농협 전산 사고

덤프버전 :

분류

주의. 사건·사고 관련 내용을 설명합니다.
이 문서는 실제로 일어난 사건·사고의 자세한 내용과 설명을 포함하고 있습니다.


문서가 있는 대한민국의 경제 관련 사건사고 목록
C: 기업 관련, F: 금융 관련, R: 부동산 관련, I: 외국 및 국제조직 연루, Na: 국가행정조직 연루
 [ 대한민국 이전 ] 
대한제국
당백전 사태(1866~1867)F Na
일제강점기
토지 조사 사업(1910~1918)R Na 박가분 사건(1930년대)C
}}}
{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
 [ ~1990년대 ] 
}}}
{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
 [ 2000년대 ] 
}}}
{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
 [ 2010년대 ] 
10년
DY 엔터테인먼트 사건C F 도이치방크 옵션 부당거래 쇼크 사태(11.)C F I 뚜레쥬르 점주의 경쟁사 조작 비방 사건(12.)C 함바 게이트(~2011) Na
11년
부산저축은행 영업정지 사태(2.)C F R I NH농협은행 전산 마비 사건(4.)C F 삼성 Apple 소송전(~2018)C Na I 다이아몬드 게이트(8.)C F Na 가습기 살균제 사망사건(8.)C I Na
12년
갤럭시 S III 보조금 대란(8.)C F 론스타 게이트(11. ~ )C I 거성 모바일 사태(12.)C F
13년
남양유업 대리점 상품 강매 사건(1.)C 금융사·방송사 대규모 전산 마비 사건(3.)C F I Na 도나도나 사건C F 홈플러스 경품 추첨 조작 및 고객 개인정보 판매 사건C 무궁화 위성 매각 논란(11.)C I Na
14년
KB·NH·롯데카드 개인정보 유출 사태(1.)C I F 엘키소프트 제룩스 사건(5.)C 휴대폰 보조금 대란(6.)C F 모뉴엘 사태(10.)C 대한항공 086편 이륙지연 사건(12.)C I
15년
정운호 게이트C Na 성완종 리스트 사건(4.)C F Na 삼성물산·제일모직 합병 논란(5.)C F I 테스코 홈플러스 매각 논란(9.)C I 삼성바이오로직스 분식회계 의혹(9.)C F
16년
대우조선해양 분식회계 사건(3.)C F 파나마 페이퍼스(4.)C F I 전경련의 어버이연합 시위 자금 지원 논란(4.)C NH농협은행 전산조작 사태(~2018)C F 롯데그룹 비자금 조성 의혹 사건(6.)C F 갤럭시 노트7 폭발 사고(8.)C I 엘시티 사업 관련 특혜 및 비자금 조성 논란F Na R 박근혜-최순실 게이트(10.)C F I Na
17년
BBQ발 치킨값 파동(3.)C 검찰 돈봉투 만찬 사건(4.)Na 암호화폐 규제 논란(7.)C F Na 다스 실소유주 논란(10.)C Na 파라다이스 페이퍼스(11.)C F I 비트코인 플래티넘 사건(12.)C F
18년
금융감독원 직원 암호화폐 거래 의혹(1.)C Na 삼성 다스 소송비 대납사건(2.)C F Na 삼성증권 유령주식 사태(4.)C F 금일그룹 전기차 사기 사건C I(5.) 아시아나항공 기내식 공급부족 사태(7.)C I 돈스코이호 사기 사건(7.)C I 미미쿠키 재포장 판매 사건(9.)C 산체스&마이크로닷 부모 사기 사건(11.)F I R
19년
손혜원 부동산 투기 의혹(1.)R 익산 원룸 전세금 사기사건F R(4.) 라임 사태(7.)F K리그 올스타 VS 유벤투스 사기 사건(7.)C F I
}}}
{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em">
 [ 2020년대 ] 
20년
김한근 강릉시장 마블테마파크 사기 의혹 사건(2.)I Na R 한화손해보험 고아 초등학생 상대 구상권 청구 소송 사건(3.)C F KODEX WTI원유선물 스캔들(4.)C F 옵티머스 사태(6.)F 이스타항공 임금체불 사건(6.)C 덮죽 표절 논란(10.)C
21년
신한카드 The More 체리피킹 대란C F 박수홍 횡령 피해 의혹 논란(3. ~)C 한국토지주택공사 직원 부동산 투기 사건(3.)C R KT 인터넷 속도 조작 사건(4.)C 포항 가짜 수산업자 사기 사건(4.)F Na 대구광역시 코로나19 허위 백신 도입 추진 사건(5.)I Na 아프리카TV 코인 게이트(6.)C F 여자친구 팬클럽 멤버십 환불 논란C I(5.) 위버스샵 굿즈 제조국 허위 표기 논란C I(6.) 머지포인트 사태(8.)C F 장릉 검단신도시 아파트 불법건축 논란(9.)C Na R 대장동 개발 사업 논란(9.)Na R 판도라 페이퍼스(10.)C F I 오스템임플란트 횡령 사건(12.)C
22년
삼성 갤럭시 GOS 성능 조작 사건(2.)C I 트위치 스트리머-ALTI NFT 프로젝트 논란(2.)C F I 에이클라 KBO 로비 논란(3.)C 닭고기 가격 담합 적발 사건(4.)C 테라USD·LUNA코인 대폭락 사건(5.)F I 에디슨모터스 주가 조작 사건(7.)C F 철도차량 입찰 담합 적발 사건(7.)C Na 레고랜드 사태(10.)C F Na SK C&C 판교 데이터센터 화재로 인한 인터넷 서비스 장애 사건C 흥국생명 채권사태(10.)C F Na 빌라왕 전세사기 사태(12.)F R
23년
SM엔터테인먼트 경영권 분쟁C F 다크앤다커 애셋 도용 의혹 사건C 2023년 스캠 코인 사기 사건F SG증권 사태F 신한카드 분할결제 제한 사건C F 2023년 새마을금고 뱅크런 사태C F FIFTY FIFTY 전속 계약 분쟁C BNK경남은행 횡령 사건C F 수원 일가족 전세사기 사건R 영풍제지 사태F




1. 개요
2. 사건의 경과
3. 반응
4. 누구 짓인가?
4.1. 북한 짓이다!
4.2. 과연 그럴까?
5. 이후



1. 개요[편집]

2011년 4월 12일, 농협의 전산 시스템 중 계정계와 카드사/ATM/창구를 연결해 주는 게이트웨이(IBM 서버 시스템) 의 OS가 고의적으로 삭제되어 3일 이상 고객 서비스가 다운되어 버린 초대형 금융 사고.

농협이 금융권에서 일하는 전산 개발자들에게 공공의 적이 된 사건. 이 사건 이후, 모든 금융사의 보안 정책이 무시무시하게 빡세졌고 1금융권은 센터 로비에 공항의 그 것과 같은 보안 검색대까지 생겼다. 모든 비인가 휴대저장장치(USB, 노트북 등)의 반입 금지 정책이 도입됐고 내부망과 외부 인터넷망이 분리됐으며[1] 개인정보 보호정책레벨이 급상승해 개발 편의성이 많이 하락했다. 사실 원래 진작에 이랬어야 하는거긴 했지만...


2. 사건의 경과[편집]

2011년 4월 12일 오후 5시 20분경, 갑자기 전국 농협 전산망에 오류가 생겨 농협의 은행 업무가 전면 중지됐다. 4월 13일 수요일 오후 6시 현재 창구에서 일부 업무처리만 가능했다. 이 사고로 인해 각종 자동이체 및 금융거래에 차질이 생기는 고객수도 엄청 많아졌다. 아예 본점에서 각 영업점으로 복구가 장기화 될 조짐이 보이니, 업무를 수기로 마감하라는 공문을 보내었다고 한다.

4월 12일 오후 5시 이후부터는 ATM를 비롯한 모든 온라인 거래가 불능이었다가 4월 13일부터는 창구업무가 마비됐으며, 같은 날 오후 1시부터 창구에서 단순한 입출금 거래만 가능해졌다. BC카드에서 발급한 신용카드의 경우 신용거래 기능은 살아 있으나 체크카드의 경우 거래가 불가능하다. 대신 현금IC카드를 들고가면 예금인출은 가능했다.[2] ATM거래 정상화는 원래 13일 오후 5시까지 예정이었으나 오후 9시→14일 오후 2시로 연기됐다.

결국 15일경 카드를 제외한 모든 서비스가 다 열렸는데 그때까지 체크카드 이용이 좀 불안정했었다. 홈페이지 이용도 불안정한 상태였다.사실상 은행 업무가 불가능한 수준으로. 그리고 카드 원장이 일부 손실됐다는 소문이 돌기도 했다. 혼수를 농협카드로 긁었는데 청구가 안됐다![3] 그런데 그것이 실제로 일어났다 #1 #2 그래도 걱정(?)은 하지 말아도 된다. 거래내역은 VAN사가 모두 가지고 있으니.[4] 다만 신용으로 먹고 살아야 하는 은행에 이런 일이 일어났다는것 자체가 문제일 뿐이다.

우선 예금업무가 먼저 복구가 된 것은 예금원장의 전산은 HP의 시스템으로 구성됐기 때문에 예금원장의 손실이 없었고, 가장 먼저 입출금업무를 담당하는 IBM서버부터 복구를 했기 때문. 카드가 가장 늦게 복구되는 이유는 카드시스템은 전부 IBM제 서버를 사용했기 때문에… 농협은 업무계열별로 서버업체를 다르게 한다.[5]

농협측에서는 전산 담당 외주업체 직원의 노트북에서 명령을 잘못 내린 것이 원인이라고 발표했다.

# 허나 타 기사에 따르면 서버관리자만 사용가능한 루트 권한을 탈취당했다고 한다.# 한 마디로 농협 전산망이 루팅당한 셈. 이에 대해 새로운 의견이 있다. http://jsapark.tistory.com/1523 더 보기의 IBM의 UNIX 시스템 부분 참고.[6]

조선일보에서는 기자가 어딘가에서 알음알음 들은(?) rm.dd라는 원산지 불명의 명령어를 제목에까지 박아서 운명을 바꾼 다섯문자 운운하며 기사를 썼는데, 이것이 순식간에 인터넷 언론 전체로 퍼지면서 사건을 일으킨 명령어로 알려졌다. 아마 rm -rf /가 와전된 듯 싶은데, 실은 이런 명령어 입력형식은 없다. 차라리 "# dd if=/dev/zero of=/dev/md0[7] bs=512 count=1" [8] 였으면 이해라도 했을텐데 말이다. 물론 이걸 rm -rf /와 착각할 확률은 희박하다 더군다나, 조선일보 기사 내에서 "최고 접근 권한" 을 Super Root 라고 표기했는데 이역시 없는 단어이다. Super User이나, Root 은 당연히 존재하는 단어이지만, 기사에서 rm.dd 및 Super Root라고 표기했다는것은 50% 진실 50% 뇌피셜이나 다름없다.


3. 반응[편집]

가뜩이나 불과 며칠 전 현대캐피탈 전산망 해킹으로 인한 개인정보 유출 사태도 벌어졌던 상황이라 혹시 고객들의 개인정보 누출 불안감이 확산되고 있다.

이 일이 터진 후 이지아-서태지 이혼 소송 스캔들이 터지면서 애초에 그들이 14년 동안 부부였는지도 몰랐던 네티즌들은 농협의 보안 능력은 이지아만도 못하다는 비야냥이 있었다.

그리고 조사가 시작되면서 농협의 허술한 보안 의식이 문제점으로 제기됐다. 2008년에 이미 해커에게 홈페이지 보안이 뚫린 적이 있었으나, 농협 측은 사건을 덮기 위해 경찰에 신고하지 않고 해커에게 거액의 돈을 주고 사건을 무마시켰다. 그리고 농협은 원래 규정대로라면 3개월에 한번은 바꿔야 할 시스템 계정 비밀번호를 6년 9개월 동안 한번도 바꾸지 않았다. 그나마 비번도 계좌번호나 1, 혹은 0같은 단순한 숫자로 만들어져 있었다고.q1w2e3r4t5[9] 사실 정말 중요한 서버가 아닌 이상 이 사건이 터지기전에 대부분의 금융사 대부분의 서버들은 허술한 비밀번호 체계로 운영되고 있었다고 봐도 무방하다. 관리감독체계가 사실상 없는거나 다름없었다. 농협이 시범케이스로 제대로 두드려 맞은것일뿐.

일단 북한이고 뭐고 서버를 조종하는 노트북을 외부로 반출한 것이 문제.

이재곤 농협 전무는 이 사태에 책임을 지고 사퇴했다. 다른 은행에서도 이 사건에 큰 쇼크를 받고 부랴부랴 안전점검과 보안강화에 들어가는 모양.

2010년까지 농협정보시스템에서 대표이사를 맡았던 김광옥 대표는 2011년에 IBK기업은행의 전산 자회사 IBK시스템 대표이사로 자리를 옮겼다.


4. 누구 짓인가?[편집]


4.1. 북한 짓이다![편집]

이명박 정부 들어 일어난 일이란 점에서, 더구나 4.27 재·보궐선거가 다가오는 시기라서 많은 사람이 예상한 대로 중앙일보에서는 북한의 소행이라는 주장을 제기했다. # 주요 논지는“IP추적이 안되니까 북한 짓임.” 그러자 농협 관계자가 ‘내부자가 간첩이 아닌 이상 불가능하다’라는 반박을 제기했다.
농협 전산 사고에 대한 정부의 북한드립을 일주일 전에 예견한 글이 주목받고 있으며 성지순례객들의 댓글이 이어지고 있다.

그런데 결국 검찰에서 북한의 소행으로 결론지었다. 이에 대해 농협은 사실관계가 맞지 않는다고 부정했다. 게다가 검찰은 북한의 소행이란 주장의 근거를 말하기 곤란하다라고 했으며 그나마 밝힌 근거는 이전 DDoS 공격과 IP와 패턴이 유사하단 점인데, DDoS 공격 자체가 범인이 명확하게 밝혀지지 않은 채로 북한으로 추정했을 뿐이다. 즉 추정 위에 추정을 더한 것.

현실을 아는 1금융권 전산분야에 근무하는 모든 개발자들은 이런 검찰의 주장에 실소를 금치 못했다. 인프라팀 근무자가 아닌 이상, 200대 이상의 서버에 접근권한 조차 없을 뿐더러 설사 악의적인 의도를 품었다해도 절대 만만한 일이 아니다.


4.2. 과연 그럴까?[편집]

지난 DDoS 사태에 사용된 중국 선양의 IP는 북한에 대여되어 있었기에 DDoS 사태에 북한이 개입했을 가능성이 없는 것은 아니다. 농협 전산망을 통제하는 PC를 좀비PC로 만든 DDoS 아이피도 같은 아이피라는 점을 감안하면, 북한이 해당 노트북으로 접속하려고 시도한 적이 있었을지도 모른다. 북한의 경우 목적이 있다고 볼 수 있으나 내부 직원은 그렇지 않다는 점에서 물론 공밀레 때문일 수도 있지만[10] 북한의 소행을 염두에 둘 근거는 마련됐다고 볼 수 있다. 북한의 짓이라고 해서 농협 고위층이 책임을 지지 않고 어물쩍 넘어가려 해도 된다는 건 절대 아니지만.[11]

자세히 서술하자면, 검찰의 시나리오는 다음과 같은 문제가 있다.

검찰 주장
보안업계의 반박

검찰의 추정에 의하면 7개월 전 한국IBM직원의 노트북이 백도어 프로그램에 감염됐고, 백도어를 통해 IBM사 직원의 농협 시스템 정보가 빠져나갔으며, 북한이 이 정보에 주목하여 농협 시스템 정보를 분석하고 이를 토대로 스크립트를 작성하여, 노트북이 농협 시스템에 접속했을 때 발동하여 시스템을 파괴했다는 이야기다.

이러한 시나리오가 성립하려면, 무작위로 들어오는 백도어 프로그램을 통해 들어오는 많은 데이터 중 ‘농협’에 접속하는 ‘IBM 직원’의 노트북을 찾아내야[12] 하고, 백도어를 통해서 방대한 시스템 정보를 완벽하게 분석해 내어야 한다. 특히 스크립트로 파괴 과정을 조정하려면 해당 시스템의 구조를 세세하게 알고 있지 않으면 불가능[13]한 이야기다. 또한 루트 권한을 위한 패스워드도 당연히 알아내야 한다.[14] 이것이 백도어 프로그램과 도청 정보를 통해 완벽하게 파악될 수 있을까? 또한 백도어 프로그램이 7개월동안 적발되지 않아야 하며, 작성한 스크립트를 다시 IBM 직원의 노트북에 심어야 한다.[15] 그리고 '어떤 시간에 농협 시스템에 이 노트북이 접속될지' 그 시간을 정확하게 예상하여 그 시간에 발동[16]하도록 해야 하는 것이다.

위의 이야기를 종합하면, 1. 본문에 의하면 기막힌 우연과 치밀한 해킹 능력이 발휘된 이러한 일이 일어날 확률은 낮은 편이다. 적어도 검찰이 추정하는 경로로의 북한의 개입은 상당히 힘들다.

5월 5일 군 관계자 역시 북한의 소행으로 단정하기 어렵다고 밝혔다

2011년 7월 5일 일부 언론은 미국의 보안업체 맥아피가 이번 사건과 관련해 작성했던 보고서 에 의한 기사에서 맥아피는 북한이 한국 전산망 공격의 배후라고 확정지었다고 했으나,# 이는 2009년 7월과 2011년 3월에 있었던 북한의 DDoS 공격에 관한 것이며, 농협 전산망 공격에 대한 분명한 주체로 정해진 것은 아니다.

이러한 공격은 실제로도 가능한게, 이란 핵시설을 파괴하기 위해 제작한 바이러 스턱스넷이 실제로 수년간 발견되지 않고도 핵시설을 파괴시켜버렸다. 국가간의 해킹 전쟁은 고도로 발달됐고 이러한 공격을 APT공격이라고 한다. 한국을 공격하는 대표적인 국가는 당연히 북한 러시아 중국이다.


5. 이후[편집]

소니의 플레이스테이션 시리즈용 온라인 서비스인 PlayStation Network 또한 비슷한 시기에 접속이 불가능해지고 개인정보가 유출되는 사태가 벌어지자 농협스테이션, 플레이스테이션 농협이라 까이고 있다그리고 현재 북한의 별명은 부카니스탄에서 북셉티콘으로 진화했다.[17]

농협사태가 터진 날부터 약 일주일간 대규모 DDoS 공격이 있었다. 해당 시기의 DDoS 공격으로, 엔하위키 미러 및 몇몇 IT업체와 커뮤니티들이 이용불능 상태가 됐으나, 규모가 작은 사이트들이었기 때문에 언론 보도는 없었다.

농협은 이후 전산 보안팀을 신설할 계획이며 인원을 뽑고 투자를 할 것이다고 했다.
하지만 2013년 3.20 전산망 마비사태의 주역으로 다시 등장했으며, 2014년 1월, 국민카드, 롯데카드와 함께 개인정보를 시원하게 털려버렸다. 그냥 주민등록번호를 다시 만들든지 없애는 게 나을 듯하다
2015년 12월 29일 연말 2일을 앞두고선 또 터졌다.거래는 안되는데 입출금은 된다 카더라.


파일:크리에이티브 커먼즈 라이선스__CC.png 이 문서의 내용 중 전체 또는 일부는 2023-11-20 03:32:25에 나무위키 농협 전산 사고 문서에서 가져왔습니다.

[1] 군대의 인트라넷을 생각하면 된다. 이후 2금융권까지 정책이 확대됐다. 그래서 국내 중소기업들이 망분리PC(인터넷망 PC와 내부망 PC가 모두 탑재되어 있음. 즉, 한 케이스에 두 컴퓨터를 넣어놓은 형태.)를 많이 보급하기도 했다.[2] 이른바 창구단말지급. 창구단말지급으로 인출할 경우에는 카드의 비밀번호를 알아야 하고 신분증을 지참해야 한다.[3] 사실 원장 손실은 사용 내역이 변경되는 게 아니고 날아가 버리는 것이니 카드 사용자 입장에서는 사용 내역에 대해서 공짜가 되는 것이라 좋은 일인데, 판매자 입장에서는 판매한 만큼 돈을 못 받는 것이니…[4] 결국 특정 기간에 결제일이 속해 있는 고객들에게 결제일을 한달 미룬다는 문자메시지가 왔다. 한달이나 기간을 추가로 얻은 셈이니 간접적으로는 혜택을 본 것일지도…[5] 예금, 보험원장에는 HP서버, 하나로마트와 경제업무에는 Sun, 카드 및 EAI같은 기타업무에는 IBM서버를 사용.[6] 사실 서버 한 대도 아니고 200대가 넘는 서버가 아작이 났는데 rm 커맨드로 했다는 건 조금 무리가 있다. 쉘이나 SMS가 아니면. 날아간 서버를 다 일일이 접속해서 rm 커맨드를 넣어야 한다는 것인데…[7] 은행 등에선 RAID를 주로 활용하므로 Red Hat Enterprise Linux 계열 기준으로 RAID시에 기본적으로 할당되는 것으로 작성했다.[8] MBR + 1차 부트로더 삭제 (예를 들어 LILO, GRUB과 같은 부트로더는 MBR 밖에 있는 2차 부트로더다.)[9] 일단 예전에 사용하던 유니시스 메인프레임은 금융권에서 조흥은행, 신한은행, 농협과 수협만 사용했었고, 조흥은행과 신한은행이 신 시스템으로 교체를 하면서 유니시스는 거의 농협만의 전유물이 됐기 때문으로 보인다.[10] 실제로 농협은 IT업계 종사자들 사이에서 근무 조건이 열악하다는 소문이 공공연하게 돌던 곳이었다. 열악한 조건과 대우에 빡 돈 전·현직 관련부서 직원이 작심하고 사보타주 행위를 했을 가능성도 배제할 수 없는 것. 실제로 농협은 보안관련해서 상당수 (명목상으로)외주를 주고 있으며 공밀레 당한 한 프로그래머가 과로한 사례가 있다. 한마디로 개발자의 3대 지옥(다른 곳으론 K...).[11] 누구 짓이냐를 가리기 이전에, 저 말도 안되는 보안의식만으로도 사건발생 시점에서 농협 고위층은 책임져야 한다.[12] 처음부터 농협을 노린 범행이 아니라, 우연히 농협과 관련된 IBM 직원의 노트북을 찾아낸 뒤에 이러한 범행을 저질렀을 가능성은 있다.[13] 이걸 완벽하게 알아낸다는 것은… 위에서 농협이 했던 말처럼, 북한이 농협이나 한국IBM의 관련부서에 간첩이라도 침투시키지 않고서는 힘들다.[14] 실제로 검찰의 발표 자료를 보면 키로거 프로그램으로 루트 계정의 패스워드를 얻어낸 흔적이 캡처되어 있었다. 그런데 그 패스워드란 것이 ‘passw0rd’ 뭐 이따구… 농협 맞을래요?[15] 이것은 처음에 심은 악성코드에 범인의 차후 지령을 받아들이는 코드가 있으면 충분히 가능한 일이며, 실제로도 굉장히 흔하게 사용되는 방법이다. 그리고 7개월 동안 악성코드의 활동을 전혀 감지하지 못했다는 것은 해당 노트북에 대한 보안 관리가 매우 허술했음을 시사한다.[16] 이것은 특정 시간 이후로 해당 노트북이 농협 시스템에 접속한 것을 감지했을 때 발동한다던가 하는 조건을 준다면 충분히 구현할 수 있다. 다만 검찰의 판단은 범인이 발동 명령을 직접 실시간으로 내렸다는 것이다.[17] 근데 트랜스포머 시네마틱 유니버스에서 프렌지(트랜스포머 시네마틱 유니버스)가 벌인 신의 해킹능력을 생각하면…

관련 문서