Probe into online failure stepped up

A criminal investigation into how Nonghyup’s online banking system broke down for four days gathered pace yesterday as prosecutors searched for evidence of insider involvement.

The unprecedented failure is drawing fire as it revealed serious gaps in the large banking group’s computer network management.

The central bank, in an unusual move, said it would join the Financial Supervisory Service in examining the causes and effects of the breakdown.

Meanwhile, with Nonghyup’s problems coming shortly after Hyundai Capital was hacked, the Financial Services Commission said it would conduct a full-scale review of the financial industry’s security measures.

The Seoul Central District Prosecutors’ Office confirmed evidence that an external command had been entered into the laptop computer of an IT worker that caused Nonghyup’s servers to crash.

The laptop belonged to an employee of IBM Korea, which serves as a contractor for Nonghyup’s IT management.

Prosecutors had earlier found indications that operating files and access records had been deleted to hide evidence of computer tampering.

In an effort to determine whether insiders were involved in the computer attack, prosecutors have seized the mobile phones of several dozen workers employed by Nonghyup and Nonghyup’s IT subcontractors to search call records.

“Although the log records on the server had been wiped by repeatedly overwriting with meaningless data, the log records in the laptop computer were intact,” said an official involved with the investigation. “We’re trying to find the suspect who entered the deletion commands” to cause the Nonghyup servers to fail.

The network shutdown at Nonghyup, which began at 5:30 p.m. on April 12, left 1,154 branches nationwide and 30 million account holders without service.

Systems were still not fully normalized as of yesterday, though most services were back online.

The network failure had come from a command to “delete all system files [rm.dd]” entered into Nonghyup’s relay server, which in turn affected 275 servers, including the reboot server.

It is still uncertain whether the IT worker employed by IBM Korea was responsible. Nonghyup has outsourced most of its data processing operations since 2004.

“No one has the clearance to enter such a command among the 550 workers at our IT headquarters,” said Jeong Jong-soon, the vice president in charge of IT at Nonghyup. “Only those with top level clearance at IBM Korea, which manufactured the servers, can enter such a command.”

There are also questions about the time it took to get the systems back online.

Normally, backup systems are meant to kick in immediately when a computer network fails.

Nonghyup explained that it had to completely reinstall the operating system and reboot and check all 553 servers because both its relay server in Yangjae, southern Seoul, and the disaster recovery server in Anseong, Gyeonggi, failed.

Because of the system failure, some Nonghyup branches were forced to write out transactions by hand - a practice unseen since the 1980s.

Choi Won-byeong, the chairman of Nonghyup, said that the bank planned to provide compensation for customers.

As part of its investigation, the Bank of Korea plans to review whether the delays in normalizing Nonghyup’s transactions could affect the central bank’s own networks.

By Lee Dong-hyun, Lee Jung-yoon [joyce@joongang.co.kr]

한글 관련 기사 [중앙일보]

‘파일 삭제명령’ 내린 접속자…노트북에 흔적 남겼다

검찰, 농협 전산망 수사 실마리 찾아

사상 초유의 농협 전산망 마비 사태를 수사 중인 검찰이 서울 양재동 농협 정보기술(IT) 본부에서 확보한 협력업체(한국 IBM) 직원의 노트북 컴퓨터에서 미처 삭제되지 않은 ‘로그(접속정보) 기록’이 일부 남아 있다는 사실을 확인했다. 이 수사를 맡고 있는 서울중앙지검 첨단범죄수사2부는 확보한 로그 기록을 토대로 ‘파일 삭제 명령’이 입력된 경로를 추적하고 있다.

검찰 관계자는 15일 “로그 기록 중 서버에 남아있던 기록은 무의미한 데이터를 반복해 덮어씌우는 수법으로 지워졌으나 노트북 쪽 로그 기록은 일부 남아 있었다”며 “이 기록을 정밀 분석해 삭제 명령을 입력한 용의자 추적에 들어갈 방침”이라고 말했다. 로그 기록은 금융기관 서버에 접속하면 단말(노트북)과 서버 양쪽에 남는 것으로, 이를 분석하면 접속자와 접속 일시 등을 파악할 수 있다. 검찰 관계자는 “범인에 대한 수사망을 좁힐 실마리를 찾은 셈이지만 정확한 경로를 파악하는 데는 시간이 걸릴 것으로 보인다”고 했다.

검찰은 또 이 노트북을 통해 ‘최고접근(Super Root) 권한’ 계정으로 서버에 접속한 경로를 알아내기 위해 포렌식(디지털 증거 수집 및 분석) 전담 수사관을 동원해 분석 중이다. 최고접근 권한으로 접속하려면 금융거래에 사용하는 OTP(일회용 비밀번호 생성기)처럼 수시로 바뀌는 비밀번호가 필요하다. 이는 내부 직원 가운데에서도 극소수만 알 수 있다.

이에 따라 검찰은 최고접근 권한을 가진 내부 직원이 외부인과 범행을 공모했거나, 외부의 해커가 원격 접속을 통해 최고접근 권한을 얻은 뒤 협력업체 직원의 노트북을 통해 삭제명령을 내렸을 가능성에 무게를 두고 있다. 내부인에 의한 단독 범행 가능성도 배제하지 않고 있다.

검찰은 또 협력업체 직원과 농협 IT본부 직원이 함께 근무하고 있던 농협 IT 본부 안에 있던 폐쇄회로 TV(CCTV) 자료와 출입 기록도 확보해 확인하고 있다. 협력업체 직원과 전산망 접근 권한을 가진 농협 직원들의 휴대전화도 전부 수거해 통화내역을 분석하고 있다. 파일 삭제 명령은 양재동 중계서버뿐 아니라 경기 안성의 재해복구(DR) 서버의 데이터까지 지워 버렸다. DR 서버는 만약의 사태에 대비해 자료를 백업해 놓는 예비 서버다.

검찰은 삭제명령을 입력한 범인이 단위조합을 포함해 3000만 명의 고객 정보를 갖고 있는 농협 서버에 침투해 거래내역이나 개인정보 등을 수집하려 했을 가능성에 주목하고 있다. 한 시중은행 전산 관계자는 “단순히 시스템을 마비시켜 업무를 방해하려 했을 가능성보다는 개인 신상정보나 거래내역 같은 고급정보를 빼내려 했을 공산이 크다”고 말했다.

◆한국은행, 금감원과 공동 검사 착수=한국은행은 18일부터 금융감독원과 함께 농협에 대한 공동 검사에 착수하기로 했다. 한은은 이날 임시 금융통화위원회를 소집해 이같이 결정했고 금감원도 금통위의 공동 검사 요청을 즉시 받아들였다. 한은 관계자는 “농협의 전산망이 나흘째 정상 가동을 하지 못하고 있는 것은 심각한 상황”이라며 “농협의 지급결제 업무가 정상적인지 들여다볼 것”이라고 말했다.

농협은 이날까지도 전산망을 완전 복구하지 못했다. 14일 기자 간담회에서 당일 자정까지 문제를 해결하겠다고 했던 최원병 농협중앙회장의 약속이 또 한번 깨진 것이다. 농협은 체크카드 결제 서비스를 이날 오전 8시, 신용카드 현금 서비스를 이날 오후 2시쯤에야 복구했다. 하지만 대출 관련 업무 등 일부 전산 서비스는 오후 5시 현재까지도 복구되지 못했다. 농협은 “현재 운영 시스템과 과거 전산 기록이 버전이 달라 이를 조정하느라 복구가 지연되고 있다”고 해명했다.

앞서 지난 12일 오후 농협 IT본부에 있던 한 대의 노트북에 ‘모든 파일 삭제(rm.dd)’ 명령어가 입력되면서 발생한 이번 사태로 전국 농협의 553대 중계서버 가운데 275대가 순식간에 마비됐다.