농협 전산보안 매뉴얼 ‘무용지물’(?)

농협 전산보안 매뉴얼 ‘무용지물’(?)

입력 2011-04-19 00:00
수정 2011-04-19 16:22
  • 기사 읽어주기
    다시듣기
  • 글씨 크기 조절
  • 댓글
    14
농협 전산장애에 대한 검찰 수사에서 서버 삭제명령 프로그램 파일이 최소한 한 달 전부터 협력업체 노트북 PC에 단계적으로 입력된 것으로 확인되면서 농협 IT본부 분사 시스템 작업실의 보안관리 체계에 큰 허점이 있었음이 거듭 드러나고 있다.

농협은 나름대로 전산망 보안을 위한 규정과 매뉴얼을 갖추고 있었지만 제대로 이행이 안되고 있어 사실상 무용지물이었음이 재확인된 것이다.

이번 사건을 수사 중인 서울중앙지검 첨담범죄수사2부(김영대 부장검사)에 따르면 검찰은 삭제명령이 시작된 한국IBM 직원 노트북 PC를 복구하는 과정에 서버 공격 프로그램 파일이 지난 12일 사고 이전에 문제의 노트북 PC에 단계적으로 심어졌고 당일 일제히 실행됐다는 증거를 확보했다.

검찰 관계자는 심지어 “지금까지 드러난 프로그램의 흔적만으로도 최소 한달 이상 준비된 계획 범행으로 보인다”며 “실제 프로그램 제작 기간 등을 포함하면 그보다 더 긴 기간 준비된 것일 수도 있다”고 말했다.

검찰 설명대로라면 지난 12일 사고가 발생하기 직전 한 달 이상 동안 농협의 보안시스템이 완전히 뚫려 있었다는 것이다.

농협 측이 지금까지 설명해온 농협의 전산관련 보안시스템 및 매뉴얼과는 거리가 있는 얘기다.

그동안 농협은 문제의 노트북 PC가 위치해있던 양재동 IT본부분사의 시스템 작업실은 인가된 사람만이 출입할 수 있는 출입통제구역으로 출입이 엄격해 아무나 출입할 수 없는 곳이라고 밝혀왔다.

시스템 작업실에서 근무하는 사람은 농협직원 50명과 협력업체 직원 20명 등 총 70명 정도.

정문과 현관에서 출입자를 통제하며 노트북 PC를 반입할 때는 하드웨어 보안점검을 하고 보안소프트웨어를 설치한 후 보안암호도 입력해야 한다고 농협 측은 설명해왔다.

노트북 PC를 반출하는 경우에도 전산관련 자료유출을 막기 위해 반드시 보안점검을 실시한 뒤 가지고 나갈 수 있도록 하고 있다는 것.

특히 개인 소유의 PC든, 업체의 소유든 개인이 사용하는 노트북은 자신만이 아는 보안암호를 입력해야 가동할 수 있는 등 다른 사람이 이를 사용하는 게 원천적으로 불가능하게 돼 있다고 농협은 강조해왔다.

또 IT본부분사에 근무하는 사람들은 보안규정을 준수하겠다는 서약도 하고 있다는 것.

하지만 검찰 수사 결과, 농협 측의 이 같은 규정과 매뉴얼은 실제로는 제대로 적용되거나 이행되지 않았음이 드러났다.

농협 관계자도 “규정과 매뉴얼이 그대로 지켜졌을 경우 서버 삭제 명령 프로그램 파일이 깔린 노트북 PC가 반입되거나 반출되는 일은 불가능하다”며 “검찰 수사 내용이 사실이라면 농협으로선 할 말이 없다”며 말끝을 흐렸다.

물론 삭제명령 프로그램 파일을 노트북 PC에 곧바로 저장하지 않고 USB(이동식 저장장치)에 보관한 뒤 노트북 PC와 분리해 반출입했을 가능성도 배제할 수는 없다.

USB의 경우 휴대가 편리하고 숨기기도 쉬워 마음만 먹으면 얼마든지 보안체크를 피할 수 있다고 전문가들은 설명한다.

연합뉴스
close button
많이 본 뉴스
1 / 3
11월 5일로 다가온 미국 대선이 미국 국민은 물론 전세계의 초미의 관심사가 되고 있습니다. 민주당 후보인 카멀라 해리스 부통령과 공화당 후보인 도널드 트럼프 전 대통령의 각종 여론조사 격차는 불과 1~2%p에 불과한 박빙 양상인데요. 당신이 예측하는 당선자는?
카멀라 해리스
도널드 트럼프
광고삭제
광고삭제
위로