농협 전산망 마비 사태는 2011년 4월 12일 농협 전산망에 있는 자료가 대규모로 손상되어 수일에 걸쳐 전체 또는 일부 서비스 이용이 마비된 사건이다. 사건 초기에는 협력 업체에 의한 사고 가능성이 제기되었으나, 이후 농협 측에서는 내부 전문가의 사이버 테러일 가능성이 높다고 발표했다.[1] 그 후 4월 26일에 대한민국검찰은 조선민주주의인민공화국의 소행이라고 발표했으나 여러 가지 부분에서 의문점이 지적되었다.[2] 농협 측의 사건 처리가 미흡했다는 지적이 있었으며,[3] 농협의 일부 업무는 4월 13일 오후, 모든 업무는 여러 차례 연기 끝에 18일만인 4월 30일에 정상화되었다.[4]
검찰은 농협해킹이 조선민주주의인민공화국의 사이버 테러에 의한 것으로 결론냈다. 조사결과에 따르면 서버 유지보수를 맡은 외주업체 직원 한국IBM 직원 한모 씨가 지난해 2010년9월 4일 한 커피숍에서 받은 웹하드 사이트 무료 다운로드 쿠폰으로 서버관리 업무에 쓰는 노트북에 영화를 내려받다가 컴퓨터가 감염된 것이다.[9] 이 노트북이 조선민주주의인민공화국 정찰총국이 심은 악성코드에 감염되었고, 범인들은 노트북을 마음대로 들락거리며 각종 악성프로그램을 심고 다음 공격 실행까지 7달 동안 최고위 관리자의 비밀번호 등 전산망 관리를 위한 각종 정보를 빼냈고, 도청 프로그램을 설치했다. 좀비 PC가 된 노트북에 공격명령 파일이 설치된 건 사태가 발생한 2011년4월 12일 8시 20분 경으로 밝혀졌다. 해커들은 공격명령 파일 설치 후 16시 50분 경 인터넷을 이용한 원격제어로 공격명령 프로그램을 실행했다. 이때부터 서버 운영 시스템 파괴가 시작됐다. 이런 치밀한 준비 끝에 2011년4월 12일 16시 50분, 노트북으로 '삭제 명령'을 내리자 1차 공격을 받은 전산망 서버들이 좀비 컴퓨터로 변해 다른 서버들을 잇따라 공격하면서, 30분 만에 서버 절반이 파괴됐다고 밝혔다.
근거
조선민주주의인민공화국 IP주소: 농협 공격에 쓰인 IP 가운데 하나의 추적 결과 조선민주주의인민공화국 정찰총국이 사용하는 IP로 확인되었다.[10][11]“범인들은 구체적인 정보를 획득하기 위해 키로깅(Keystroke logging의 준말. 사용자가 키보드로 PC에 입력하는 내용을 낚아채는 것)과 도청 프로그램까지 사용했고 1달간 키로깅을 통해 취득한 정보만도 A4용지 1073페이지에 이른다”고 말했다.[12]
농협측의 보안구조: 검찰 관계자는 "농협 직원용 PC는 자체 보안 프로그램이 깔려 보안을 좀 더 강화했지만 타사 보안 프로그램을 깔지 않는 한국IBM 정책에 따라 해당 노트북엔 PC 보안 프로그램이 깔려있지 않았다"고 밝혔다. 설치해놓은 방화벽도 각기 다른 특징을 갖고 있어 농협 측의 방화벽은 내부 정보가 바깥으로 새나가는 데에는 취약한 구조였다는 것이다.[13][14]
악성코드의 구조: 검찰 관계자는 "7.7, 3.4 디도스 때와 농협 사태의 공격 패턴과, 악성코드들이 발각되지 않도록 해커들이 암호화한 방식, 삭제 대상 파일의 파일 확장자의 종류와 순서, 악성코드의 이름 등이 3.4, 7.7 디도스와 일치했다고 밝혔다.[10][15]“
3.4디도스: 노트북에서 발견된 공격 명령 서버 IP 1개가 3.4 디도스에 이용된 것과 같다는 점도 근거다. 수사 당국은 이 IP가 조선민주주의인민공화국 측이 관리하거나 사용하는 해외 IP 리스트 중 하나인 것으로 파악하고 있다.[16]
국정원이 입수한 맥어드레스: 결정적인 증거는 한국IBM 직원의 노트북PC를 조사한 결과 나왔다. 노트북에 들어있는 랜카드의 맥어드레스가 조선민주주의인민공화국이 사이버테러용으로 관리해온 좀비PC 201대 중 하나의 번호와 똑같았다. 맥어드레스는 랜카드마다 다르고 IP와 달리 위조하는 것이 불가능하다. 국정원은 모종의 경로로 조선민주주의인민공화국이 통제하는 좀비PC의 맥어드레스 목록을 입수했다고 한다.[17]
무선통신 사용: 검찰에 의하면 농협 전산망은 외부와 분리되어 있지 않다고 밝혔는데 농협 관계자는 '검찰이 사실 관계를 잘못 파악한 것이며, 내·외부가 분리되어 있다"고 밝혔다. 농협 관계자는 "다만 해당 직원이 개인적으로 T-로그인이나 와이브로 단말기,혹은 스마트폰 등 별도의 무선 통신망 접속을 위한 기기를 사용했을 수 있다"고 예상했다. 검찰도 와이파이(무선랜) 등 무선인터넷으로 방화벽을 우회해 노트북에 접근했을 가능성도 있다"고 밝혔다.[18][19]
기타: 조선민주주의인민공화국의 해킹 실력이 높지 않다는 지적에 대해서도 검찰은 조선민주주의인민공화국이 사이버전을 준비한 것은 1990년대 초부터이며. 당시 김정일이 "20세기 전쟁은 알탄(탄환)전쟁이며 21세기 전쟁은 정보전쟁"이라고 선언한 것을 예로 들었다. 현재 대남 사이버전은 조선민주주의인민공화국군 총참모부 정찰총국 산하 110호연구소가 담당하고 있다. 조선민주주의인민공화국은 사이버 인재를 육성하기 위해 10대 중후반의 영재들을 선발해 체계적인 교육을 시키기 위해 컴퓨터 전문학교에 진학시킨다. 이곳을 거쳐 매년 100여명의 최상위급 해커를 배출한다는 것이다.[20] 검찰 관계자는 "조선민주주의인민공화국 소행이라는 결정적인 근거가 더 있으나 공개할 경우, 앞으로 조선민주주의인민공화국의 사이버 공격에 대응하기 어려워지기 때문에 공개할 수 없다"고 말했다.[21]
비판과 의문점
농협 전산망 운용에 대한 비판
금융당국에 따르면 농협의 IT 예산 중 보안 예산 비중은 겨우 1.6%로 나타났으며,[22]2009년 이후에는 시스템 구축이 완료되었다는 이유로 보안 관련 예산을 71억 원에서 23억 원을 삭감한 것으로 알려졌다.[23] 더군다나 이전에도 금감원 측에서 수차례 사고 가능성을 예견했었으나 농협 측에서는 별다른 조치를 취하지 않았다.[24] 금감원의 이러한 지적에도 불구하고 농협은 그동안 최저가 입찰을 통하여 외부 아웃소싱을 진행해왔으며, 이 과정에서 외주 직원이 전산 점검 도중 중요한 시스템 파일을 삭제한 것으로 밝혀졌다.[25]
검찰은 "한국IBM직원이 7개월간 자신의 노트북이 좀비PC가 된 걸 몰랐다"고 밝혔다. 한 보안관계자는 "금융권 전산 관리자가 7개월이나 백신 프로그램 하나 사용하지 않았다는 얘기"라며 이해가 되지 않는다는 반응을 보였다. "시스템 관리 PC에 보안 프로그램도 깔지 않고, 외부로 반출하는 그런 경우는 상상하기 힘들다. 일반적으로 직원들 PC를 그런 식으로 관리하는 기업은 없다. 게다가 그 PC 관리자가 보안 담당자이지 않았는가"라며 농협도 보안 지침은 다 있었지만 지키지 못해 문제가 됐던것이라고 말했다.[26] 안철수 연구소 관계자는 "이번 악성코드라면 위험성이 높아 현재 인터넷에서 내려받을 수 있는 무료 백신을 설치하는 것만으로도 충분히 감지·삭제가 가능하다"라며 치료가 어렵지 않음을 밝혔다. 정순정 산업은행 IT센터장은 “IP가 일치한다는 점에선 정부의 발표가 신뢰할만 하다”면서도 “노트북의 출반입이 이뤄졌던 것, 그리고 내부 망에 들어왔던 것이 문제의 출발점”이라고 분석했다. 정 센터장은 “많은 기업들이 이번 일을 계기로 노트북 출·반입에 대한 통제를 강화할 것으로 보이며, 기업 내부망 접속 등에 대한 재설계도 이뤄져야 한다”고 덧붙였다.[27]
정부 조사에 대한 의문점과 비판
정부 조사에 의하면 조선민주주의인민공화국의 외부소행이라고 검찰이 조사 결과를 발표하였는데 여론에서는 무리한 카드라는 비판 또한 제기되고 있다.[28] 보안업계에서도 조선민주주의인민공화국의 소행이라는 것에는 근거가 빈약하다며 검찰의 조사를 신뢰하지 않는 모습을 보였다. 군 관계자도 "대답할 만한 위치에 있지는 않지만 조선민주주의인민공화국 소행이라고 단정하기는 어렵다"라며 검찰의 조사와 상반된 의견을 보이기도 했다.[29] 검찰의 말대로 만약 이 사건이 정말 조선민주주의인민공화국의 짓이라면 문제가 더 크다는 지적도 있다. 제1금융권이 조선민주주의인민공화국에 해킹됐다는 것은 다른 어느 금융권도 똑같은 피해를 당할 수 있다는 것이다. 또한 디도스 공격이 발생한 후 2년간 그동안 무엇을 했는지에 대한 당국의 책임도 피할 수 없다는 것이다.[30]진중권은 트위터에서 "아니, 잠수함도 서해를 제 맘대로 헤집고 다니고, 해커도 인터넷을 제 방처럼 들락날락거리고. 도대체 이 정권은 ‘안보’는 밥 말아드셨나요"라며 비꼬았다.[31] 다른 누리꾼들도 무슨 일만 생기면 "조선민주주의인민공화국짓"이라며 냉소를 보내는 사람들도 많았다.[32] 보수언론 조중동중에 조선일보와 중앙일보는 조선민주주의인민공화국의 소행임을 강조하는 기사를 내보냈으나, 동아일보는 의문점을 조목조목 지적하며 다른 논조를 보였다.[33] 이번 사건은 천안함 사건처럼 의문점이 많고 조선민주주의인민공화국의 소행이라는 근거가 확실하지 않으며, 조선민주주의인민공화국이 흔적도 거의 남기지 않았다는 점, 검찰이 안보를 이유로 많은 부분에서 질문의 답변을 피했다는 점, 조선민주주의인민공화국의 기술력이 알려진것보다 훨씬 뛰어나다는 점을 당국이 강조하고 있다는 점 등에서 비슷하다는 지적이 있다.[34] 검찰은 기자회견에서 안보와 관련되어 있기 때문에 답변하지 못한다는 말을 반복했다.[35] 검찰이 무리하게 조선민주주의인민공화국을 지목한 것에 대해 한 IT 전문가는 "범인을 잡기 힘든 상황에서 조선민주주의인민공화국을 범인으로 지목하면 자백하지 않는 이상 누구도 사실 여부를 확인하기 힘들다"라면서 이러한 이유 때문에 조선민주주의인민공화국이 지목됐을 가능성이 높다고 말했다.[36] 한 보안전문가는 "검찰의 발표가 얼마나 ‘황당한 것’인가는 보안에 대해 조금이라도 아는 사람들이라면 다 아는 일이지만, 검찰과 국정원이 그렇게 나오니 굳이 언급을 회피하고 있는 것"이라고 전했다. 조선민주주의인민공화국은 이번 사건이 자신들과 관련없다고 밝히고 있다.[37]
7.7, 3.4 디도스 공격 관련: 검찰이 조선민주주의인민공화국 소행이라고 결론 내린 근거인 '7.7이나 3.4' 디도스 공격과 비슷한 패턴이라고 밝힌 것에 대해서도 두 사건 모두 조선민주주의인민공화국의 소행이 확실하게 밝혀진것이 아니기 때문에 추정 위에 추정을 올리는 무리한 결론이라는 지적이다.[38] 검찰이 "이전 디도스 공격과 비슷한 패턴"때문에 같은 조선민주주의인민공화국의 소행이라고 밝혔으나, 이전 디도스 사건은 별도 명령 없이 자동으로 동작하게 돼 있지만 이번 공격은 해커가 직접 통제하는 공격이었기 때문에 성격이 다르다는 점도 의문으로 지적된다.[39] 똑같은 프로그램을 사용하여 같은 범인의 소행이라고 밝힌 점에 대해서도 한 보안컨설턴트는 "현실에서는 범행수법과 필체 등이 같으면 동일범으로 추정할 수 있지만 사이버 세계에선 프로그램의 소스코드까지 복제해 여러 명이 쓸 수 있기 때문에 ‘반드시 그렇다’고 말할 수 없다"라고 말했다.[40]
IP주소 : 검찰이 지목한 중국 IP는 전 세계 대부분의 해커들이 경유지 위장 과정을 거치기 때문에 조선민주주의인민공화국 소행으로 단정짓기는 어렵다는 지적도 있다. 전세계 해킹 사건중 50%가 중국 IP를 경유하는 것으로 알려져 있다. 한 보안 전문가는 "디도스 공격에 사용된 해커의 국외 명령서버에 대한 아이피 차단이 한국인터넷진흥원을 통해 이뤄졌는데, 공격자가 이 서버를 이용해 좀비 피시를 조종했다는 설명이 석연치 않다"고 말했다.[38] 디도스때 사용했던 IP를 똑같이 또 사용했다는 것에 대한 의문점도 있다. 조선민주주의인민공화국 체신성이 임차했다는 IP는 얼마든지 ‘세탁’이 가능하다는 것이다.[41] 한 보안 전문가는 "해커들은 자신을 숨기기 위해 여러 국적의 IP를 위조하며 공격한다"며 "IP만으로는 해커를 찾아내기 어렵다"고 말했다.[40]
농협의 내·외부망 분리 : 한 전문가는 "사용자 몰래 피시에 설치돼 정보를 빼가는 백도어 프로그램은 인터넷과 단절돼 있는 농협 내부망에 연결되면 기능할 수 없다"라며 농협 관계자의 도움 없이 불가능하다는 입장을 밝혔다.[42] 검찰은 사건에 도움을 준 내부자는 없는것으로 밝히고 있다.[43]
목적: 검찰의 말대로 만약 조선민주주의인민공화국의 소행이라면 목적이 불분명하다는 점도 의문으로 지적된다. 금융권을 공격해서 조선민주주의인민공화국이 얻을 이익이 없기 때문이다. 돈을 빼간 것도 아니고 중요한 정보를 빼간 것도 아니다. 검찰의 설명대로 조선민주주의인민공화국 정찰총국이 공격을 위해 7개월간 공을 들였다면 그만큼 얻는 무언가가 있어야하지만 불특정 다수의 피해자만 발생하는 결과를 초래했다.[34] 검찰은 또한 "애초 농협이 목표였다기보다는 악성코드 유포 과정에서 농협 시스템 관리 직원이 감염돼 목표가 된 것"이라며 우연이라는 주장도 제시했는데[44] 이 역시 설득력이 부족하다는 지적을 받고있다.[45][46][47]
조선민주주의인민공화국의 해킹 실력: 최고의 보안을 유지한다는 제1금융권을 조선민주주의인민공화국이 단번에 뚫을만한 실력이 되는지에 대한 회의적인 시각도 있다. 한 보안업체 전문가는 "서버의 유지 보수만 하는데 최소한 7~8년의 교육이 필수적인데 짧은 기간의 ‘해커 양병’으로 조선민주주의인민공화국이 이 같은 스페셜리스트를 양성할 수 있을지는 회의적"이라고 말했다.[46] 해커는 이번 사건을 통해 데이터 백업을 해놓는 서버까지 피해를 입혔다. 이는 해당 시스템에 대한 완벽한 이해가 필요한데 이 역시 조선민주주의인민공화국의 기술력으로는 부족하다는 지적이다.[48] 다른 전문가도 "조선민주주의인민공화국은 사실 IP조차 제대로 부여받지 못해 중국 망을 빌려서 사용한다. 전 세계 해커들 사이에서 취약한 인프라를 가진 조선민주주의인민공화국의 해커부대는 아예 존재감이 없다"라며 조선민주주의인민공화국해커부대의 능력에 대해 회의적인 입장을 보였다.[49] 전문가들은 조선민주주의인민공화국이 수많은 좀비PC 가운데 농협 서버 관리권한이 있는 한국IBM 직원의 노트북을 찾아내기는 극히 힘들다며, 만에하나 이를 찾아내 관리해왔다고 해도 내부자의 도움 없이 273개 서버에 파괴 명령을 내리는 것은 거의 불가능하다는 의견이다.[40] IT 업계의 한 임원은 "복잡하게 설계된 내부 시스템은 일종의 미로와 같다"며 "한 번도 이 미로를 보지 않은 사람이 남의 노트북 PC로 단번에 길을 찾아내는 것은 불가능하다"고 말했다.[40]
영향
이 사건으로 인해 대한민국의 정보 보안 분야 전반에 대한 여러 가지 문제점이 지적되었고, 이를 보완하는 조치들이 이루어졌다. 언론에서는 대부분의 금융사들이 정보 보안에 투자하는 예산과 인력은 부족하다고 지적하였으며,[25] 인력 양성에 힘을 써야 한다고 주장하였다.
[50]
또한 여러 금융기관들은 서둘러 보안관련 인력을 확보하고 내부 보안절차를 강화하기도 하였다.
[51]
한편, 국방 분야에서는 사이버사령부 확대 개편 논의 등이 이루어졌다.
[52]
정부는 원세훈 국가정보원장 주관으로 외교부, 기재부, 방통위 등 14개 부처 차관들이 참석한 '국가 사이버 안전 전략회의'를 개최, 농협 전산망 장애 사태를 계기로 범정부 차원의 일원화된 대응체계를 확립하고 사이버 보안 강화를 위한 전문 조직과 인력 확충을 골자로 한 사이버 안보 마스터 플랜을 마련하기로 했다.[53]
농협 해킹이 조선민주주의인민공화국 소행이라는 검찰 수사결과 발표를 계기로 정부가 국회에서 2년 이상 방치되고 있는 ‘국가사이버위기관리법’ 제정을 재추진할 움직임을 보이고 있다. 정부 고위 관계자는 12일 “디도스 공격이나 농협 해킹 같은 사이버 위기 상황이 발생했을 때 일사불란한 대응체계를 구축하려면 국가사이버위기관리법 제정이 필요하다”고 밝혔다. 국가사이버위기관리법 제정안은 2009년 4월 국회 정보위원회에 상정됐지만 여야 간 입장 차로 대체토론이나 소위원회 상정 등 논의는 진전되지 못하고 있다. 이 법안은 국정원 소속의 국가사이버안전센터 설치, 국정원장의 국가사이버위기관리 종합계획 및 기본지침 수립, 사이버 위기시 원인분석, 사고조사, 긴급대응, 피해복구 등 국정원장이 사이버위기 때 ‘컨트롤 타워’가 되는 내용을 골자로 하고 있다.[54]
이 사건 이후로도 농협의 전산장애는 간헐적으로 일어났다. 5월 19일에는 인터넷뱅킹 계좌 조회업무, 영업점 창구 신규 업무 등이 중단됐다. 13일에는 전국적으로 ATM 기기가 작동하지 않는 일도 벌어졌다. 농협측은 "대량 업무 처리에 의한 일시적 업무 폭주 및 과부하로 인한 채널 중계서버 장애"라며 지난번 사건과는 관련이 없다고 밝혔다.[55]
각계 의견
조선민주주의인민공화국의 유사한 범죄는 결국 국가 안보를 위한 사이버 테러 대응 체계는 부처간 이해관계를 떠나 국가와 국민의 안전을 책임질 수 있는 곳에서 주도해야 하며, 국가 정보보호 수준을 높이기 위해서는 관련 법과 제도 수립 및 기술 개발 등을 함께 관장할 수 있는 컨트롤타워가 필요하다. 이를 위해 대통령령인 국가사이버 안전관리규정의 시행령을 강화해 국정원 주도의 국가 사이버 안전 총괄체계를 강화할 필요가 있다는 지적이 있다.[56]