대전 국가정보자원관리원 전산실 화재로 정부 전산망이 마비되면서 '인공지능(AI) 강국, 디지털 정부'라는 국가 비전이 무색해졌다는 비판이 나온다. 2022년 카카오톡 '먹통' 사태, 2023년 11월 정부 행정 전산망 마비를 겪고도 바뀐 게 없다는 지적이다. 우리나라도 미국처럼 민간 클라우드를 활용해 전산망 이중화(백업)를 하고, 클라우드 제도를 재정비해 디지털 인프라를 강화해야 한다는 목소리가 커지고 있다.
29일 정부에 따르면 행정안전부 산하 국정자원 대전 본원에서 지난 26일 밤 발생한 리튬이온 배터리 화재로 시스템 96개가 전소되면서 주말 사이 모바일 신분증 발급, 우체국 택배·금융서비스, 정부24, 국민신문고 등 각종 온라인 행정·민원 서비스 647개가 일제히 멈춰 섰다. 데이터를 보관하는 국정자원 클라우드 환경의 이중화가 제대로 이뤄지지 않아 문제가 커진 것으로 드러났다.
전문가들은 화재, 지진 등 재난 상황이 벌어지더라도 전산망이 마비되지 않는 재난복구(DR) 환경을 구축해야 한다고 강조했다. 예상치 못한 장애가 발생했을 때 데이터 백업을 하는 데 그치지 않고 24시간 365일 서비스가 끊기지 않도록 데이터센터 이중화 체계를 마련해야 한다는 것이다. 그러려면 정부가 2개 이상의 서버가 동시 가동되는 '액티브 액티브(Active-Active)' 방식을 서둘러 도입하고, 민간 클라우드 서비스를 활용해야 한다고 조언했다. DR 시스템을 정기적으로 점검하는 훈련을 시행하고 관련 인재도 고용·육성해야 한다는 의견도 나왔다.
화재가 난 전산실은 국정자원이 자체 운영하는 'G-클라우드 존'으로, 서버와 클라우드 DR 시스템이 모두 필요한 환경이다. 국정자원은 서버 DR 시스템은 갖추고 있지만, 클라우드 DR 시스템을 구축하지 못해 '반쪽짜리'에 불과했다. 대전 본원은 공주 백업센터와 클라우드 이중화를 하려고 했으나 예산 문제로 진척이 늦어졌다. 지난 2022년 10월 카카오(035720) 판교 데이터센터 화재 사태로 카카오톡이 먹통됐을 때도 시스템 이중화 미비가 근본 원인으로 지목됐는데, 유사한 문제가 정부에서도 발생한 것이다.
염흥열 순천향대 정보보호학과 명예교수는 "정부가 예산을 투입해 '액티브-액티브 방식의 이원화 체계를 구축해야 한다"고 말했다. 액티브-액티브 DR 시스템은 2개의 데이터센터가 동시에 가동되는 구조로, 한쪽에서 장애가 발생해도 다른 쪽에서 즉시 서비스를 이어받아 중단 없이 운영할 수 있는 체계다. 대부분의 통신 사업자들은 액티브-액티브 방식의 이원화 기법을 사용 중이다. 평소에는 데이터 백업만 하다가 장애가 생기면 복구를 시작하는 '액티브 스탠바이' DR 시스템(서버 하나는 대기 상태)보다 신속한 대응에 나설 수 있다.
정부는 2023년 행정 전산망 마비 사태 이후 액티브-액티브 DR 시스템 개발하겠다고 선언했지만, 정작 해당 시스템을 적용하기로 한 공주센터는 예산 문제로 공사가 지연되면서 개소가 올 10~11월로 2년 이상 미뤄졌다.
염 교수는 "액티브-액티브 체계를 구축하려면 한 센터에서 두 세트의 장비가 필요하고, 다른 센터에도 동일하게 두 세트의 장비가 필요하다 보니 총 네 세트의 통신·보안·서버·스토리지 장비를 갖춰야 한다"며 "이를 위한 예산을 확보해야 할 뿐만 아니라 실시간으로 잘 구동이 되는지 확인하기 위해 평소 전환 훈련을 시행하고 이를 관리할 인원도 확충해야 한다"고 설명했다. 미국 상무부 산하 국립표준기술연구소(NIST)에 따르면 미 정부는 여러 지역의 데이터센터를 활용해 데이터 이중화를 의무화하고 있다.
민간 기업 중에는 넷플릭스가 '카오스 몽키(Chaos Monkey)'라는 백업 체계 검증 제도를 운영하는데, 시스템에 의도적으로 장애를 일으켜 복원력을 실험하는 방식이다. 이준석 개혁신당 대표는 전날 카오스 몽키를 예시로 들면서 "정부 기관도 정기적으로 시스템의 취약점을 테스트하고 개선하는 문화가 정착돼야 한다"고 했다.
정부가 미국처럼 민간 클라우드 서비스를 활용해야 한다는 의견도 나온다. 정부가 자체적으로 강력한 안전망을 갖춘 DR 시스템을 구축하는 게 이상적이지만, 예산과 고급 인력 부족 문제를 고려했을 때 필요한 부분에서는 기술력이 뛰어난 민간 기업과 손잡는 게 더 효율적이라는 설명이다.
미국은 2019년 시행한 '클라우드 스마트(Cloud Smart)' 정책을 통해 공공기관 클라우드 서비스 도입에 박차를 가하고 있다. 오바마 행정부 시절인 2010년 도입한 '클라우드 퍼스트' 정책의 후속편으로, 연방정부 기관들이 원하는 클라우드 사업자를 고를 수 있는 선택권을 준다. 이 정책에 따라 정부 클라우드 보안 인증 프로그램인 '페드람프(FedRAMP)'를 통과한 민간 클라우드 서비스 사업자(CSP)는 공공기관에 클라우드 서비스를 제공할 수 있다. 미 국방부와 중앙정보국(CIA)은 아마존웹서비스(AWS)의 클라우드를 도입했고, 국방물류청(DLA)은 구글 클라우드와 계약을 맺었다. 마이크로소프트(MS)는 미 연방총무청(GSA)에 클라우드 서비스를 제공하고 있다.
시장조사업체 포레스터에 따르면 미 연방 기관 IT 책임자의 약 80%가 공공과 민간 클라우드를 동시 활용하는 '하이브리드 클라우드'를 사용 중이라고 답했다. 보안이 중요한 핵심 시스템은 공공 클라우드에서, 민원 서비스와 같은 일반 업무 시스템은 인증 받은 민간 클라우드에서 운영하는 하이브리드 방식이다.
전문가들은 우리나라도 단일 사업자와 단일 데이터센터에 집중된 구조가 아닌 멀티리전·멀티클라우드 기반의 분산 복구 체계를 도입하려면 클라우드 보안 제도를 보완해야 한다고 지적했다. 김승주 고려대 정보보호대학원 교수는 "우리나라는 정부가 민간 클라우드를 이용하려면 국정원의 PPP(민관협력형) 보안 인증이나 과학기술정통부의 CSAP(클라우드 보안인증) '상' 인증을 받아야 한다"며 "PPP 인증은 삼성SDS와 KT가 받았지만 사실상 개점휴업 상태고 CSAP 인증은 제도가 아직 구체적으로 마련되지 않았다"고 했다.
국정자원은 대전·광주·대구 3개 센터에서 1600여개 전산 시스템을 분산 운영하고 있지만, 일부만 재난복구 체계를 갖추고 있어 전체 서비스가 정상화되려면 2주 이상 걸릴 것으로 예상된다. 이날 행안부 관계자는 "화재로 전소된 96개 주요 정보시스템을 대구센터로 옮겨 복구하는 데는 약 4주가 걸릴 것"이라고 밝혔다.