‘Server attack purely destructive’: Nonghyup

34 minutes of card transactions lost from both server and backup

농협 “해킹 넘어선 고도의 사이버 테러…데이터 4억2000만개 복원 중”  PLAY AUDIO

Apr 19,2011
Financial Supervisory Service (FSS) officials enter the IT department at the headquarters of the National Agricultural Cooperative Federation, or Nonghyup, in Yangjae, Seocho District, southern Seoul, yesterday. The FSS and the Bank of Korea are conducting a joint investigation into its network failure. [YONHAP]
Nonghyup yesterday tentatively concluded that its recent server crash, the worst in the history of Korea’s financial industry, was a purely destructive cyberattack that required advanced techniques beyond amateur hacking.

“The goal of hacking is for an outsider to infiltrate a system and profit by acquiring specific information,” said Kim You-kyung, head of a special recovery task force at Nonghyup. “However, in this case the infiltration was made from within Nonghyup and a command to destroy all server systems was attempted simultaneously.”

Credit card transactions between 4:56 p.m. and 5:30 p.m. on Tuesday were deleted not only from the main server but also from the backup server.

Emphasizing that this type of security breach was unheard of not only in Korea but anywhere in the world, Kim said the command that was made from a laptop computer of an IBM employee subcontracted by Nonghyup was planned with precision, was meant to do the utmost destruction, and the person who created the command must have had a high level of experience.

“Across the electronic field in general, a file delete command is the highest command,” said Lee Jae-kwan, Nonghyup’s executive director. “It is a command that cannot be and should not be made,” Lee added. “A command that is unimaginable entered the electronic network.”

Lee added that there was no information leak as in the case of Hyundai Capital.

“Additional commands like ‘copy’ have to be made in order to leak information,” Lee said. “But in our situation there was only a command for deleting data.”

Nonghyup did not clarify the motive of the attack. It only confirmed that the intention was to crash the entire network rather than trying to make a profit by stealing specific information.

It said that it doubted the attack was meant as personal revenge by a disgruntled individual.

It didn’t say if the attack was an inside job, though Nonghyup is leaning toward that conclusion. But it didn’t exclude the possibility of an outside attack.

The company also didn’t clarify whether the laptop that made the command was connected to an outside Internet service.

Nonghyup said the attack was not limited to a specific server but to all of them since the servers are physically connected.

When asked about the employee whose laptop ordered the command, Nonghyup said it is investigating CCTV records.

Almost a week has gone by since Nonghyup’s system collapsed, affecting 30 million account holders.

The biggest problem with the system now is in credit card transactions. Between April 12, when the server crashed, and April 18, customers made 73,500 transactions worth 57.8 billion won ($53 million). Lee said all of the payments will be properly made.

Nonghyup said roughly 5 percent of the data on credit card transactions was lost after the servers were forced to shut down. It expects a full recovery of the lost data by April 22.

Nonghyup said it will compensate customers for all damages, including late loan interest payments and commissions.

“Nonghyup needs to quickly recover all of its systems by Wednesday since most of the company’s salary payments are made on the 21st of every month and credit card payments are made after that,” said a financial industry official. “Nonghyup’s credibility could be hurt if this situation, which is already extremely serious, is not resolved quickly.”

As it happens, the financial industry was warned of security vulnerabilities.

The Financial Supervisory Service pointed out to financial companies in 2009 that there could be system freeze attacks in the case of large-size financial firms and attacks of customer information in the case of small and midsize firms.

The FSS even predicted how networks could be crashed or hacked two years ago. Data released by the FSS in 2009 highlighted the need to enhance security of open servers like home pages.

As was seen in the Hyundai Capital hacking incident, lax monitoring of its customer management server, which was shared with partner firms, and home pages for customers was the cause of the information leak.

The financial regulator also pointed out that there should be tighter restrictions on access to servers by contractors as well as internal employees.

“We have decided to inspect the safety of financial institutions because the public is feeling insecure due to the recent incidents, including the hacking of Hyundai Capital,” said Hwang Chul-jeung, director of the Korea Communication Commission’s network policy bureau.

By Lee Ho-jeong, Jung Jae-yoon [ojlee82@joongang.co.kr]

한글 관련 기사 [중앙일보]

농협 “해킹 넘어선 고도의 사이버 테러…데이터 4억2000만개 복원 중”

보안 분야 임직원 총출동 브리핑

최원병(65) 농협중앙회장의 굴욕이 계속되고 있다. 전산망 복구가 계속 늦어지면서다. 금융회사의 생명인 신뢰도가 떨어지고 잦은 말 바꾸기와 해명에 비난 여론도 커지고 있다.

농협은 18일 다시 긴 대국민 브리핑을 했다. 14일 최 회장이 대고객 설명과 사과를 한 지 닷새 만이다. 이번엔 최 회장의 모습이 보이지 않았다. 대신 이재관 전무이사 등 보안담당 임직원들이 총출동해 해명에 진땀을 흘렸다. 취재진의 질문이 쏟아지면서 행사는 예정인 1시간을 훌쩍 넘겼다.

이들은 “고객정보 유출은 없다” “보상은 100% 해준다”는 과거 주장을 되풀이했다. 불가항력의 사고였음을 강조하기도 했다. 이 전무는 “통상적으로 알고 있는 해킹의 수준을 넘어 고도의 기술을 가진 전문가에 의한 고의적인 사이버 테러였다”고 주장했다. 김유경 농협중앙회 팀장은 “협력업체 소유 노트북 PC에서 내려진 삭제명령이 상당히 치밀하게 계획된 명령어로 고도의 경험이 있는 사람이 작성한 명령어의 조합”이라면서 “해당 서버의 파일을 파괴하는 내부 명령어는 엔지니어가 아니면 모른다”고 설명했다. 그는 “정보유출을 위한 ‘복사(copy)’와 같은 명령도 없이 파괴명령만 있었다”며 정보유출 가능성을 부인했다.

최 회장은 모습을 보이지 않았지만 농협은 “고객 피해는 100% 보상한다”는 최 회장의 약속은 그대로라고 강조했다. 이 전무는 “전산장애로 발생한 연체이자와 이체수수료 등은 민원접수와 관계없이 100% 보상하고 신용불량 정보도 관계기관과 협의해 삭제하도록 노력하겠다”고 말했다. 신속한 보상을 위해 ‘민원분쟁조정위원회’를 설치하고, 피해보상 민원 중 50만원 미만은 영업점에서, 50만원 이상은 중앙회에서 심사해 보상한다는 것이다. 고객이 심사결과에 이의를 제기하면 민원분쟁조정위를 통해 합의하고, 합의가 안 되면 법적 절차를 통해 해결하기로 했다. 이 전무는 “이 과정에서 고객의 의견을 최대한 반영하겠다”고 강조했다.

주택매매 잔금을 못 주거나 주식계좌 입금시기를 놓쳐 반대매매가 이뤄진 경우엔 인과관계를 따져보고 보상 여부를 결정한다는 방침이다. 17일 오후 6시까지 농협에 접수된 고객민원은 모두 31만1000건에 달한다. 이 중 구체적으로 피해 보상을 요구한 경우는 920건이다. 농협 관계자는 “현재 보상이 이뤄진 건 공공기관이 청구한 2건에 대한 163만원”이라고 밝혔다. 농협은 거래내역이 확인되지 않아 밀려 있던 7만3500건의 카드 거래대금 577억원을 이날 가맹점에 입금했다.

카드 거래기록이 사라진 시간대는 ‘12일 오후 4시56분에서 5시30분 사이 34분간’으로 드러났다. 이 시간에 파일이 지워지고 시스템을 끄는 과정에서 “중계서버에 있던 카드 거래기록 원본은 물론 백업본까지 훼손돼 복구가 지연되고 있다”고 밝혔다. 중계서버에 임시로 저장 중이던 고객의 결제 내역 등의 정보가 전산망 마비로 본서버에 전달되지 못하고 훼손됐다는 것이다. 중계서버 자체의 백업기능도 ‘모든 파일 삭제 명령’의 영향으로 제대로 작동하지 않았다. <본지 18일자 1, 10면> 이에 따라 농협은 사고 직전 주말에 테이프에 담아둔 정기 백업본을 바탕으로 카드결제정보서비스(VAN) 업체 등 외부 자료를 추가해 복구를 진행하고 있다.

박주일 농협 부장은 외부에서 받아 복원중인 데이터 양이 “4억2000만 개”라고 밝혔다. 한 거래에 많게는 1000여 항목의 데이터가 물려있는 것을 감안하면 확인해야 할 거래 건수가 약 37만여 건에 달하고, 이를 일일이 확인하느라 복구가 늦어지고 있다는 얘기다.

[한글 원문 보기]
dictionary dictionary | 프린트 메일로보내기 내블로그에 저장