[테크&포커스] 우르르 넘어지는 SW 생태계… 다변화로 복원력 갖춰야

클라우드 시스템 취약성 등 거론
멀티·하이브리드 환경구축 강조
국내 CSP로 장애대응 신속해야

세계적으로 유례없이 광범위한 IT대란이 지난 19일 발생하면서 비행기가 뜨지 못하고 금융·의료 서비스 등도 차질을 빚었다. 미국·유럽 등과 달리 국내 피해는 비교적 경미했지만 현대 디지털 사회에 경종을 울린 점은 같다. IT거버넌스 재정비 등을 위한 '타산지석'으로 삼아야 한다는 목소리가 높아지는 가운데, 국산 클라우드 인프라의 필요성도 재조명되고 있다.

◇전 세계 윈도우 기기 850만대 영향

이번 글로벌 IT대란은 마이크로소프트(MS) 애저 클라우드 서비스와 연결된 윈도우 기반 기기 중 크라우드스트라이크의 엔드포인트 보안 솔루션 '팰콘' 제품군이 깔린 곳들에서 블루스크린(BSOD)이 뜨면서 발생했다. 크라우드스트라이크의 소프트웨어(SW) 업데이트가 윈도우 운영체제(OS)와 충돌한 것이 원인으로 파악됐다.

MS는 20일(현지시간) 자사 블로그를 통해 이번 사태로 영향을 받은 기기가 850만대로 추정된다고 밝혔다. 이는 윈도우 OS로 구동되는 전체 시스템 가운데 1% 미만에 해당한다. 회사 측은 "비율은 적지만 광범위한 경제적·사회적 영향이 발생한 것은 핵심 서비스를 운영하는 많은 기업들이 크라우드스트라이크 시스템을 사용하고 있음을 보여준다"고 언급했다.

이와 관련해 과학기술정보통신부는 게임사 펄어비스·그라비티 등 국내 10개 기업에서 피해가 확인됐다고 발표했다. 발권·예약 오류를 겪었던 제주항공·이스타항공·에어프레미아 국적 저가항공사(LCC) 3사는 12시간 만에 서비스를 모두 복구했다. 국내의 경우 MS 애저 서비스와 크라우드스트라이크 솔루션 이용 비중이 해외보다 낮아 피해가 덜한 것으로 평가된다.

과기정통부에 따르면 주요통신사업자 26개사에는 영향이 없는 것으로 파악됐다. 이에 해당되는 SK텔레콤·KT·LG유플러스 등 기간통신 11개사, 네이버·카카오·구글 등 부가통신 7개사, SK브로드밴드·네이버클라우드 등 데이터센터 8개사에선 이번 사태로 인한 피해가 발생하지 않았다.

◇글로벌 엔드포인트 보안리더의 실수

2011년 설립된 글로벌 보안기업인 크라우드스트라이크는 클라우드 기반 엔드포인트 보안 분야에서 리더 중 하나로 꼽히는 기업이다. 2016년 미국 대선을 앞두고 러시아 정부 지원 해커그룹이 민주당 측 시스템에 침입한 것을 잡아내 이름을 높였으며, 현재 포춘 500대 기업의 절반가량을 포함해 2만9000여 곳의 기업고객을 확보했다. 이 회사의 대표 솔루션인 '팰콘' 제품군은 PC 등 엔드포인트 단말의 보호에 쓰인다.

크라우드스트라이크에 따르면 사건 당일 회사는 윈도우 시스템에 대한 센서 구성 업데이트를 릴리스했다. 이런 패치는 팰콘 플랫폼의 동적 보호 메커니즘을 위해 지속적으로 이뤄지며, 회사가 발견한 새로운 전술과 기술·절차에 대응하기 위함이다. 다만 이번에는 논리 오류가 발생, 윈도우 시스템과 충돌을 일으켰다.

크라우드스트라이크는 약 1시간 반 만에 이를 수정했다고 한다. 회사 측은 "프로세스를 강화하기 위한 모든 개선사항을 파악하기 위해 최선을 다하고 있다. 조사가 진행됨에 따라 근본 원인 분석 결과를 업데이트할 예정"이라고 전했다. 다만 미국 IT매체 디인포메이션은 크라우드스트라이크의 위기가 이 분야 라이벌들에게 공격 기회를 제공했다고 평했다.

◇타산지석 삼아 거버넌스 살펴야

일각에선 이번 사태를 두고 단일장애지점(SPOF) 문제, 즉 하나의 결함으로 인해 전체 시스템에 영향을 줄 수 있는 클라우드 기반 시스템 구조의 취약성을 드러냈다고 거론하기도 한다. 전문가들이 주로 지적하는 것은 SW공급망과 생태계 문제다. 글로벌 보안기업 소나타입에 따르면 주요 기업들의 SW공급망은 일반적으로 1만개 이상 SW벤더로 구성된다. 도미노처럼 무너질 수 있는 이런 생태계의 관리·보안 수준이 관건이 되는 셈이다.

염흥열 순천향대 정보보호학과 교수는 "결국 기본적인 패치관리가 안 돼 벌어진 사태로 추정한다. SW 개발·배포 시 기존 시스템에 부정적인 영향이 발생하지 않게끔 선행돼야할 여러 시험과 평가가 미비했던 것으로 보인다"며 "커널을 건드려 롤백이 안되다보니 사태가 확산된 측면도 있다. 보안SW가 역으로 사이버보안에 악영향을 준 셈"이라고 설명했다.

이어 염 교수는 "정책과 검증 절차에 문제가 있었다고 볼 수밖에 없다. 이런 문제 발생을 막을 수 있도록 정보보호관리체계 등을 포함해 IT거버넌스를 다져야 사이버 회복력을 기대할 수 있다"며 "MS 또한 이번 사태로 윈도우 OS의 사이버 회복력 제고를 위한 개선이 필요할 것"이라고 부연했다.

한편 MS 측은 이날 블로그를 통해 "이 사건은 글로벌 클라우드서비스제공사(CSP), SW플랫폼, 보안 및 기타 SW벤더, 고객 등 광범위한 생태계가 서로 연결돼있음을 보여준다"며 "기술 생태계 전반에 걸쳐 우리 모두가 현존하는 메커니즘을 사용해 안전한 SW 배포와 재해복구(DR)를 우선시하는 게 얼마나 중요한지도 일깨워준다"고 밝혔다.

◇멀티·하이브리드 환경 필요성 재조명

이미 클라우드를 포함한 디지털전환(DX)이 대세를 이루는 가운데, 이런 사태를 방지하기 위한 위험 분산의 필요성도 높아진다. 대표적으로 멀티·하이브리드 클라우드 환경 구성이 제시된다. 특정 SW나 서비스에 문제가 발생해도 대응할 수 있는 사이버 복원력을 갖춰야 한다는 지적이다.

이와 관련해 국산 클라우드 서비스의 필요성도 재조명된다. 글로벌 클라우드 서비스에 대한 관리형서비스제공사(MSP)들의 핵심 시스템 접근·관리에도 한계가 있으므로, 글로벌 CSP보다 신속한 기술지원과 장애대응을 앞세우는 국내 CSP를 함께 이용함으로써 위험을 분산시킬 수 있다는 주장이다. 하지만 국내 CSP들은 이미 외산 CSP들이 장악한 시장 상황에 더해 공공부문의 민간 클라우드 도입도 더뎌지면서 기를 못 펴는 실정이다.

국내 클라우드 업계 관계자는 "클라우드는 AI 도입·활용을 위해서도 필수적인 인프라가 되고 있다. 이번 사태와 같은 문제를 예방하기 위해서는 멀티·하이브리드 클라우드를 적극적으로 고려할 필요가 있다"며 "이번 일을 통해 소버린 클라우드의 필요성에 대한 인식도 높아질 수 있기를 바란다"고 덧붙였다.팽동현기자 dhp@dt.co.kr