농협 전산장애 사태가 처음 발생한 지난 12일 이후 6일이 흘렀다. 일상적인 업무들은 순차적으로 복구됐다. 농협 측은 전체 거래량을 기준으로 17일까지 95%가량을 되살렸다고 설명했다.

남은 5%는 카드론 및 인터넷뱅킹으로 카드거래 내역을 조회하는 등 카드 관련 업무들이다. 특히 고객 거래내역을 담은 원장도 일부 훼손된 것으로 확인됐다. 농협은 이날 "거래내역이 손상된 것은 사실이고 현재 정확한 훼손 범위를 확인 중"이라며 "거래내역 정보에는 카드 구매와 현금서비스를 비롯한 청구내역,결제내역,마일리지 등이 포함된다"고 밝혔다.

◆현금서비스 · 출금내역 복구 어려워

서울 양재동에 있는 농협 IT본부 3층 상황실에 있던 IBM 직원의 서버 관리용 노트북에서 모든 파일을 지우라는 'rm' 및 'dd' 명령어가 실행된 것은 지난 12일 오후 5시께였다. 농협 IT본부는 이 사실을 오후 5시5분쯤 인지했고 5시10분께 전산망을 닫았다.

농협은 이 사이에 발생한 금융거래 데이터 중 농협의 NH채움카드(신용 · 체크카드) 거래 관련 기록을 복구하는 데 어려움을 겪고 있다. 농협 카드는 NH BC카드(423만명)와 NH채움카드(237만명)로 나뉜다. 이 중 BC카드 쪽은 BC카드의 서버에 사용 내역이 남아 있지만,농협이 직접 관리하는 NH채움카드 사용 내역은 농협 서버에서 살리지 못하면 다른 곳에서 정보를 가져올 수 없다.

물건을 사거나 서비스를 받고 결제한 내역은 100% 복원이 가능하다. 카드를 긁을 때 정보 전송을 담당하는 부가통신망(VAN) 사업자들에 기록이 있기 때문이다. 하지만 BC카드도,VAN 사업자들도 경유하지 않는 '구멍'이 있다. 현금서비스와 현금 출금이다.

◆접속기록 남아 있을까

농협의 금융거래 데이터는 4단계로 보관된다. 1차 메인서버와 2차 재해복구용(DR) 보조서버는 실시간으로 교류하며 똑같이 운영되는 쌍둥이 서버다. 3차 보관장치는 실시간으로 1 · 2차 서버에서 정보를 넘겨받아 기록하는 디스크 백업이다. 4차 보관장치는 일정 주기에 따라 테이프에 자기 정보를 기록해 물리적 기록을 남기는 테이프 라이브러리다.

이번 전산장애는 1 · 2차 서버가 동시에 망가진 것이 특징이다. 3차 디스크 백업은 정상적으로 이뤄졌지만,'데이터를 없애라'는 명령이 내려진 12일 오후 5시부터 '모든 전산망을 닫으라'는 명령을 받은 5시10분 사이에 1 · 2차 서버에서 3차 디스크 백업 장치로 거래 정보를 전송하지 못했을 수도 있다.

◆검찰 이번 주 관계자들 소환조사

지난 13일부터 자체적으로 농협 전산장애 원인 조사에 착수한 검찰은 18일부터 농협 직원들과 한국IBM 직원 등 20여명을 소환할 예정이다.

검찰 관계자는 "해고에 앙심을 품은 사람이 했을 가능성도 있고,외부에서 원격조종한 '좀비 PC'가 됐을 가능성도 남아 있다"며 "침투 경로를 대략적으로 특정하는 것이 우선"이라고 설명했다. 한국은행도 이날부터 금융감독원과 공동 조사에 착수한다.

이상은/조귀동 기자 selee@hankyung.com