Day 43: 실무 사례 #3 - 농협 전산망 마비 사건 (2011)
[ 1. 사건 개요 ]
기본 정보
- 회사 : 농협중앙회 (금융기관 + 공공기관)
- 발생 시기 : 2011년 4월 12일
- 사건 유형 : 해킹 + 전산망 파괴 + 서비스 마비
- 마비 기간 : 약 5일 (4월 12일 - 4월 17일)
- 피해 규모 : 전국 농협 전산망 완전 마비
사건 요약
- 북한 해커로 추정되는 공격자가 농협 전산망에 침입하여 악성코드를 유포, 273대 서버와 6,600여대 PC가 파괴되어 전국 농협 영업이 5일간 완전 중단되었다.
[ 1.1 상세 경위 ]
공격 시점 : 2011년 4월 12일 오후 2시
공격 방법
1. 사전 준비 (수개월 전)
- 농협 내부망 침투
- APT (지능형 지속 공격) 공격
- 관리자 계정 탈취
2. 악성코드 유포 (4월 12일)
- 파일 공유 서버 해킹
- 악성코드 업로드
- 273대 서버에 악성코드 배포
- 6,600여대 PC에 확산
3. 동시 다발적 파괴 (오후 2시)
- 서버 하드디스크 MBR (Master Boot Record) 파괴
- PC 하드디스크 파괴
- 데이터베이스 파일 삭제
- 백업 서버도 파괴 시도
4. 전산망 마비
- 인터넷뱅킹 중단
- ATM 중단
- 전국 지점 영업 중단
피해 상황
파괴된 시스템
- 서버 : 273대 (전체의 약 30%)
- PC : 6,600여대
- ATM : 2,000여대 작동 중단
업무 마비
- 인터넷뱅킹 중단
- 모바일뱅킹 중단
- ATM 중단
- 지점 창구 업무 중단 (수기 처리)
- 신용카드 결제 중단
- 농축산물 대금 결제 중단
- 피해 고객 : 약 2,000만명 (전체 고객의 90% 이상)
[ 1.2 타임라인 ]
2010년 - 2011년 초
- 북한 해커 그룹, 농협 내부망 침투
- APT 공격으로 은밀히 잠복
- 관리자 계정 탈취
- 악성코드 준비
2011년 4월 12일
- 14:00 - 악성코드 실행 (D-Day) : 273대 서버 동시 파괴, 6,600대 PC 파괴
- 14:10 - 전산망 완전 마비 : 전국 지점 업무 중단
- 14:30 - 농협 긴급 대책 회의
- 15:00 - 금융감독원 보고, 경찰 신고
- 16:00 - 언론 보도 시작 ("농협 전산망 마비")
- 18:00 - 국가정보원 참여, 북한 소행 추정
2011년 4월 13일
- 피해 범위 확인
- 복구 작업 시작
- 백업 데이터 확인
2011년 4월 14일 - 16일
- 시스템 복구 작업 지속
- 일부 서비스 재개 (ATM 일부)
2011년 4월 17일
- 전산망 정상화 (완전 복구)
- 전체 서비스 재개
2011년 4월 - 5월
- 원인 분석
- 보안 강화
- 손해액 산정
2011년 6월
- 검찰 발표 : 북한 소행 확정
[ 2. 법률 분석 ]
[ 2.1 적용 법률 ]
주요 법률
1. 정보통신망법
2. 정보통신기반보호법 (핵심)
3. 전자금융거래법
4. 형법
적용 이유
- 농협 = 금융기관 (특수성)
- 농협 전산망 = 주요정보통신기반시설 (국가 지정)
- 해킹 + 데이터 파괴
- 금융 서비스 중단
[ 2.2 주요정보통신기반시설 침해 ]
정보통신기반보호법 제2조 (정의)
주요정보통신기반시설 정의
- "정보통신기반시설 중 국가-사회의 주요 기능을 수행하거나 다수 국민의 생명-재산과 밀접한 관련이 있는 시설로서 관계 중앙행정기관의 장이 지정하는 시설"
농협 전산망
- 금융위원회가 지정한 주요정보통신기반시설
- 분야 : 금융
- 지정 이유
1. 약 2,000만명 고객 (국민의 40%)
2. 농축산물 유통 결제망
3. 지역 경제 핵심 인프라
침해 행위 (정보통신기반보호법 제2조 제3호)
- 가. 정당한 권한 없이 정보통신기반시설에 침입하는 행위 > 농협 내부망 침투 (해당)
- 나. 정보통신기반시설에 악성프로그램을 전달-실행하는 행위 > 악성코드 유포 및 실행 (해당)
- 다. 대량의 신호-데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신기반시설의 정상적인 운영을 방해하는 행위 > 서버 및 PC 파괴 (해당)
처벌 (정보통신기반보호법 제14조)
- "주요정보통신기반시설에 대하여 전자적 침해행위를 한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다"
- 가장 무거운 처벌
실제 처벌
- 북한 해커 (국외) > 검거 불가 > 처벌 없음
- 법적으로는 10년 이하 징역 해당
[ 2.3 형법 적용 ]
컴퓨터등장애업무방해죄 (형법 제314조의2)
- "컴퓨터등 정보처리장치 또는 전자기록등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 자는 5년 이하의 징역 또는 1천500만원 이하의 벌금에 처한다"
- 컴퓨터등 정보처리장치 손괴 : 서버 273대, PC 6,600대 파괴 (해당)
- 정보처리에 장애 발생 : 전산망 완전 마비 (해당)
- 업무 방해 : 5일간 전국 농협 영업 중단 (해당)
재물손괴죄 (형법 제366조)
- "타인의 재물, 문서 또는 전자기록등 특수매체기록을 손괴 또는 은닉 기타 방법으로 그 효용을 해한 자는 3년 이하의 징역 또는 700만원 이하의 벌금에 처한다"
- 서버, PC, 데이터베이스 파괴 > 전자기록 손괴 (해당)
[ 2.4 정보통신망법 적용 ]
정보통신망 침해 (정보통신망법 제48조)
- 1호 : 정당한 접근권한 없이 정보통신망에 침입한 자 > 5년 이하의 징역 또는 5천만원 이하의 벌금
- 2호 : 정보통신망에 장애가 발생하게 하거나 정보를 훼손하는 등의 악성프로그램을 전달 또는 유포한 자 > 5년 이하의 징역 또는 5천만원 이하의 벌금
[ 2.5 전자금융거래법 적용 ]
전자금융거래법 제49조 (벌칙)
- "전자금융거래를 방해할 목적으로 정보처리장치에 장애를 발생시키거나 정보를 훼손한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다"
- 농협 = 금융기관, 인터넷뱅킹-ATM 등 전자금융거래 중단 > 전자금융거래 방해 (해당)
[ 2.6 농협의 책임 ]
정보통신기반보호법 제9조 (취약점 분석-평가 등)
- "주요정보통신기반시설의 관리기관의 장은 그 시설에 대하여 취약점 분석-평가를 매년 1회 이상 실시하여야 한다"
농협의 위반 내용
1. 내부망 침투 탐지 실패 : 수개월간 해커 잠복, 침입탐지시스템 (IDS) 미흡
2. 악성코드 유포 차단 실패 : 파일 공유 서버 보안 취약, 백신 미흡
3. 관리자 계정 관리 부실 : 계정 탈취 허용, 이중 인증 없음
4. 백업 시스템 취약 : 백업 서버도 동일 망에 연결, 백업 데이터 일부 손상
처벌 (정보통신기반보호법 제16조 과태료)
- "제9조를 위반하여 취약점 분석-평가를 실시하지 아니하거나 보호대책을 수립-시행하지 아니한 자에게는 3천만원 이하의 과태료를 부과한다"
실제 제재
- 금융감독원 : 시정명령 (보안 강화)
- 금융위원회 : 농협 경영진 징계 요구
[ 3. 기술적 분석 ]
[ 3.1 공격 기법 - APT (지능형 지속 공격) ]
APT (Advanced Persistent Threat) 특징
1. 장기간 잠복 (수개월 - 수년)
2. 특정 목표물 공격 (표적 공격)
3. 다단계 공격
4. 은밀함 (탐지 회피)
농협 APT 공격 단계
Phase 1 : 정찰 (Reconnaissance)
- 농협 시스템 구조 파악
- 직원 정보 수집
- 취약점 탐색
Phase 2 : 초기 침투 (Initial Intrusion)
- 스피어 피싱 이메일 (추정)
- 악성 첨부파일 실행
- 내부망 침투
Phase 3 : 거점 확보 (Establish Foothold)
- 백도어 설치
- 원격 접속 통로 확보
- 탐지 회피
Phase 4 : 권한 상승 (Privilege Escalation)
- 일반 직원 계정 > 관리자 계정
- 패스워드 크랙 또는 키로거로 관리자 비밀번호 탈취
Phase 5 : 내부 정찰 (Internal Reconnaissance)
- 내부 시스템 구조 파악
- 중요 서버 위치 확인
- 백업 시스템 위치 확인
Phase 6 : 측면 이동 (Lateral Movement)
- 관리자 계정으로 다른 서버 접근
- 파일 공유 서버 장악
Phase 7 : 임무 완수 (Mission Complete)
- 악성코드 배포
- 동시 다발적 파괴 (D-Day)
[ 3.2 악성코드 분석 ]
기능
1. MBR (Master Boot Record) 파괴
- 하드디스크 부팅 영역 파괴
- 부팅 불가
- 복구 매우 어려움
2. 데이터 파일 삭제
- 중요 데이터베이스 파일 삭제
- 백업 파일 삭제 시도
3. 자기 증식 (Worm)
- 네트워크 공유 폴더를 통해 확산
- 273대 서버, 6,600대 PC 감염
4. 시한 폭탄 (Logic Bomb)
- 특정 시각에 동시 실행 (4월 12일 14:00)
특징
- 백신 탐지 회피
- 은밀한 확산
- 동시 다발적 실행
- 파괴력 극대화
[ 3.3 농협의 보안 취약점 ]
(1) 침입탐지 실패
- 수개월간 해커 잠복 탐지 못함
- IDS 미구축 또는 미흡
- 로그 분석 부실
- 이상 징후 무시
(2) 관리자 계정 관리 부실
- 관리자 계정 탈취 허용
- 비밀번호 단순 (추정)
- 이중 인증 (2FA) 없음
- 계정 로그 점검 안 함
(3) 파일 공유 서버 보안 취약
- 파일 공유 서버가 악성코드 배포 경로
- 접근 통제 미흡
- 파일 업로드 검증 안 함
- 백신 스캔 안 함
(4) 백업 시스템 설계 오류
- 백업 서버도 동일 망에 연결 > 백업 서버도 공격당함 > 백업 데이터 일부 손상
- 올바른 설계 : 백업 서버는 별도 망 (오프라인 또는 격리), 에어갭 백업 (Air-gap Backup)
(5) 망분리 미흡
- 업무망과 관리망 분리 안 됨
- 한 곳 침투 시 전체 접근 가능
[ 3.4 사후 농협 보안 강화 조치 ]
1. 침입탐지 강화
- IDS/IPS 전면 도입
- SIEM (보안 정보 및 이벤트 관리) 구축
- 24/365 보안관제센터 운영
- 실시간 위협 탐지
2. 백업 체계 개선
- 오프라인 백업 (에어갭)
- 원격지 백업 (다른 지역)
- 백업 주기 단축 (일 1회 > 일 3회)
- 백업 복구 테스트 정기 실시
3. 관리자 계정 관리 강화
- 이중 인증 (2FA) 의무화
- 비밀번호 정책 강화 (16자 이상)
- 관리자 계정 로그 실시간 모니터링
- 권한 최소화
4. 망분리
- 업무망 - 관리망 분리
- DMZ 구축
- 방화벽 강화
5. 악성코드 대응
- 차세대 백신 도입
- APT 탐지 솔루션
- 샌드박스 (의심 파일 격리 실행)
6. 재해복구 체계
- DR (Disaster Recovery) 센터 구축
- RTO (복구 목표 시간) : 4시간
- RPO (복구 목표 시점) : 1시간
- 정기 DR 훈련
7. 조직 강화
- CISO 신설 (임원급)
- 보안팀 인력 3배 증원
- 보안 예산 대폭 확대
[ 4. 대응 평가 ]
[ 4.1 잘한 점 ]
신속한 보고
- 사고 발생 1시간 내
- 금융감독원 보고
- 경찰 신고
- 국가정보원 통보
투명한 공개
- 언론 브리핑
- 고객 안내
- 복구 상황 실시간 공개
총력 대응
- 전 직원 동원
- 외부 전문가 투입 (삼성SDS, LG CNS 등)
- 국정원, 경찰 협조
복구 속도
- 5일 만에 전면 복구
- 당시 상황 고려 시 빠른 편
- 비교 : 카카오 화재 (2022) 5일, 농협 해킹 (2011) 5일
[ 4.2 미흡한 점 ]
사전 예방 실패
1. APT 공격 탐지 실패 : 수개월간 잠복 못 찾음
2. 관리자 계정 탈취 : 이중 인증 없음
3. 악성코드 배포 차단 실패
4. 백업 시스템 설계 오류 : 백업도 공격당함
초동 대응
- 마비 후 복구 시작까지 시간 소요
- 피해 범위 파악 지연
고객 피해
- 5일간 서비스 중단 > 고객 불편 심각
- 일부 고객 타 은행 이탈
[ 5. 교훈 및 시사점 ]
[ 5.1 기술적 교훈 ]
1. APT 공격은 장기전
- 일반 해킹 : 즉시 공격
- APT : 수개월 잠복 > 준비 > 일시에 공격
- 대응 : 지속적 모니터링, 이상 징후 즉시 조사, 로그 분석 (AI 활용)
2. 백업은 생명줄 (3-2-1 원칙)
- 3개 복사본
- 2개 매체 (디스크, 테이프 등)
- 1개 오프사이트 (원격지)
- 에어갭 백업 : 네트워크에서 완전 분리, 물리적 격리
- 농협은 백업 덕분에 5일 만에 복구
3. 관리자 계정 = 왕국의 열쇠
- 관리자 계정 탈취 = 치명적
- 대응 : 이중 인증 (2FA) 필수, 비밀번호 16자 이상, 권한 최소화, 로그 실시간 감시
4. 망분리
- 한 곳 뚫리면 전체 뚫림 방지
- 업무망 - 관리망 분리
- DMZ 구축
- 제로 트러스트 (Zero Trust)
5. DR (재해복구) 필수
- 대형 사고는 언제든 발생 가능
- DR 센터 구축
- RTO : 4시간
- 정기 DR 훈련
[ 5.2 법률적 교훈 ]
1. 주요정보통신기반시설 = 최고 처벌
- 일반 해킹 : 5년 이하
- 주요기반시설 해킹 : 10년 이하
- 농협 = 주요기반시설 > 국가 핵심 인프라 > 더 엄격한 관리 의무
2. 취약점 평가 의무
- 정보통신기반보호법 제9조 : 연 1회 취약점 평가 의무
- 위반 시 : 과태료 3천만원, 사고 발생 시 추가 책임
3. 관리기관의 책임
- 해커가 처벌 안 받아도 농협은 안전조치 의무 위반 책임
- 시정명령, 경영진 징계, 과태료
[ 5.3 경영적 교훈 ]
1. 피해 규모
- 직접 비용 : 복구 비용 약 200억원 + 시스템 교체 약 300억원 + 보안 강화 약 500억원 = 소계 약 1,000억원
- 간접 비용 : 고객 이탈 (측정 불가), 평판 손실 (측정 불가), 영업 손실 5일 약 500억원
- 총 피해 : 약 1,500억원 이상
2. 사전 투자의 중요성
- 사전 보안 투자 (추정) : 200억원
- 사후 복구 비용 : 1,500억원
- 7.5배 차이
3. 금융권 = 국가 인프라
- 농협 마비 = 지역 경제 마비
- 사회적 책임 막중
- 보안 투자는 필수
4. 평판 회복의 어려움
- 농협은 2011년 사건 이후 "전산망 마비 농협"으로 인식
- 수년간 신뢰 회복 노력
[ 5.4 국가 안보 관점 ]
사이버 전쟁 (Cyber Warfare)
- 농협 사건 = 북한의 사이버 공격
- 목적 : 한국 경제 혼란, 국민 불안 조성, 금융 시스템 신뢰 추락
- 시사점 : 사이버 안보 = 국가 안보, 금융 시스템 = 공격 대상 1순위
국가 차원 대응
- 농협 사건 이후 : 국가 사이버안전센터 강화
- 주요기반시설 보호 강화
- 사이버 훈련 정례화 (연 2회)
[ 6. 비교 - 주요 금융권 사이버 공격 ]
농협 (2011.4)
- 유형 : APT + 데이터 파괴
- 피해 규모 : 273대 서버 파괴
- 마비 기간 : 5일
방송사-금융사 (2013.3)
- 유형 : APT + 데이터 파괴
- 피해 규모 : KBS, MBC, YTN, 농협, 신한은행 등 동시 다발 공격
- 마비 기간 : 2-3일
카드3사 (2014.1)
- 유형 : 내부자 유출
- 피해 규모 : 1억건 (KB국민, 롯데, 농협 카드)
- 마비 기간 : -
인터파크 (2016.7)
- 유형 : 외부 해킹
- 피해 규모 : 1,030만건
- 마비 기간 : -
특징 정리
- 농협 (2011) : 최초 대형 APT 공격, 데이터 파괴 (유출 아님), 서비스 완전 마비
- 방송사-금융사 (2013) : 동시 다발적 공격, 농협 포함 (2차 피해)
- 카드3사 (2014) : 내부자 유출, 유출 규모 최대 (1억건)
[ 7. 체크리스트 - 농협 사건에서 배우는 APT 대응 체크리스트 ]
사전 예방
- 침입탐지시스템 (IDS/IPS) 구축
- SIEM (통합 보안 관제)
- APT 탐지 솔루션
- 24/365 보안관제센터
- 이상 징후 즉시 조사
관리자 계정 관리
- 이중 인증 (2FA) 필수
- 비밀번호 16자 이상
- 로그 실시간 모니터링
- 권한 최소화
- 정기 권한 재검토
망분리
- 업무망 - 관리망 분리
- DMZ 구축
- 제로 트러스트 (Zero Trust) 적용
백업
- 3-2-1 원칙 (3개 복사본, 2개 매체, 1개 원격지)
- 에어갭 백업 (오프라인)
- 백업 주기 : 일 1회 이상
- 백업 복구 테스트 (분기 1회)
악성코드 대응
- 차세대 백신
- 샌드박스
- 파일 업로드 검증
재해복구 (DR)
- DR 센터 구축
- RTO : 4시간
- RPO : 1시간
- DR 훈련 (연 1회)
법적 준수
- 취약점 평가 연 1회 (정통기반법 제9조)
- CISO 지정
- 보호대책 수립-시행
[ 8. 관련 법령 ]
정보통신기반보호법
- 제2조 (정의 - 주요정보통신기반시설, 전자적 침해행위)
- 제9조 (취약점 분석-평가 등)
- 제14조 (벌칙 - 10년 이하 징역)
- 제16조 (과태료 - 3천만원 이하)
정보통신망법
- 제48조 (벌칙 - 정보통신망 침해, 악성프로그램 유포, 5년 이하)
형법
- 제314조의2 (컴퓨터등장애업무방해, 5년 이하)
- 제366조 (재물손괴, 3년 이하)
전자금융거래법
- 제49조 (벌칙 - 전자금융거래 방해, 5년 이하)
전자금융감독규정
- 재해복구 체계 (RTO, RPO)
[ 9. 실무 적용 ]
[ 9.1 APT 탐지 방법 ]
이상 징후
1. 비정상 외부 접속
- 알 수 없는 IP 주소
- 특이 국가 (북한, 중국, 러시아 등)
- 야간-주말 접속
2. 대량 데이터 전송
- 비정상적으로 큰 파일
- 암호화된 통신
- 알 수 없는 프로토콜
3. 관리자 계정 이상 행동
- 평소와 다른 시간 로그인
- 평소와 다른 시스템 접근
- 대량 데이터 조회
4. 악성코드 흔적
- 백신 탐지 우회 시도
- 시스템 파일 변조
- 레지스트리 변경
탐지 도구
- IDS/IPS
- SIEM
- EDR (Endpoint Detection and Response)
- 네트워크 트래픽 분석 (NTA)
- 위협 인텔리전스
[ 9.2 백업 전략 (3-2-1 원칙) ]
3개 복사본
1. 운영 데이터 (Production)
2. 백업 1 (온사이트)
3. 백업 2 (오프사이트 또는 클라우드)
2개 매체
1. 디스크 (빠른 복구)
2. 테이프 또는 클라우드 (장기 보관)
1개 오프사이트
- 원격지 백업 (다른 도시 또는 클라우드)
- 목적 : 화재, 지진 등 물리적 재해 대비
에어갭 백업
- 네트워크에서 완전 분리 > 랜섬웨어, 해킹으로부터 보호
- 방법 : 백업 후 네트워크 케이블 분리, 또는 전용 백업 장비 (오프라인)
[ 9.3 DR 훈련 시나리오 ]
연습 시나리오
- "지금부터 주 데이터센터가 완전 파괴되었다고 가정합니다. DR 센터로 전환하십시오."
목표
- RTO 4시간 내 복구
- RPO 1시간 (1시간 전 데이터까지 복구)
절차
1. DR 선언 (경영진 승인)
2. DR 팀 소집
3. 백업 데이터 로드
4. 시스템 재시작
5. 서비스 확인
6. 고객 공지
평가 항목
- 복구 시간 (RTO 준수 여부)
- 데이터 손실 (RPO 준수 여부)
- 팀 협업
- 커뮤니케이션
- 문제점 및 개선 사항
[ 학습 정리 ]
농협 사건에서 배운 점
- APT 공격은 장기간 잠복 후 일시에 파괴하는 고도화된 공격
- 주요정보통신기반시설 침해는 10년 이하 징역 (가장 무거운 처벌)
- 관리자 계정 탈취는 치명적 (이중 인증 필수)
- 백업은 생명줄 (3-2-1 원칙, 에어갭)
- 백업 서버도 별도 망 분리 필수
- 침입탐지시스템 (IDS/IPS) + SIEM으로 지속 모니터링
- 망분리로 피해 확산 방지
- DR (재해복구) 체계 구축 및 정기 훈련 필수
- 취약점 평가 연 1회 법적 의무 (정통기반법 제9조)
- 273대 서버 파괴로 5일간 마비, 총 피해 약 1,500억원 이상
- 사전 보안 투자 200억원으로 1,500억원 피해 예방 가능 (7.5배 차이)
- 사이버 공격은 국가 안보 차원의 위협