본문 바로가기

IT 기사/IT 일반

농협 시스템 삭제 명령어 'rm. dd' 의혹 증폭


농협 시스템 삭제 명령어 'rm. dd' 의혹 증폭




농협 시스템 파일들을 삭제하는데 사용된 명령어 'rm. dd'의 실체를 놓고 의혹이 증폭되고 있다.


IT업계와 시스템 운영자들은 일반적으로 사용되는 유닉스 명령이 아니며 이런 명령을 만들어내고 사용하는 것 역시 이상하다고 지적하고 있다.


시스템을 운영하는 시스템 엔지니어들 역시 rm. dd의 정체에 대해 고개를 갸우뚱하고 있다. 일반적으로 rm은 유닉스 삭제 명령어이며 dd는 입력 파일을 읽어서 코드 변환해 파일로 출력하는 명령어이다.


일각에서 dd가 한 줄을 삭제하는 명령이라고 설명하는데 이는 유닉스 파일을 편집하는 vi 에디터에서는 dd가 한 줄 삭제 명령어로 사용되는 것을 지칭한다.  하지만 vi 명령어는 파일 편집 명령으로 일반 유닉스 명령어와 vi 에디터 명령어는 엄연히 구분된다.


문제는 rm. dd라는 조합의 명령어가 사용되지 않기 때문이다.


19일 글로벌 유닉스 서버 업체 관계자는 "rm. dd는 일반적인 유닉스 명령어가 아니다"라며 "IBM 유닉스 서버에서만 이용되는 옵션(선택기능) 명령어가 아닌가 생각된다"고 말했다.


대형 IT 서비스 업체 시스템 운영자는 "일반적으로 시스템 파일들을 삭제할 때 쓰이는 명령어가 아니며 rm. dd라는 명령어 조합을 들어본 적도 없다"며 "IBM이나 농협이 자체적으로 사용하기 위해 만들었을 것 같다"며 "하지만 상식적으로 자폭 명령을 자체적으로 만들어 놓는 다는 것이 이해가 되지 않는다"고 말했다.


또 다른 대형 IT 서비스 업체에 근무하는 기술사는 "rm. dd라는 명령어는 없다"며 "다만 dd가 null(0) 카피를 할 수 있어 파일에 null을 덮어씌우면 삭제가 되는데 데이터를 완전히 날려버리기 위해 두 가지를 조합한 것이 아닐까 생각된다"고 말했다.


IT업계 관계자들의 주장대로라면 우선 rm. dd라는 명령은 일반적인 유닉스 서버 운영자들은 물론 IBM 제품 운영자들도 잘 모르는 명령이라는 것이다.


이에 따라 IT업계에서는 여러 가지 의혹이 나오고 있다. 우선은 실제로 이런 명령이 존재하느냐 여부이다. 일각에서는 다른 문제를 덮기 위해 rm. dd라는 정체 불명의 명령어를 등장시킨 것이 아니냐고 주장하고 있다. 하지만 IBM 유닉스 서버를 잘 아는 관계자는 "실제로 그런 명령어가 있기는 있는 것으로 안다"고 말해 이런 가능성은 적은 것으로 추정된다.


다음으로 제기되는 것은 rm. dd가 IBM 또는 농협에서만 쓰이는 특수 명령어라면 왜 이런 명령어를 만들어 놓았는지 자체가 의혹을 낳고 있다. 또 이를 알고 있었던 사람은 농협 시스템 사정에 정통한 전문가일 것으로 추정돼 이번 사건에 내부자의 연루 가능성이 높아지고 있다. 다른 업계 관계자는 "일반적인 유닉스 파일 삭제 명령으로 몇 대의 서버를 포맷을 해도 상당한 시간이 걸리는데 5분만에 수 백 대의 서버를 명령어 하나로 파일을 삭제했다는 것이 상식적이지 않다"며 "만약 이것이 특수 명령어와 농협 시스템의 특이한 구조에 의한 것이라면 이를 정확히 아는 사람이 아니면 이런 일을 벌이기 어렵다"고 말했다.


마지막으로 제기되는 것은 우연히 이런 명령어 조합이 만들어졌거나 시스템 오류로 만들어진 명령어일 가능성이다. 하지만 IBM 직원들이 농협에 상주했다는 점에서 우연히 이런 명령을 입력하기는 어려울 것이라는 주장이다. 또 외부 세력이 시스템 오류로 만든 명령어라고 해도 이 명령어가 어떤 기능을 하는지 알기 위해 테스트 등이 필요한데 이런 테스트가 가능했겠느냐는 점이 의문이라는 지적이다.


농협에서는 최근 외부 세력 등에 의한 사이버테러 가능성을 높게 제기하고 있는데 IT업계에서는 어떤 경우든 내부 사정을 잘 아는 사람이 관여했을 가능성이 높으며 IBM 유닉스 서버 등에 정통한 전문가가 범인일 것이라고 추측하고 있다.



디지털타임스 강진규 기자 kjk@dt.co.kr