클라우드 기업 보안 업데이트, MS 윈도와 충돌윈도 쓰는 850만대 먹통, 항공·의료·금융 대혼란"소버린 클라우드 구축, 사고 시 즉각 대처 필요"
#. 2022년 10월, 카카오·네이버 등이 입주한 SK㈜ C&C 데이터센터에 불이 났다. 네이버와 달리 카카오는 데이터센터 간 이중화에 미흡했고, 복구까지 꽤 오랜 시간이 걸렸다. 메신저부터 택시 호출까지 많은 온라인 플랫폼을 독점하던 회사의 '귀책'은 우리의 일상을 장기간 멈추게 했다.
이로부터 2년 정도 흐른 지난 19일에는 한 클라우드 기업의 실수로 전 세계가 멈추는 혼란이 빚어졌다.
큰 실수는 아니었다. 미국 사이버 보안 업체인 크라우드스트라이크가 새로운 보안 프로그램을 배포하는 과정에서 협력사인 마이크로소프트(MS) 운영체제 '윈도'와 충돌한 것이다. 그런데 이 문제로 윈도에서 이 프로그램을 사용하는 기기 850만대가 먹통이 됐고, 전 세계 항공·의료·금융 분야는 일대 마비됐다.
피해는 우리나라도 피해 갈 수 없었다. 이스타항공, 제주항공, 에어프레미아의 항공권 예약·발권 시스템에서 오류가 발생했다. 이들 3사(社)가 사용하는 독일 아마데우스 자회사 나비테어(Navitaire) 시스템이 MS의 클라우드 서비스를 기반으로 운영된 여파다. 온·오프라인을 통한 항공권 예약에 오류가 발생해 공항에서는 직원들이 직접 수기로 발권·체크인을 진행했다. 이에 따라 수속 대기 시간도 길어졌고, 꽤 많은 항공편이 취소되기도 했다.
일부 온라인 게임도 영향을 받아 서버가 다운됐다. 펄어비스 '검은사막' 운영진은 홈페이지 공지사항을 통해 "갑작스러운 장비 이상으로 검은사막 서버 불안정 현상이 발생했다"면서 "사용 중인 소프트웨어 프로그램의 전 세계 동시 장애로 확인되며 정상화 작업을 진행하고 있다"고 밝혔다.
라그나로크 온라인·라그나로크 오리진 등 PC·모바일 게임을 서비스하고 있는 국내 게임사 그라비티에도 피해를 봤다. 그라비티는 "타사에서 제공받는 시스템 오류로 홈페이지 및 게임 접속이 불가능한 현상이 확인돼 임시 점검 진행 중"이라고 공지하고 시스템 점검에 들어갔다.
이 외에 MS가 엑스박스(XBOX) 콘솔과 PC 게임 패스를 통해 서비스하는 일부 게임도 서버 장애가 발생해 원활한 게임 이용이 불가능했던 것으로 전해진다.
다행인 점은 국내 통신망에는 큰 이상이 없었다는 점이다. 방송통신발전기본법상 재난 장애 시 당국 보고 의무를 지닌 기간통신 11개 사(SK텔레콤, KT, LG유플러스 등), 부가통신 7개 사(네이버, 카카오, 구글 등), 데이터센터 8개 사(SK브로드밴드, 네이버클라우드 등) 주요 통신사업자 26개 사에는 피해가 일어나지 않았다. 과기정통부 관계자는 "국내에서 이번 사태 관련 사이버 공격 피해는 일어나지 않은 것으로 파악되고 있다"고 말했다.
업계에서는 어느 정도 예견된 사고라고 입을 모은다. 현재는 모든 서비스가 네트워크로 연결된 초연결 시대이고, 글로벌 IT 공룡 몇 곳이 여기서 나오는 데이터를 관리하는 역할을 수행하고 있어서다. 실제 시너지리서치에 따르면, 지난해 4분기 기준으로 글로벌 클라우드 시장에서 아마존웹서비스와 마이크로소프트 애저, 구글 클라우드가 무려 66%의 점유율을 기록했다.
업계에서는 이번과 유사한 사고가 났을 때 빠르게 대응할 수 있는 '소버린 클라우드'를 구축해야 한다고 주장한다. 한 업계 관계자는 "한국에선 MS 클라우드 점유율이 낮아 상대적으로 피해가 적었다"면서 "외산 클라우드가 아닌 국산 클라우드, 이른바 '소버린 클라우드' 구축과 소비에 공을 들여야 한다"고 말했다. 그러면서 "특히 공공, 금융, 통신 등 중요 서비스는 자국 기업이 기술을 제공하고 사고 발생 시 즉각 대응이 가능해야 한다"고 덧붙였다.
더 나아가 공공 IT 시스템을 총괄할 '정부 CTO'가 필요하다는 분석도 나온다. 멀티 클라우드 환경을 안전하게 쓰면서 최적화로 비용 문제도 최소화하려면 클라우드 도입 컨설팅부터 이전, 운영 관리, 보안 등 서비스를 지원하는 MSP(Managed Service Provider)라는 중간 관리 업체 역할이 중요해서다.
MSP 역할이 커지면서 KT나 삼성 SDS, LG CNS 등 국내 대기업 계열 SI(System Integration) 업계들도 MSP 사업에 공을 들이는 중이다. 이들은 공공 소프트웨어 시장에 진출하며 정부 발주 사업에서도 사업 영역을 확장하려고 시도 중이다. 다만, 이들 MSP 역할만으로 IT 시스템에서 일어날 수 있는 대규모 재난 상황을 사전 예방할 수 있는지 의문을 표하는 목소리들도 있다.
업계 한 전문가는 "행정안전부 주도 공공 소프트웨어 사업 발주자 진영이 대기업을 선호하는데 이번 사태에서 보듯 마이크로소프트 같은 대기업도 사고를 못 막는 상황"이라며 "대기업이라고 뭔가 보증하는 것이 아니라고 보면 결국 발주자인 정부의 인식 전환과 역량이 문제가 된다"고 말했다.
클라우드 업계 한 관계자는 "우리나라 정부 부처나 기관은 시스템 구축과 운영 발주를 따로 하다 보니 시스템에서 문제가 발생해도 해결할 수 있는 역량과 정보, 인력이 사라진 상태가 자주 나타나고 비슷한 공공 서비스 IT 시스템도 각 부처나 기관 단위로 예산을 편성해 알아서 개발, 운영하는 관례도 상당했다"고 지적했다.
이어 "이를 해소하기 위해 만든 것이 디지털플랫폼정부 위원회이지만 계획이 예산에 반영되기까지 1∼2년이 소요되고 상설 조직이 아닌 한계도 있는 듯하다"면서 "영국, 싱가포르의 사례처럼 IT 거버넌스 체계를 관할하는 국가 차원의 최고 기술 경영자(CTO) 역할이 필요하다"고 덧붙였다.
한국지능정보사회진흥원(NIA)은 지난달 펴낸 '공공분야 초거대 AI 활용을 위한 공공 데이터 주권 클라우드 적용 방향' 보고서에서 "공공분야에서 초거대 AI 모델을 구축하고 운영하기 위해 MSP 역량을 확보한 전담 기관을 고려할 필요가 있다"고 제언했다. 또 "클라우드 기술의 장점만을 취하려다 오히려 보안 구멍으로 인해 잃는 것이 더 많은 우를 범하지 않기 위해 기술적 보안 및 정보보호 대책을 별도로 강구할 필요가 있다"고 강조했다.
이로부터 2년 정도 흐른 지난 19일에는 한 클라우드 기업의 실수로 전 세계가 멈추는 혼란이 빚어졌다.
);)
한 클라우드 기업의 보안 프로그램이 마이크로소프트 운영체제 윈도와 충돌해 전 세계가 마비되는 사태가 발생했다. 그래픽=이찬희 기자
왜 이런 문제가 생겼나
큰 실수는 아니었다. 미국 사이버 보안 업체인 크라우드스트라이크가 새로운 보안 프로그램을 배포하는 과정에서 협력사인 마이크로소프트(MS) 운영체제 '윈도'와 충돌한 것이다. 그런데 이 문제로 윈도에서 이 프로그램을 사용하는 기기 850만대가 먹통이 됐고, 전 세계 항공·의료·금융 분야는 일대 마비됐다.
피해는 우리나라도 피해 갈 수 없었다. 이스타항공, 제주항공, 에어프레미아의 항공권 예약·발권 시스템에서 오류가 발생했다. 이들 3사(社)가 사용하는 독일 아마데우스 자회사 나비테어(Navitaire) 시스템이 MS의 클라우드 서비스를 기반으로 운영된 여파다. 온·오프라인을 통한 항공권 예약에 오류가 발생해 공항에서는 직원들이 직접 수기로 발권·체크인을 진행했다. 이에 따라 수속 대기 시간도 길어졌고, 꽤 많은 항공편이 취소되기도 했다.
);)
펄어비스가 게재한 검은사막 장애 공지. 사진=펄어비스 홈페이지
라그나로크 온라인·라그나로크 오리진 등 PC·모바일 게임을 서비스하고 있는 국내 게임사 그라비티에도 피해를 봤다. 그라비티는 "타사에서 제공받는 시스템 오류로 홈페이지 및 게임 접속이 불가능한 현상이 확인돼 임시 점검 진행 중"이라고 공지하고 시스템 점검에 들어갔다.
이 외에 MS가 엑스박스(XBOX) 콘솔과 PC 게임 패스를 통해 서비스하는 일부 게임도 서버 장애가 발생해 원활한 게임 이용이 불가능했던 것으로 전해진다.
다행인 점은 국내 통신망에는 큰 이상이 없었다는 점이다. 방송통신발전기본법상 재난 장애 시 당국 보고 의무를 지닌 기간통신 11개 사(SK텔레콤, KT, LG유플러스 등), 부가통신 7개 사(네이버, 카카오, 구글 등), 데이터센터 8개 사(SK브로드밴드, 네이버클라우드 등) 주요 통신사업자 26개 사에는 피해가 일어나지 않았다. 과기정통부 관계자는 "국내에서 이번 사태 관련 사이버 공격 피해는 일어나지 않은 것으로 파악되고 있다"고 말했다.
초연결 시대, 피해 줄이려면
업계에서는 어느 정도 예견된 사고라고 입을 모은다. 현재는 모든 서비스가 네트워크로 연결된 초연결 시대이고, 글로벌 IT 공룡 몇 곳이 여기서 나오는 데이터를 관리하는 역할을 수행하고 있어서다. 실제 시너지리서치에 따르면, 지난해 4분기 기준으로 글로벌 클라우드 시장에서 아마존웹서비스와 마이크로소프트 애저, 구글 클라우드가 무려 66%의 점유율을 기록했다.
);)
주요 클라우드 업체 및 장애 피해사례. 그래픽=이찬희 기자
더 나아가 공공 IT 시스템을 총괄할 '정부 CTO'가 필요하다는 분석도 나온다. 멀티 클라우드 환경을 안전하게 쓰면서 최적화로 비용 문제도 최소화하려면 클라우드 도입 컨설팅부터 이전, 운영 관리, 보안 등 서비스를 지원하는 MSP(Managed Service Provider)라는 중간 관리 업체 역할이 중요해서다.
MSP 역할이 커지면서 KT나 삼성 SDS, LG CNS 등 국내 대기업 계열 SI(System Integration) 업계들도 MSP 사업에 공을 들이는 중이다. 이들은 공공 소프트웨어 시장에 진출하며 정부 발주 사업에서도 사업 영역을 확장하려고 시도 중이다. 다만, 이들 MSP 역할만으로 IT 시스템에서 일어날 수 있는 대규모 재난 상황을 사전 예방할 수 있는지 의문을 표하는 목소리들도 있다.
업계 한 전문가는 "행정안전부 주도 공공 소프트웨어 사업 발주자 진영이 대기업을 선호하는데 이번 사태에서 보듯 마이크로소프트 같은 대기업도 사고를 못 막는 상황"이라며 "대기업이라고 뭔가 보증하는 것이 아니라고 보면 결국 발주자인 정부의 인식 전환과 역량이 문제가 된다"고 말했다.
클라우드 업계 한 관계자는 "우리나라 정부 부처나 기관은 시스템 구축과 운영 발주를 따로 하다 보니 시스템에서 문제가 발생해도 해결할 수 있는 역량과 정보, 인력이 사라진 상태가 자주 나타나고 비슷한 공공 서비스 IT 시스템도 각 부처나 기관 단위로 예산을 편성해 알아서 개발, 운영하는 관례도 상당했다"고 지적했다.
이어 "이를 해소하기 위해 만든 것이 디지털플랫폼정부 위원회이지만 계획이 예산에 반영되기까지 1∼2년이 소요되고 상설 조직이 아닌 한계도 있는 듯하다"면서 "영국, 싱가포르의 사례처럼 IT 거버넌스 체계를 관할하는 국가 차원의 최고 기술 경영자(CTO) 역할이 필요하다"고 덧붙였다.
한국지능정보사회진흥원(NIA)은 지난달 펴낸 '공공분야 초거대 AI 활용을 위한 공공 데이터 주권 클라우드 적용 방향' 보고서에서 "공공분야에서 초거대 AI 모델을 구축하고 운영하기 위해 MSP 역량을 확보한 전담 기관을 고려할 필요가 있다"고 제언했다. 또 "클라우드 기술의 장점만을 취하려다 오히려 보안 구멍으로 인해 잃는 것이 더 많은 우를 범하지 않기 위해 기술적 보안 및 정보보호 대책을 별도로 강구할 필요가 있다"고 강조했다.
뉴스웨이 임재덕 기자
Limjd87@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
);){kind=link}
댓글