현지 기준 지난 7월 18일과 19일에 걸쳐 세계 각국의 많은 기업과 정부 기관들의 업무가 마비되는 사태가 벌어졌습니다. 항공편이 취소되고 은행과 방송사, 그리고 수많은 공장과 행정기관이 멈춰 서는, 그야말로 역대 최악의 ‘글로벌 IT 대란’이 발생한 것입니다.
갑자기 먹통 된 윈도 PC들… ‘글로벌 IT 대란’ 발발
뉴욕 맨해튼 타임스스퀘어의 대형 전광판들에 블루 스크린이 깜빡이더니 하나둘 꺼져버리고, 스타벅스의 모바일 주문·결제가 먹통이 됐습니다. 전 세계 곳곳에서 동시다발로 항공기 운항이 중단되고, 방송과 통신, 의료, 금융, 물류, 제조 서비스가 마비됐습니다.
흡사 재난 영화의 한 장면 같은 순간이 전 세계에 펼쳐진 건, 지난 7월 18일이었습니다. 국가와 기업을 가리지 않고 멈춰 선 IT는 2~4일 내로 어느 정도 복구를 마쳤으나, 완전히 정상화되기까지는 몇 주가 더 걸릴 것이라고 전문가들은 내다봤습니다.
블루 스크린은 윈도 같은 마이크로소프트(MS)의 운영체제(OS)를 쓰는 컴퓨터에서 ‘치명적 오류 발생’과 같은 문제를 알리는 화면입니다. 같은 시각에 전 세계의 IT 시스템에 블루 스크린이 떴다가 꺼져버리자 각 기관에서는 해킹과 같은 사이버 공격이 아닐까 두려움에 떨었지만, 원인은 예상치 못한 곳에 있었습니다. 미국의 사이버 보안 업체 크라우드스트라이크(CrowdStrike)가 배포한 보안 프로그램이 업데이트되면서 MS 윈도 운영체제와 충돌해 무려 기기 850만 대에 블루 스크린이 뜨게 된 것입니다. 이 충돌이 세계 여러 기관과 기업의 시스템 서버 역할을 하는 MS 클라우드(애저) 상에서 발생하면서 피해를 키웠습니다.
단순한 클라우드 문제로 넘어가도 될까?
이번에 발생한 글로벌 IT 대란은 많은 소비자와 기업에 영향을 미치고 있으며 불편한 수준부터 심각한 수준의 서비스 중단까지 크고 작은 피해를 초래했습니다. 피해 금액이 10억 달러, 한화로 약 1조 4,000억 원을 넘길 수 있다는 예측이 나오고 있지만, 피해 보전의 주체를 파악하는 데 오랜 시간이 걸릴 것으로 보여 사후 처리는 쉽지 않을 것으로 전망됩니다.
사실, 그동안 우리나라에서도 이와 유사한 IT 대란 사례가 몇 차례 있었습니다. 지난해 4세대 교육행정정보시스템(NEIS·나이스)이 장애를 일으켜 학교 업무가 마비되었고, 우정사업본부의 차세대 금융 시스템과 차세대 사회보장 정보시스템 등 각 분야 공공 서비스 IT 서비스가 대규모 장애를 일으킨 사례도 적지 않았습니다. 다행히 우리나라는 크라우드스트라이크가 배포한 보안 프로그램 보급률이 낮아 이번 사태로 국내 기업·기관 피해가 크지는 않았지만, 디지털 ‘초연결 사회’에서 언제든 일어날 수 있는 사고라는 데서 경각심이 높아지는 이유입니다. 특정 업체 업데이트 오류 하나가 글로벌 여러 산업과 다수의 기업에 영향을 미쳤다는 점에서 기술 의존에 따른 리스크를 부각시켰습니다.
특히, 의료·교통·국방·치안 등 국민의 생명과 안전에 직결된 공공 서비스에서 IT 대란이 일어날 경우 피해 규모가 상상할 수도 없다는 걸 알고 있기에 더욱 강력한 대비책이 필요하다는 목소리가 큽니다. 마이크로소프트사 클라우드 애저와 연결된 시스템에서 집중적으로 발생한 사태이다 보니 클라우드 서비스를 제공하려는 국가나 지역에 자체 데이터센터를 구축하는 방법인 ‘소버린 클라우드(Sovereign Cloud), 즉 자국의 클라우드 구축이 필요한 시점이 아니냐는 여론이 일기도 했습니다.
IT 대란을 막는 안전한 국내 대비책, 방향은?
그러나 전문가들은 이번 사고가 외산 클라우드를 쓸 것이냐, 국산 클라우드를 쓸 것이냐의 문제는 아니라고 입을 모읍니다. 생성형 인공지능(AI) 발달로 초대규모 데이터 저장과 활용이 일상화된 상황에서 안전한 클라우드 관리 방법이 더욱 중요하다고 강조하고 있습니다.
이를 위해 동시에 둘 이상의 클라우드 제공업체의 서비스를 사용하는 ‘멀티 클라우드‘가 대안으로 떠오르고 있지만, 비용 문제뿐 아니라 각각의 클라우드에 연계된 데이터 및 애플리케이션 보안을 별도로 관리해야 하는 문제도 해결해야 할 과제입니다. 따라서 멀티 클라우드로 보안을 강화하면서 비용과 관리 문제도 최소화하기 위해서는 ‘MSP(Managed Service Provider)’의 역할이 중요합니다. MSP는 클라우드 도입 컨설팅부터 이전, 운영 관리, 보안 등 서비스를 지원하는 중간 관리 역할을 하는 업체를 말합니다.
공공기관의 보안 강화를 위해서는 이에 더해 정부의 인식 전환과 역량 강화도 요구됩니다. 한국지능정보사회진흥원(NIA)은 보고서를 통해 공공분야에서 초거대 AI 모델을 구축하고 운영하기 위해 MSP 역량을 확보한 전담 기관과 더불어 별도의 기술적 보안 및 정보보호 대책 마련의 필요성을 제기했습니다.
이번 사태에서 볼 수 있듯이 이제 글로벌 사회와 경제, 안보는 디지털화되어 근본적인 방식으로 서로 연결되어 있습니다. 그리고 이러한 초연결 사회의 장점 뒤에는 몇몇 프로그램과 통신 기술에 의존하는 거대한 보안 구멍이 숨겨져 있습니다. 편리함과 신속함에 취해 속수무책의 피해를 보지 않기 위해 IT 거버넌스를 관할하는 국가 차원의 강력한 보안 정책이 마련되길 기대합니다.
Hits: 70
댓글쓰기