농협의 보안 사고에 대한 검찰의 수사 결과가 어처구니 없게도 “북한의 소행”으로 몰려가는 듯 한 분위기다. 대부분의 전산 전문가들은 검찰의 수사 결과에 고개를 갸우뚱~~하고 있지만 누구도 대놓고 의문제기를 하지 못하고 있다. 그랬다간…. 빨간 딱지가 터억~~하고 붙여질 것이 뻔하기 때문이다.

자칫, 21세기에 20세기 중반 미국에서 일었던 “메카시 광풍”이 다시 일어날지도 모른다는 내 기우가 그저 기우로 그치기를 바랄 뿐이다.

만약 농협 서버들의 보안사고가 진정 북한의 소행이라면 우리나라의 주요 대북 기밀정보가 보유되어 있는 정부기관과 금융기관의 시스템들은 이미 북한이 대부분 훓고 지나갔다고 볼 수 있다. 그만큼 농협에서 발생한 서버 침투 및 파일 삭제를 중국을 거치는 인터넷을 통해 외부에서 자행한 공격이라고 보기에는 기술적으로 불가능에 가깝기 때문이다.

게다가 공격이 직접 자행된 노트북이 IBM의 엔지니어 소유의 것이라는 점도 의문이다. 나도 엔지니어지만 엔지니어들은 서버든 노트북이든 사용중 발생하는 작은 오류 혹은 성능의 저하 혹은 비정상 증상에 매우 민감한 사람들이다. 노트북이 조금만 느려져도, 작은 오류가 생겨도 왜 그런지를 찾아보는 습관(?)이 몸에 배인사람들이다. 그런 사람들중 하나인 IBM의 엔지니어가 노트북에 악성코드 80여개가 감염돼 자신의 노트북이 좀비PC가 되었는데 그것을 모르고 그런 노트북은 그냥 사용하고 있었다는 것도 의문이다.

그리고 공격도구가 서버에 접속하기 위해서는 패스워드와 서버의 IP주소를 알아내야 한다. 게다가 패스워드와 IP주소는 두개가 맵핑되어야 한다. 서버별로 일치하는 패스워드와 IP주소를 알아내는 방법에는 여러가지가 있겠지만 쉽게 유추할 수 있는 방법은 키보드 입력을 가로채는 것이다. 하지만 키보드 입력을 가로채는 것은 백신에서도 탐지할 수 있고 인터넷 뱅킹 등 금융기관에 접속할 경우 키로그를 가로채는 것을 탐지하는 보안 도구들이 설치되기 때문에 현실적으로 농협서버에 엔지니어가 접속할 때 입력하는 패스워드를 가로챘다는 것 또한 이해하기 어려운 점이다.

또 다른 유추 가능한 방법으로는 엔지니어가 작업하는 노트북 화면을 캡쳐하여 외부로 유출시키는 방법이 있다. 하지만 이 방법으로는 패스워드를 가로챌 수 없다. 패스워드는 입력 시 화면에 * 로 표시되거나 아예 표시되지 않기 때문이다. 만약 패스워드를 문서에 저장해 놓았다면 가능하겠지만 그렇지는 않았을 거라 생각된다. 만약 그랬다면 IBM은 고객의 패스워드를 보관하는 치명적인 잘못을 저질렀기 때문에 농협은 IBM을 상대로 소송을 걸어 손해배상을 청구해도 이상할 것이 없다. 하지만 농협은 침묵을 지키고 있다. 왜일까? 그것은 증거가 없거나 패스워드를 IBM직원이 문서로 보관하지는 않았기 때문일 것이다.

그리고 농협 외부의 인터넷을 통해 농협의 내부에서 네트워크에 연결된 노트북을 제어하기 위해서는 노트북에 원격제어가 가능한 공격도구가 설치되고 구동되어 있어야 한다. 원격제어가 가능한 공격도구들이 많기는 하다. 하지만 그런 공격도구들은 노트북의 사용시 느낄 수 있을만큼 노트북을 느리게 만드는 경우가 많다. 게다가 노트북에서 비정상적인 프로그램들이 실행되고 서버에 접속하게 되는데 그것을 “IBM엔지니어”가 오랫동안 모르고 있었다는 것도 이해되지 않는다.

또한 엔지니어는 업무의 특성상 노트북은 이곳 저곳 이동하며 다른 네트워크에 붙이기도 한다. 더군다나 IBM의 엔지니어라면 수많은 정부기관과 기업에 드나들며 해당 기관의 서버에 접속을 했을텐데 그렇다면 이미 그 노트북으로 북한이 공격할 수 있는 대상 기관의 수는 무척 많을 수 밖에 없고 실제로 공격이나 데이터유출이 이미 수십곳에서 발생했을 가능성도 배제할 수 없다. 하지만 IBM엔지니어가 다녔을 그 어느곳도 농협과 같은 보안사고가 발생한 곳은 없다.

검찰의 농협 보안사고 수사 결과는 한마디로 추리소설같은 이야기일 수 밖에 없다. 그리고 입과 입을 통해 들려오는 소문들은 검찰의 수사 결과를 더욱 신뢰할 수 없게 만든다.

그저 소문일 뿐이지만 그렇게 긴 시간동안 조사를 했음에도 서버에서 파일을 삭제한 명령이 rm과 dd 명령이라는 것과 IBM직원의 노트북에서 서버에 접속하여 공격명령이 내려졌다는 것 이외에는 신뢰할 만한 사실이 아무것도 없다는 이야기나 IBM에서 만약 IBM의 소행이라고 결론이 내려질 경우 IBM이 한국에서 완전 철수(아마도 기술지원 완전 중단)할 수도 있다고 검찰을 “협박”했다는 이야기는 이번 농협의 보안사고에 대해 검찰이 얼마나 알아낸 사실이 없는지를 단적으로 증명해주는 이야기가 아닐까 한다.

외부에서 왜 농협서버의 해킹이 불가능에 가까운가?

많은 사람들이 잘 모르고 있는 부분중 하나가 바로 왜 인터넷을 통해 외부에서 농협서버의 해킹이 어려운가 하는 점이다.

외부에서 내부의 서버에 침투하지 못하게 하는 가장 쉬운 방법은 네트워크 망을 내부와 외부로 분리하는 것이다. 네트워크에 기계적으로 연결되어 있는 컴퓨터(PC 혹은 서버 모두)는 IP주소라고 하는 일련의 번호가 붙어 있다. (예를 들면 210.123.89.77 과 같이) 이 번호를 알면 세계 어디어 있는 컴퓨터도 찾아갈 수 있도록 인터넷이 설계되어 있다. 즉 인터넷에 접속되어 있는 하나의 PC나 서버는 세계에서 유일한 IP주소를 갖게 되는 것이다. 그리고 자신의 IP주소를 DNS서버라는 주소관리서버에 등록하게 되어 있다. 이것이 인터넷의 “법”이다. 그리고 국가나 지역에 따라 부여되는 IP주소의 범위는 미리 약속되어 있다. 때문에 IP주소만 봐도 어느나라에 있는 서버인지를 식별할 수 있는 것이다.

하지만 이러한 “법”을 무시하고 남들에게 내 PC와 내 서버의 주소를 알려주지 않을 수 있고 주소 또한 내 맘대로 사용할 수 있다. 이러한 것을 사설IP라고 한다. 즉 사설IP를 써서 외부에서 내부의 서버에 물리적으로 접근하지 못하도록 할 수 있는 것이다. 그리고 금융기관과 정부기관은 모두 사설IP를 사용하도록 되어 있다.

그리고 농협도 당연히 사설IP를 사용할 것이다. 만약 농협의 주요 서버에 공인IP를 사용했다면? 만약 그랬다면, “미쳤다”는 소리를 들어도 싸다. 물론, 그럴리는 없다고 믿는다. 왜냐하면 공인IP가 부여되었을 경우의 보안상 위험하다는 것은 전산인들에게는 매우 기본적인 상식이고 금융기관에서 주요 서버에 공인IP를 부여하는 것을 난 본적이 없기 때문이다.

결론.

이번 농협사고는 북한 뿐만 아니라 농협 외부의 누군가가 악의적으로 서버를 해킹했을 가능성은 “0” 제로에 가깝다고 본다. 분명 내부자 혹은 내부에 출입이 자유로운 외부자가 농협 전산망에 직접 들어가 오랫동안의 준비를 거쳐 자행한 사고일 가능성이 90% 이상이라고 본다.

결국 농협의 내부통제의 부실로 인해 발생한 사고이고 또한 소문대로 인적자원의 관리상의 문제로 인해 농협에 매우 심각한 수준의 반감을 갖고 있는 IT전문가에 의한 소행일 가능성이 무척 높다.

만약 북한의 소행이라고 할만한 증거가 DDOS 공격때 사용했던 IP가 노트북에 접속을 “시도”한 것이 전부라면 검찰은 전국민을 우롱하고 있는 것이다.

북한소행이라고 할만한 증거가 있다면 검찰은 “어떻게 IBM 엔지니어의 노트북을 통해 농협 서버의 내부 IP주소와 서버의 접속 패스워드를 알아 냈는가?”에 대한 증거를 제시해야 한다.

농협의 보안 사고에 대한 검찰의 수사 결과가 어처구니 없게도 “북한의 소행”으로 몰려가는 듯 한 분위기다. 대부분의 전산 전문가들은 검찰의 수사 결과에 고개를 갸우뚱~~하고 있지만 누구도 대놓고 의문제기를 하지 못하고 있다. 그랬다간…. 빨간 딱지가 터억~~하고 붙여질 것이 뻔하기 때문이다.

자칫, 21세기에 20세기 중반 미국에서 일었던 “메카시 광풍”이 다시 일어날지도 모른다는 내 기우가 그저 기우로 그치기를 바랄 뿐이다.

만약 농협 서버들의 보안사고가 진정 북한의 소행이라면 우리나라의 주요 대북 기밀정보가 보유되어 있는 정부기관과 금융기관의 시스템들은 이미 북한이 대부분 훓고 지나갔다고 볼 수 있다. 그만큼 농협에서 발생한 서버 침투 및 파일 삭제를 중국을 거치는 인터넷을 통해 외부에서 자행한 공격이라고 보기에는 기술적으로 불가능에 가깝기 때문이다.

게다가 공격이 직접 자행된 노트북이 IBM의 엔지니어 소유의 것이라는 점도 의문이다. 나도 엔지니어지만 엔지니어들은 서버든 노트북이든 사용중 발생하는 작은 오류 혹은 성능의 저하 혹은 비정상 증상에 매우 민감한 사람들이다. 노트북이 조금만 느려져도, 작은 오류가 생겨도 왜 그런지를 찾아보는 습관(?)이 몸에 배인사람들이다. 그런 사람들중 하나인 IBM의 엔지니어가 노트북에 악성코드 80여개가 감염돼 자신의 노트북이 좀비PC가 되었는데 그것을 모르고 그런 노트북은 그냥 사용하고 있었다는 것도 의문이다.

그리고 공격도구가 서버에 접속하기 위해서는 패스워드와 서버의 IP주소를 알아내야 한다. 게다가 패스워드와 IP주소는 두개가 맵핑되어야 한다. 서버별로 일치하는 패스워드와 IP주소를 알아내는 방법에는 여러가지가 있겠지만 쉽게 유추할 수 있는 방법은 키보드 입력을 가로채는 것이다. 하지만 키보드 입력을 가로채는 것은 백신에서도 탐지할 수 있고 인터넷 뱅킹 등 금융기관에 접속할 경우 키로그를 가로채는 것을 탐지하는 보안 도구들이 설치되기 때문에 현실적으로 농협서버에 엔지니어가 접속할 때 입력하는 패스워드를 가로챘다는 것 또한 이해하기 어려운 점이다.

또 다른 유추 가능한 방법으로는 엔지니어가 작업하는 노트북 화면을 캡쳐하여 외부로 유출시키는 방법이 있다. 하지만 이 방법으로는 패스워드를 가로챌 수 없다. 패스워드는 입력 시 화면에 * 로 표시되거나 아예 표시되지 않기 때문이다. 만약 패스워드를 문서에 저장해 놓았다면 가능하겠지만 그렇지는 않았을 거라 생각된다. 만약 그랬다면 IBM은 고객의 패스워드를 보관하는 치명적인 잘못을 저질렀기 때문에 농협은 IBM을 상대로 소송을 걸어 손해배상을 청구해도 이상할 것이 없다. 하지만 농협은 침묵을 지키고 있다. 왜일까? 그것은 증거가 없거나 패스워드를 IBM직원이 문서로 보관하지는 않았기 때문일 것이다.

그리고 농협 외부의 인터넷을 통해 농협의 내부에서 네트워크에 연결된 노트북을 제어하기 위해서는 노트북에 원격제어가 가능한 공격도구가 설치되고 구동되어 있어야 한다. 원격제어가 가능한 공격도구들이 많기는 하다. 하지만 그런 공격도구들은 노트북의 사용시 느낄 수 있을만큼 노트북을 느리게 만드는 경우가 많다. 게다가 노트북에서 비정상적인 프로그램들이 실행되고 서버에 접속하게 되는데 그것을 “IBM엔지니어”가 오랫동안 모르고 있었다는 것도 이해되지 않는다.

또한 엔지니어는 업무의 특성상 노트북은 이곳 저곳 이동하며 다른 네트워크에 붙이기도 한다. 더군다나 IBM의 엔지니어라면 수많은 정부기관과 기업에 드나들며 해당 기관의 서버에 접속을 했을텐데 그렇다면 이미 그 노트북으로 북한이 공격할 수 있는 대상 기관의 수는 무척 많을 수 밖에 없고 실제로 공격이나 데이터유출이 이미 수십곳에서 발생했을 가능성도 배제할 수 없다. 하지만 IBM엔지니어가 다녔을 그 어느곳도 농협과 같은 보안사고가 발생한 곳은 없다.

검찰의 농협 보안사고 수사 결과는 한마디로 추리소설같은 이야기일 수 밖에 없다. 그리고 입과 입을 통해 들려오는 소문들은 검찰의 수사 결과를 더욱 신뢰할 수 없게 만든다.

그저 소문일 뿐이지만 그렇게 긴 시간동안 조사를 했음에도 서버에서 파일을 삭제한 명령이 rm과 dd 명령이라는 것과 IBM직원의 노트북에서 서버에 접속하여 공격명령이 내려졌다는 것 이외에는 신뢰할 만한 사실이 아무것도 없다는 이야기나 IBM에서 만약 IBM의 소행이라고 결론이 내려질 경우 IBM이 한국에서 완전 철수(아마도 기술지원 완전 중단)할 수도 있다고 검찰을 “협박”했다는 이야기는 이번 농협의 보안사고에 대해 검찰이 얼마나 알아낸 사실이 없는지를 단적으로 증명해주는 이야기가 아닐까 한다.

외부에서 왜 농협서버의 해킹이 불가능에 가까운가?

많은 사람들이 잘 모르고 있는 부분중 하나가 바로 왜 인터넷을 통해 외부에서 농협서버의 해킹이 어려운가 하는 점이다.

외부에서 내부의 서버에 침투하지 못하게 하는 가장 쉬운 방법은 네트워크 망을 내부와 외부로 분리하는 것이다. 네트워크에 기계적으로 연결되어 있는 컴퓨터(PC 혹은 서버 모두)는 IP주소라고 하는 일련의 번호가 붙어 있다. (예를 들면 210.123.89.77 과 같이) 이 번호를 알면 세계 어디어 있는 컴퓨터도 찾아갈 수 있도록 인터넷이 설계되어 있다. 즉 인터넷에 접속되어 있는 하나의 PC나 서버는 세계에서 유일한 IP주소를 갖게 되는 것이다. 그리고 자신의 IP주소를 DNS서버라는 주소관리서버에 등록하게 되어 있다. 이것이 인터넷의 “법”이다. 그리고 국가나 지역에 따라 부여되는 IP주소의 범위는 미리 약속되어 있다. 때문에 IP주소만 봐도 어느나라에 있는 서버인지를 식별할 수 있는 것이다.

하지만 이러한 “법”을 무시하고 남들에게 내 PC와 내 서버의 주소를 알려주지 않을 수 있고 주소 또한 내 맘대로 사용할 수 있다. 이러한 것을 사설IP라고 한다. 즉 사설IP를 써서 외부에서 내부의 서버에 물리적으로 접근하지 못하도록 할 수 있는 것이다. 그리고 금융기관과 정부기관은 모두 사설IP를 사용하도록 되어 있다.

그리고 농협도 당연히 사설IP를 사용할 것이다. 만약 농협의 주요 서버에 공인IP를 사용했다면? 만약 그랬다면, “미쳤다”는 소리를 들어도 싸다. 물론, 그럴리는 없다고 믿는다. 왜냐하면 공인IP가 부여되었을 경우의 보안상 위험하다는 것은 전산인들에게는 매우 기본적인 상식이고 금융기관에서 주요 서버에 공인IP를 부여하는 것을 난 본적이 없기 때문이다.

결론.

이번 농협사고는 북한 뿐만 아니라 농협 외부의 누군가가 악의적으로 서버를 해킹했을 가능성은 “0” 제로에 가깝다고 본다. 분명 내부자 혹은 내부에 출입이 자유로운 외부자가 농협 전산망에 직접 들어가 오랫동안의 준비를 거쳐 자행한 사고일 가능성이 90% 이상이라고 본다.

결국 농협의 내부통제의 부실로 인해 발생한 사고이고 또한 소문대로 인적자원의 관리상의 문제로 인해 농협에 매우 심각한 수준의 반감을 갖고 있는 IT전문가에 의한 소행일 가능성이 무척 높다.

만약 북한의 소행이라고 할만한 증거가 DDOS 공격때 사용했던 IP가 노트북에 접속을 “시도”한 것이 전부라면 검찰은 전국민을 우롱하고 있는 것이다.

북한소행이라고 할만한 증거가 있다면 검찰은 “어떻게 IBM 엔지니어의 노트북을 통해 농협 서버의 내부 IP주소와 서버의 접속 패스워드를 알아 냈는가?”에 대한 증거를 제시해야 한다.