이나 서버 내부적인 커널과 네트워크 방화벽을 모두 꿰고 있어야 가능한 조합이다.

   --삭제명령이 내려진 시각은

   ▲12일 오후 4시56분이다.

   --그 시각에 작동하도록 명령된 건가 아니면 실시간으로 들어간 것인가

   ▲경위 파악 중이다.

   --프로그램 실행 시 해당 직원은 뭐했나.

   ▲말하기 어렵다. 폐쇄회로(CC)TV 확보해 수사 중이다.

   --업무 중 명령어 내릴 수 있으며 다른 노트북으로도 가능하나.

   ▲기술적으로 가능하다. 일반적으로 유닉스 명령어는 명령을 내리면 확인 절차 없이 실행할 수 있다. 다른 노트북으로도 가능하다.

   --왜 중계 서버를 공격했느냐

   ▲추정이지만 계획한 쪽에서 임의로 선택한 부분이 중계 서버가 된 것으로 파악한다. 본 시스템은 2중.3중의 방어장치 있어서 내부인도 접근 어렵다.

   --노트북 외부 반출 정황은

   ▲노트북을 반출할 때는 포맷 후 반출토록 한다. 반출한 적이 있다면 기록에 남아있을 것이다.

   --원장의 정확한 개념이 무엇이며 중계 서버에 있는 건 어떤 거냐.

   ▲IT에서 말하는 원장은 1천116개 파일을 포함한다. 거기에는 고객 거래에 필요한 것뿐 아니라 주소, 회원번호 등 참고용 정보가 있다. 앞서 원장이 유실되지 않았다고 한 것은 고객의 재산과 관련된 것을 말한다.

   --중계 서버에 있는 임시 원장은 백업되나

   ▲중계 서버에 있는 거래 내역 데이터, 금융정보는 별도 서버에 구축했다. 현재 피해 범위는 중계 서버에 한정됐다.

   --주센터와 백업센터 파일이 같이 지워졌다. 어떻게 그럴 수 있나

   ▲오작동에 의한 업데이트 명령과 정상 업데이트 명령을 기술적으로 구분 못 한다. 이 때문에 삭제명령이 악의적으로 배포된 경우 양쪽 원장 동시 삭제가 불가피하다.

   --복구 대책은

   ▲통상 IT본부는 데이터 전체 삭제에 대한 비상플랜 갖고 있다. 테이프라는 (자기저장) 장치를 통한 것인데 주말에 받아놓은 테이프 데이터를 복원하고 변경된 데이터 이미지 업데이트하는 과정에서 시간이 소요된다.

   --원장 손실 없다고 해놓고 다시 인정했다.

▲주원장에 있는 금융거래 데이터 삭제.유출은 없었다.

   --데이트 손실된 부분 복구는 어떻게 확신하나.

   ▲백업데이터가 테이프와 디스크로도 존재한다. 데이터 어느 부분이 비고 어느 부분에서 찾을 수 있는지는 담당 프로그래머와 현황파악을 완료했다. 지금은 데이터 검증 단계다.

   --디스크 백업도 일부 파괴됐다는데 이유는.

   ▲통상 하드디스크는 온도.습도에 민감하다. 통상 있는 일이라서 일반적 장애로 인지하고 있다.

   --테이프 백업 기간은 얼마나 걸리나.

   ▲주 원장 신용.금융업무는 거의 매일 받는다. 중요성이 떨어지는 건 주간 또는 격일로 백업한다.

   --백업시스템 중 금감원 지침이나 공고사항 어긋나는 게 있었나.

   ▲금감원 권고사항은 중요 데이터는 반드시 테이프로 받아 원격지에 멀리 떨어진 데 옮겨서 보관하라는 것이다. 우리는 경기도 안성에 보관했다.

   --사고 다음날 복구된다고 했는데 번복한 이유는

   ▲장애가 발생하면 복구에 대한 의지목표가 있다. 그 부분에서 착오를 일으킨 거 같다.

   --현재 안 되는 업무는 무엇인가

   ▲카드가맹점 대금결제업무, 카드 발급, 청구서, 모바일 현금서비스 관련 부분이다. 인터넷 거래는 폭주를 우려해 부분적으로 막았다.

   --현재 카드 가맹점에서 입금 안 되고 밀려 있는 액수는.

   ▲5일간 7만3천500건 577억7천800만원이다.

   --고객피해 중 주식거래 등에 의한 건은 어떻게 보상할 건가.

   ▲민원에 대해서는 경제적 피해는 전액 보상하나 주식반대매매에 따른 피해는 검증이 필요하다. 검증 이뤄진 부분에 대해서만 보상한다.

   --피해보상은 지금도 가능한지.

   ▲이미 실시한 것도 있으며 민원인과 영업점장 간 합의로 지속적으로 이뤄지고 있다.

   --피해 보상 금액은

   ▲920건 중 금액으로 환산해 청구한 부분은 12건 558만원이다. 이 중 2건 163만원은 보상완료했다.

   --정신적 피해보상은

   ▲정신적 피해는 아직 정확한 판결사례 없어서 자문해 연구한 다음 말하겠다.