지금까지 이런 일은 없었다. 전산사고가 발생한지 보름이 되도록 고객들의 금융거래 정보를 복구하지 못한 사례는 세계 금융사에 기록될 만한 일이다.

도대체 누가, 왜 이런 엄청난 일을 꾸몄는지 파악이 안되자 일각에서는 “세계 최고의 정보기관인 미 FBI도 관심을 가질만한 사건”이라는 말까지 돌고 있다. 검찰과 농협중앙회측이 밝힌 대로 사전에 치밀하게 계획된 ‘사이버테러’라면, 북한의 사이버 공격을 포함해 모든 가능성을 열어두고 봐야 한다는 얘기다. 농협 사건을 수사 중인 검찰의 고위 관계자도 북한의 사이버테러 가능성에 대해 “결론이 나면 말하겠다”며 강하게 부인하지 않았다.

▶일부 거래 내역 왜 복구 못하나=사상 최악의 전산사고는 지난 12일 오후 5시경 농협 IT분사 협력업체인 IBM 직원의 노트북PC에서 모든 파일을 삭제하는 ‘rm’(remove의 약자) 명령어가 실행되면서 시작됐다. 더욱 심각한 것은 삭제된 파일을 복구조차 할 수 없도록 하는 ‘dd’(data description의 약자) 명령어가 포함돼 있었다는 점이다.

하지만 특이하게도 데이터를 빼가기 위한 복사 명령은 없었다. 경제적 이득을 노린 소행이 아니라고 판단하는 근거다. 명령어가 실행되자 마자 농협 서버 수백대에서 동시에 파일이 삭제되고 있었고, 백업서버에서도 같은 명령이 실행됐다. 농협은 즉시 모든 시스템을 강제로 중단시켰다. 농협 전체 금융거래 마비의 시작이었다.

사건 발생 후 농협은 타은행 거래원장과 결제대행업체인 벤(VAN)사, 가맹점 거래 기록 등을 받아 훼손된 거래원장을 복구했다. 하지만 사건 발생 당일인 12일 오전 4시 25분부터 오후 5시 10분까지 농협채움카드 고객이 농협 자동화기기(ATM)을 통해 현금을 인출한 현금서비스 내역과 중계서버의 임시 저장소에 있던 일부 카드 거래내역은 보름이 지나도록 아직 복구하지 못하고 있다. 다른 곳에서도 거래기록을 찾을 수 없는 것들이다.

농협은 이 과정에서 최원병 중앙회장까지 나서서 “거래원장 손실은 없다”며 수차례 거짓말을 하다가 결국은 복구가 아예 불가능한 게 있다고 시인, 금융기관으로서 신뢰를 무너뜨렸다. 보안의 허점에 거짓말까지 더해진 최악의 신뢰 추락이다.

▶보안 상태 취약한 농협 노렸다=농협 말대로 이번 사건이 사이버테러라면 범인은 금융기관 중에서도 보안상태가 허술한 농협을 의도적으로 노렸거나 내부자 소행일 가능성이 크다.

농협 IT부문은 경영효율화를 위한다는 명분으로 사내 분사 형태의 아웃소싱으로 운영돼 왔다. 총 인력은 농협직원 550여명과 외주업체 직원 200여명으로 구성돼 있다. 이런 조직은 국내 대형 금융회사에서도 찾아볼 수 없는 기형적인 구조라는 게 금융권의 대체적인 지적이다.

이번 사건의 발단이 외주업체 직원의 노트북PC에서 시작된 점을 미뤄볼 때 극소수의 인원만 가져야 할 ‘수퍼 유저’(최고 정보에 접근할 수 있는 권한을 가진 자)가 여러 명이었을 가능성이 있다는 게 전산 전문가들의 분석이다.

최근 인터넷에서는 농협IT 부문 외주업체 직원으로 보이는 사람이 올린 글이 떠돌았다. 농협측이 무슨 일만 생기면 이거해라 거거해라 요구해 밤낮, 휴일도 없이 일을 했다는 게 요지였다. 수퍼 유저 권한이 내외부를 들락거리는 외주업체 직원의 노트북PC에도 부여된 게 이해되는 대목이다.

금융감독원과 한국은행도 바로 이 점에 특히 주목하고 공동검사를 진행하고 있다.

<신창훈 기자 @1chunsim>

chunsim@heraldcorp.com