농협 해킹에도 1번 노트북이 사용되었을까?

농협 전산망 마비에 대한 검찰의 수사결과가 발표되었는데 어이없게도 북한의 소행이라는 충격(?)적인 이야기를 들었다. 처음에는 내부자의 실수라고 이야기를 하다가 나중에는 해킹으로 갔다가 결국은 북한의 소행이라는 어처구니가 없는 발표...

내부자의 노트북에 북한에서 해킹프로그램을 심어서 이를 통해서 서버를 마비시켰다는 영화같은 이야기에 실소를 금할 수 없다. IT강국이라는 나라에서 이런 이야기까지 나와야되나라는 안타까움도 묻어난다. 차라리 내부 실수로 인하여 발생한 문제로 솔직하게 머리숙여 사과하는 편이 더 낫지 않았을까...

IT관련분야에서 일한 사람들이라면 대충 어떻게 서버들이 망가졌는지 이해가 갈 수도 있을 것이다. 농협에서 사용한 시스템은 대부분이 UNIX시스템(추측이다 설마 윈도우서버를 사용하지는 않았다는 가정) 여기에다가 악성코드를 심는 것 자체가 조금 이해가 안되는 부분이고 동시에 몇 백대의 서버로 옮겨졌다는 부분도 RCP에 대한 부분이 아니면 Deploy될 수도 없을 것이다. 보통 대량의 서버들을 동일한 파일로 관리하기 위해서는 관리프로그램을 별도로 사용하거나 호스트 카피를 통해서 호스트별 파일 동기화를 만들 것으로 생각한다. 그러면 동기화된 파일에서 실행은 어떻게 할 것인지..... 개별로 실행을 할 수 없을 것이다. CRONTAB이라는 자동실행 데몬을 통해서 실행했을 것인데..

핵심적인 파일시스템을 지우기 위해서는 ROOT 권한이 반드시 필요하다. ROOT권한 하에서만 시스템파일 삭제가 가능하므로 추측하건데 Shell파일을 잘못 복사했거나 아니면 내부에 악의적으로 Shell파일을 만든 후에 자동실행 파일에서 실행중인 프로그램과 바꿔치기를 한 것 같은 생각이 든다.

보통의 대량의 서버파일을 복구하기 위해서는 동일한 시스템이 아닌 이상 OS백업이라던지, 데이터백업을 받아놓았을 것이다. 하지만 서버의 대수가 많다거나 할 경우에는 OS백업은 힘들 것이고 내부적으로도 중요 데이터가 아닌 이상은 백업을 받지는 않았을 것이다. 또한 중요 데이터의 경우에는 SAN, NAS로 네트워크 연결되어 있을테니 이 부분은 문제가 되지 않을 것이고..

아무튼 단순한 실수나 내부적 문제를 덮어두려고 이런저런 대책을 강구하다가 시간이 갈수록 여론이나 언론의 파급력으로 파장이 커지니 이리막고 저리막고 하다가 결국은 북한의 소행까지 이르지 않았나 하는 생각이 든다. 우스개 소리로 "1번 노트북"이 출몰할지도 모른다는 이야기도 돌고 있으니........ㅋㅋ