농협에 따르면 이번 사건은 글로벌 정보기술(IT) 기업인 IBM에서 운영하는 서버를 유지 · 보수하기 위해 드나들던 IBM 직원의 컴퓨터에서 나온 '모든 파일 삭제' 명령어에서 비롯됐다.

당초 농협은 '시스템 파일 삭제' 명령어라고 발표했지만 이날 '모든 파일 삭제'라고 정정했다. 모든 파일 삭제는 시스템 안의 모든 것을 삭제하라는 최고 명령어다. 고의적인 것인지,외부 해킹인지 여부는 여전히 확실치 않다. IBM 직원 컴퓨터는 외부 네트워크와 연결돼 있지 않았다.

농협은 총 553대의 서버를 사용하고 있다. 이 중 IBM이 관리하는 서버는 총 320대로 이 가운데 275대가 불과 5분여 만에 전체,혹은 일부 파일이 삭제되는 피해를 입었다. 재해에 대비하기 위한 DR(재해복구용) 서버에서도 파일이 삭제됐다.

전태민 농협 IT분사 부장은 "장애가 일어난 지 약 5분 후 알았으며,통상적인 에러와 다르다는 것을 인지하고 통신망 전체를 차단해 그나마 피해가 확산되는 것을 막았다"고 말했다. 복구에 오랜 시간이 걸리는 것은 데이터 백업이 실시간으로 이뤄지지 않았던 것과 관련이 있다고 농협은 설명했다.

전 부장은 "그간 일어난 거래 내역을 다시 입력하고 데이터 동기화를 시키는 데 예상보다 시간이 더 걸리고 있다"고 설명했다. 14일 오후 5시를 기준으로 275개 중 165개 서버가 복구됐다.