[ET시론]MS 클라우드 장애가 던진 화두
지난달 마이크로소프트(MS) 윈도 상에서 실행되는 크라우드스트라이크의 보안 프로그램의 충돌로 장애 사태가 발생했다. 비행기 운항이 중단되고, 은행과 병원 시스템이 마비되는 등 전례 없는 규모의 전산 마비가 발생했으며, 아직 정확한 피해 규모를 정량화하기는 어렵지만 그 피해 규모가 수십억달러에 이를 것으로 추정된다. 'MS발 클라우드 장애'로 불리면서 초연결(Hyper-Connected) 시대에서 클라우드 환경에서의 보안이 얼마나 복잡하며, 중요한 과제인지를 극명하게 보여주는 계기가 되었다.
그러나 클라우드의 본질적 리스크라고 단정 짓는 견해는 경계해야 한다. 이번 장애는 온프레미스 시스템 상에서도 충분히 발생할 수 있는 서드파티 소프트웨어(SW)였던 크라우드스트라이크의 업데이트 결함으로 밝혀졌으며, 실제로 클라우드 환경이 아닌 곳에서도 이번 장애의 피해를 겪은 사례가 많다.
단, 클라우드가 초연결 시대를 급속하게 견인하고 있는 만큼 이번 장애를 바라보며 우리 클라우드·서비스형 SW(SaaS) 업계가 어떤 준비와 자세를 가져야할지 되돌아보는 계기를 마련하길 바라는 마음에 현 상황을 직시하고 이에 따른 제언을 하고자 한다.
우선 이번 장애 국면에서 우리나라의 피해가 최소화될 수 있었던 점은 우리나라 대부분의 클라우드 시스템이 국내 보안 솔루션을 사용했기에 가능했다는 것이다. 그동안 우리나라 보안 솔루션들의 우수한 성능이 국내 시장을 외산에 내주지 않고 있었던 그간의 선전의 혜택을 톡톡히 본 셈이다.
또 공공시장에서 클라우드 보안 인증(CSAP)으로 인한 보호 장치가 작동됐다는 분석도 설득력이 있다. CSAP는 국가·공공기관의 안전한 보안 시스템 구축을 위해 민간 기업이 공공부문에 클라우드 서비스를 공급할 때 갖춰야 할 필수 인증 요건으로, 2016년에 최초 도입됐고, 보안 솔루션 등의 SaaS 인증은 2019년 추가됐다.
CSAP가 단순히 외산의 진입장벽으로 작용한 측면을 떠나서 인증 과정에서 철저한 변경 관리를 검증하고 있으며, 이번 장애가 업데이트 과정에서의 충돌이 원인이었던 만큼 이런 요소가 국내 기업에는 상당한 수준의 표준으로 작동되었다는 의견이 지배적이다. 그간 일각에서 규제로만 인식돼 오던 CSAP가 우리나라 환경에 걸맞은 적절한 보안 및 장애 예방 체계로 작동되어 오고 있었다는 재평가가 가능한 시점이다.
마침 올해 4월 국가 인증 제도 전반에 대한 개선이 이루어지며 CSAP도 그간 업계의 목소리를 반영해 운용되고 있다. 최대 몇 천만원 수준의 과도한 인증비용과 복잡한 절차 때문에 개선 이전이었던 지난해 말 다수의 기업들이 인증 갱신을 포기하는 등 업계 부담이 컸다. 개선을 통해 인증 심사 기간을 대폭 줄이고 중소기업의 비용 혜택을 확대한 결과 실제로 개선안 발표 이후 전년 대비 2배 이상의 기업들이 신규 인증을 획득했다. (2023년 11개→2024년 23개, 5-8월 기준)
한국소프트웨어산업협회(KOSA) 산하 SaaS추진협의회 기업들 중에서도 인증에 대한 부담이 한결 경감됐다는 분위기가 감지된다. 특히 심사 기간의 단축이 가져다주는 시너지에 대한 기대가 크다. 이전에는 개발 초기부터 길어질 심사 기간으로 인해 인증에 대한 고려 없이 우선 서비스 개발에 초점을 뒀지만, 짧은 심사 기간이 보장된다면 개발 단계 중에도 인증을 염두에 둘 수 있는 2차 효과를 기대할 수 있다는 반응이다. 다만 SaaS 전문 기업들은 심사기간이 단축된다 하더라도 여전히 인증 준비 기간과 비용이 녹록지 않아 기술 지원과 교육 등이 대폭 확대되어야 CSAP를 활성화 시킬 수 있다고 보고 있다.
또 한 가지 주목해야할 전략은 '멀티 클라우드 확산'이다. 멀티 클라우드는 여러 클라우드 제공자의 서비스를 동시에 이용하여 특정 클라우드 서비스의 장애나 보안 문제로 인한 리스크를 분산시키는 방법이다. 정부에서도 이번 장애 이후 멀티 클라우드 확산에 보다 많은 관심을 두는 분위기다.
그간 막대한 비용과 비효율이라는 인식으로 인해 멀티 클라우드 도입은 지지부진했지만 이번 장애로 인해 획기적인 인식 전환이 됐다. SaaS 기업 입장에서는 장애 대응 전략뿐만 아니라 시장을 확대할 수 있는 효과적인 전략이다. 자사의 서비스를 다양한 클라우드 인프라 환경에 맞게 탑재할 수 있다면 국내 공공시장과 글로벌 시장을 동시에 공략할 수 있기 때문이다.
다만 상당한 비용이 수반되는 전략인 만큼 정부와 빅 테크 차원에서 지원 정책들이 필요하다. 기존 패키지형 SW를 SaaS로 전환시키기 위해 필수적으로 요구되는 컨테이너화의 표준화 가이드를 마련하고 투자 여력이 미흡한 중소기업에 다양한 지원을 병행해 멀티 클라우드 확산을 추진해야 한다.
아울러 최근 CSAP 인증 개선에 포함된 사항 중 SaaS 기업이 기존 인프라에 탑재된 서비스를 타 인프라에 탑재하고자 할 때의 인증 요건을 완화하는 내용이 포함돼 멀티 클라우드 확산에 기여할 수 있는 여건이 마련되었 듯이 이에 대한 제도적, 정책적 고민이 지속돼야 한다.
디지털 대전환과 초연결 시대를 살고 있는 현시점에서 우리나라는 꽤 오랜 기간 동안 클라우드의 중요성을 강조해왔고 또 부단한 노력도 있었다. 필자가 이끌고 있는 KOSA에서도 이런 글로벌 대세적 흐름에 부응하고자 SaaS추진협의회를 설립하여 '소프트웨어의 서비스화' 정책을 추진해 왔다.
앞서 살펴본 대로 우리는 그간 나름의 준비 속에서 꽤 견고한 체계를 만들어 오고 있었고, 경쟁력을 차곡차곡 쌓아왔다. 대한민국 정부와 SW 기업들이 글로벌 빅테크들의 선점 효과와 규모에 주눅 들지 않고 우리가 할 수 있는 것들을 먼저 해오고 있었던 결과다. 그러나 아직 갈 길이 많이 남아 있는 현시점에서 MS 클라우드 장애가 주는 교훈은 적지 않다.
인류의 모든 역사에서 신기술이 도입될 때마다 인류는 기술의 위협을 걱정했다. 근현대에는 전기와 전화, 컴퓨터와 인터넷이 그러했으며 이제는 클라우드의 초연결과 인공지능(AI)이 가져올 위기를 우려하고 있다. 혹자들은 이번 사태가 보안 우려로 클라우드 확산에 악영향이 있을 것이라는 전망을 내놓고 있지만 이를 클라우드의 본질적인 문제로 왜곡해서는 안 된다. 여전히 클라우드는 우리가 앞으로 나가야 할 방향이고 필수 과제다. 그간 준비해오던 것들을 흔들림 없이 추진하되, 타산지석의 자세로 면밀한 점검과 후속 대책을 마련해야 한다.
'클라우드의 불안함'에 집중하기보다 '이번 사태에서도 우리가 견고했던 이유와 더 철저히 준비해야 할 것들'을 더 주목해 보자.
조준희 한국소프트웨어산업협회 회장 jhjoh@sw.or.kr
〈필자〉 2001년 유라클을 창업해 23년 동안 대표이사직을 수행하고 있는 소프트웨어(SW) 기업가다. 2021년부터 법정단체 한국소프트웨어산업협회 제18대·19대 회장을 연임하며 SW산업 발전과 생태계 개선을 위해 앞장서고 있다. 2022년 대통령 직속 디지털플랫폼정부위원회 산업생태계분과위원장직을 맡은데 이어 2023년 민관협력 글로벌DPG얼라이언스 초대 의장, 2024년 AI전략최고협의회 위원에 임명됐다. 또한 국가과학기술자문회의 자문위원, 국무총리실 산하 데이터기반행정활성화위원회 위원, 벤처기업협회 수석부회장, 재단법인 이노베이션아카데미 사외이사, 한국과학기술단체총연합회 부회장, 한국공학한림원 회원 등 SW와 정보통신기술(ICT) 산업 발전을 위해 활발한 정책활동을 하고 있다.
Copyright © 전자신문. 무단전재 및 재배포 금지.
- [단독]'카카오 기프티콘'도 티메프 사태 물렸다…본죽·할리스 등 '먹통'
- 최대 전력수요 97.1GW…연일 역대 최고 경신
- 제네시스 GV60, 4년 만에 '페이스리프트'…내년 2월 양산
- '힌남노'급 태풍, 2050년에는 2~3년 주기로 찾아온다
- 참전용사에게 90도 인사한 한 청년의 감동 사연 [숏폼]
- 中 호텔 문 열고 들어온 '불곰' 손님에 직원 '깜짝'
- “자식보다 낫다”… 반려동물에 거액 유산 남기는 부자들
- 공장 풀가동하는 조선사…'납기 지연 고착화'는 없다
- 스위프트가 트럼프 지지?… 트럼프, AI 가짜사진 올려 논란
- 인텍플러스, 대만 파운드리 기업에 기판 검사장비 공급