세계 멈춘 IT 대란…안전지대 아닌 한국 공공시스템의 대비책은
(서울=연합뉴스) 조성미 기자 = 사이버 보안업체 크라우드스트라이크가 배포한 보안 프로그램이 MS 윈도와 충돌하면서 일어난 글로벌 정보기술(IT) 대란 사태에서 다행히 국내 기업·기관은 큰 피해를 보지 않았다.
하지만 디지털 '초연결 사회'에서 언제든 일어날 수 있는 사고라는 데서 경각심이 높아지고 있다.
특히, 의료·교통·국방·치안 등 국민의 생명, 안전과 직결된 공공 서비스에서 IT 대란이 일어날 경우 피해가 걷잡을 수 없이 커진다는 점에서 사전에 문제점을 짚고 대비해야 한다는 지적이 나온다.
우리나라에서는 지난해 4세대 교육행정정보시스템(NEIS·나이스)이 장애를 일으켜 학교 업무가 마비되거나 우정사업본부 차세대 금융 시스템, 차세대 사회보장 정보시스템 등 각 분야 공공 서비스 IT 서비스가 대규모 장애를 일으켰던 선례가 다수 있어 더 촘촘한 대비책이 요구된다.
◇ "소버린 클라우드 능사 아니다"…그러면 멀티 클라우드?
지난주 글로벌 IT 대란이 마이크로소프트사 클라우드 애저와 연결된 시스템에서 집중적으로 발생하다 보니 외산 클라우드가 아닌 국산 클라우드, 이른바 '소버린 클라우드' 구축과 소비에 공을 들여야 한다는 여론이 일었다.
하지만, IT·보안업계 전문가들은 이번 사고는 외산 또는 국산 클라우드 사용과 관계된 문제는 아니라고 선을 그었다.
국내에서 일부 항공사, 게임사 등 기업 10곳만 영향받았을 정도로 피해가 미미했던 것은 우연하게도 문제를 일으킨 크라우드스트라이크가 배포한 보안 프로그램 '펠컨 센서' 국내 도입률이 낮았을 뿐이라는 분석에서다.
마이크로소프트라는 거대 IT 기업도 걸러내지 못한 허점이 촉발한 사고인 만큼 특정한 클라우드, 보안 제품을 피해 쓴다고 해서 막을 수 있는 차원이 아니었다고 IT·보안업계 전문가들은 설명했다.
생성형 인공지능(AI) 발달로 초대규모 데이터 저장·활용이 일상화하면서 더 이상 폐쇄적 망 사용보다 클라우드를 활용하는 것이 대세인 상황에서 필요한 대책은 국산 클라우드가 아니라 '안전한 클라우드 관리 방법'이란 이야기다.
특히 '멀티 클라우드' 즉 동시에 둘 이상의 클라우드 제공업체의 서비스를 사용하면서 한쪽에서 문제가 터질 가능성에 대비하는 환경을 구축하는 것이 대안으로 주목받는다.
생산성 앱으로 마이크로소프트 365, 스토리지 용도로 구글 드라이브, 컴퓨팅 서비스를 위해 AWS를 사용하는 식이다.
하지만, 멀티 클라우드 환경은 비용 부담이 커지는 문제가 있다.
클라우드 컴퓨팅 및 가상화 소프트웨어 기업 VM웨어 조사에 따르면 멀티 클라우드를 쓰는 조직의 76%가 클라우드 비용으로 어려움을 겪는다고 대답했다.
비용 문제뿐 아니라 각각의 클라우드에 연계된 데이터 및 애플리케이션 보안을 각각 관리해야 하는 문제도 있다. 보안 강화와 사고 예방을 위해 쓰는 멀티 클라우드 환경이 오히려 IT 대란으로 이어질 수 있는 '구멍'이 될 가능성도 있다는 역설이다.
◇ "공공 IT 시스템 총괄할 '정부 CTO' 필요"
멀티 클라우드 환경을 안전하게 쓰면서 최적화로 비용 문제도 최소화하려면 클라우드 도입 컨설팅부터 이전, 운영 관리, 보안 등 서비스를 지원하는 MSP(Managed Service Provider)라는 중간 관리 업체 역할이 중요하다는 평가다.
MSP 역할이 커지면서 KT나 삼성 SDS, LG CNS 등 국내 대기업 계열 SI(System Integration) 업계들도 MSP 사업에 공을 들이는 중이다.
이들은 공공 소프트웨어 시장에 진출하며 정부 발주 사업에서도 사업 영역을 확장하려고 시도 중이다.
다만, 이들 MSP 역할만으로 IT 시스템에서 일어날 수 있는 대규모 재난 상황을 사전 예방할 수 있는지 의문을 표하는 목소리들도 있다.
업계 사정을 잘 아는 한 전문가는 "행정안전부 주도 공공 소프트웨어 사업 발주자 진영이 대기업을 선호하는데 이번 사태에서 보듯 마이크로소프트 같은 대기업도 사고를 못 막는 상황"이라며 "대기업이라고 뭔가 보증하는 것이 아니라고 보면 결국 발주자인 정부의 인식 전환과 역량이 문제가 된다"고 말했다.
클라우드 업계 한 관계자는 "우리나라 정부 부처나 기관은 시스템 구축과 운영 발주를 따로 하다 보니 시스템에서 문제가 발생해도 해결할 수 있는 역량과 정보, 인력이 사라진 상태가 자주 나타나고 비슷한 공공 서비스 IT 시스템도 각 부처나 기관 단위로 예산을 편성하고 알아서 개발, 운영하는 관례도 상당했다"고 지적했다.
그는 "이를 해소하기 위해 만든 것이 디지털플랫폼정부 위원회이지만 계획이 예산에 반영되기까지 1∼2년이 소요되고 상설 조직이 아닌 한계도 있는 듯하다"며 "영국, 싱가포르의 사례처럼 IT 거버넌스 체계를 관할하는 국가 차원의 최고 기술 경영자(CTO) 역할이 필요하다"고 말했다.
한국지능정보사회진흥원(NIA)은 지난달 펴낸 '공공분야 초거대 AI 활용을 위한 공공 데이터 주권 클라우드 적용 방향' 보고서에서 "공공분야에서 초거대 AI 모델을 구축하고 운영하기 위해 MSP 역량을 확보한 전담 기관을 고려할 필요가 있다"고 제언했다.
또 "클라우드 기술의 장점만을 취하려다 오히려 보안 구멍으로 인하여 잃는 것이 더 많은 우를 범하지 않기 위해 기술적 보안 및 정보보호 대책을 별도로 강구할 필요가 있다"고 덧붙였다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
(서울=연합뉴스) 조성미 기자 = 사이버 보안업체 크라우드스트라이크가 배포한 보안 프로그램이 MS 윈도와 충돌하면서 일어난 글로벌 정보기술(IT) 대란 사태에서 다행히 국내 기업·기관은 큰 피해를 보지 않았다.
하지만 디지털 '초연결 사회'에서 언제든 일어날 수 있는 사고라는 데서 경각심이 높아지고 있다.
특히, 의료·교통·국방·치안 등 국민의 생명, 안전과 직결된 공공 서비스에서 IT 대란이 일어날 경우 피해가 걷잡을 수 없이 커진다는 점에서 사전에 문제점을 짚고 대비해야 한다는 지적이 나온다.
우리나라에서는 지난해 4세대 교육행정정보시스템(NEIS·나이스)이 장애를 일으켜 학교 업무가 마비되거나 우정사업본부 차세대 금융 시스템, 차세대 사회보장 정보시스템 등 각 분야 공공 서비스 IT 서비스가 대규모 장애를 일으켰던 선례가 다수 있어 더 촘촘한 대비책이 요구된다.
◇ "소버린 클라우드 능사 아니다"…그러면 멀티 클라우드?
지난주 글로벌 IT 대란이 마이크로소프트사 클라우드 애저와 연결된 시스템에서 집중적으로 발생하다 보니 외산 클라우드가 아닌 국산 클라우드, 이른바 '소버린 클라우드' 구축과 소비에 공을 들여야 한다는 여론이 일었다.
하지만, IT·보안업계 전문가들은 이번 사고는 외산 또는 국산 클라우드 사용과 관계된 문제는 아니라고 선을 그었다.
국내에서 일부 항공사, 게임사 등 기업 10곳만 영향받았을 정도로 피해가 미미했던 것은 우연하게도 문제를 일으킨 크라우드스트라이크가 배포한 보안 프로그램 '펠컨 센서' 국내 도입률이 낮았을 뿐이라는 분석에서다.
마이크로소프트라는 거대 IT 기업도 걸러내지 못한 허점이 촉발한 사고인 만큼 특정한 클라우드, 보안 제품을 피해 쓴다고 해서 막을 수 있는 차원이 아니었다고 IT·보안업계 전문가들은 설명했다.
생성형 인공지능(AI) 발달로 초대규모 데이터 저장·활용이 일상화하면서 더 이상 폐쇄적 망 사용보다 클라우드를 활용하는 것이 대세인 상황에서 필요한 대책은 국산 클라우드가 아니라 '안전한 클라우드 관리 방법'이란 이야기다.
특히 '멀티 클라우드' 즉 동시에 둘 이상의 클라우드 제공업체의 서비스를 사용하면서 한쪽에서 문제가 터질 가능성에 대비하는 환경을 구축하는 것이 대안으로 주목받는다.
생산성 앱으로 마이크로소프트 365, 스토리지 용도로 구글 드라이브, 컴퓨팅 서비스를 위해 AWS를 사용하는 식이다.
하지만, 멀티 클라우드 환경은 비용 부담이 커지는 문제가 있다.
클라우드 컴퓨팅 및 가상화 소프트웨어 기업 VM웨어 조사에 따르면 멀티 클라우드를 쓰는 조직의 76%가 클라우드 비용으로 어려움을 겪는다고 대답했다.
비용 문제뿐 아니라 각각의 클라우드에 연계된 데이터 및 애플리케이션 보안을 각각 관리해야 하는 문제도 있다. 보안 강화와 사고 예방을 위해 쓰는 멀티 클라우드 환경이 오히려 IT 대란으로 이어질 수 있는 '구멍'이 될 가능성도 있다는 역설이다.
◇ "공공 IT 시스템 총괄할 '정부 CTO' 필요"
멀티 클라우드 환경을 안전하게 쓰면서 최적화로 비용 문제도 최소화하려면 클라우드 도입 컨설팅부터 이전, 운영 관리, 보안 등 서비스를 지원하는 MSP(Managed Service Provider)라는 중간 관리 업체 역할이 중요하다는 평가다.
MSP 역할이 커지면서 KT나 삼성 SDS, LG CNS 등 국내 대기업 계열 SI(System Integration) 업계들도 MSP 사업에 공을 들이는 중이다.
이들은 공공 소프트웨어 시장에 진출하며 정부 발주 사업에서도 사업 영역을 확장하려고 시도 중이다.
다만, 이들 MSP 역할만으로 IT 시스템에서 일어날 수 있는 대규모 재난 상황을 사전 예방할 수 있는지 의문을 표하는 목소리들도 있다.
업계 사정을 잘 아는 한 전문가는 "행정안전부 주도 공공 소프트웨어 사업 발주자 진영이 대기업을 선호하는데 이번 사태에서 보듯 마이크로소프트 같은 대기업도 사고를 못 막는 상황"이라며 "대기업이라고 뭔가 보증하는 것이 아니라고 보면 결국 발주자인 정부의 인식 전환과 역량이 문제가 된다"고 말했다.
클라우드 업계 한 관계자는 "우리나라 정부 부처나 기관은 시스템 구축과 운영 발주를 따로 하다 보니 시스템에서 문제가 발생해도 해결할 수 있는 역량과 정보, 인력이 사라진 상태가 자주 나타나고 비슷한 공공 서비스 IT 시스템도 각 부처나 기관 단위로 예산을 편성하고 알아서 개발, 운영하는 관례도 상당했다"고 지적했다.
그는 "이를 해소하기 위해 만든 것이 디지털플랫폼정부 위원회이지만 계획이 예산에 반영되기까지 1∼2년이 소요되고 상설 조직이 아닌 한계도 있는 듯하다"며 "영국, 싱가포르의 사례처럼 IT 거버넌스 체계를 관할하는 국가 차원의 최고 기술 경영자(CTO) 역할이 필요하다"고 말했다.
한국지능정보사회진흥원(NIA)은 지난달 펴낸 '공공분야 초거대 AI 활용을 위한 공공 데이터 주권 클라우드 적용 방향' 보고서에서 "공공분야에서 초거대 AI 모델을 구축하고 운영하기 위해 MSP 역량을 확보한 전담 기관을 고려할 필요가 있다"고 제언했다.
또 "클라우드 기술의 장점만을 취하려다 오히려 보안 구멍으로 인하여 잃는 것이 더 많은 우를 범하지 않기 위해 기술적 보안 및 정보보호 대책을 별도로 강구할 필요가 있다"고 덧붙였다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스
