■ 방송 : CBS 라디오 <김현정의 뉴스쇼> FM 98.1 (07:20~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 김승주 (고려대 정보보호대학원 교수)
지난 금요일이었습니다. 정부의 온라인 민원서비스 홈페이지 정부 24가 멈춰 섰습니다. 처음에는 공무원 전용 행정전산망, 새올이 장애를 일으키면서 문제가 시작된 건데 시간이 지나면서 상황이 악화가 돼서 국민들이 쓰는 온라인 민원 서류 서비스까지 전면 중단된 거죠. 초유의 사태였습니다. 정부 24에서 쓰이던, 제공하던 서비스가 무려 1327종에 이릅니다. 주민등록 초본, 등본 떼는 거는 물론이고 토지대장 신청, 여권 신청, 납세 관련 업무, 하다못해 졸업증명서 신청 다 여기서 하는 거였어요. 이게 멈추다 보니까 금요일에 큰 혼란이 있었고 토요일에 임시 개통이 됐긴 했습니다만 어제 완전 복구가 될 때까지 상당한 혼란이 지속이 됐죠. 도대체 왜 이런 일이 발생했는지 그리고 재발을 막으려면 어떻게 해야 되는지 오늘 전문가와 함께 짚어보겠습니다. 고려대 정보보호대학원 김승주 교수 만나보죠. 교수님 나와 계십니까?
◆ 김승주> 네, 안녕하십니까
◇ 김현정> 행정전산망 지금 상태는 어떤 건가요?
◆ 김승주> 일단 어저께 행안부가 보도자료를 냈고요. 급하게 해결을 해서 지금으로서는 잘 돌아가는 걸로 보인다. 그런데 월요일이 되면 대규모로 사용자가 몰릴 것이고 그때까지 한번 두고 봐야 되겠다. 이렇게 일단 발표는 했습니다.
◇ 김현정> 아니, 문제가 금요일에 발생하고 나서 전문 인력 100여 명이 투입이 됐다는데 복구까지 왜 이렇게 오래 걸린 거예요?
◆ 김승주> 이게 사실은 잘 이해가 안 됩니다. 그러니까 행정안전부는 보도자료를 어저께 긴급으로 내면서 GPKI라고 하는 인증시스템이 있었는데 그 GPKI 인증 시스템 앞단에 있는 네트워크 장비가 오류가 생겼다. 그래서 문제가 발생했다. 이렇게 얘기하고 있습니다.
◇ 김현정> 그러니까 공무원들이 출근해서 전산망에 들어갈 때 다 로그인하고 들어가는데 인증을 해야 되잖아요. 인증을 받아야 되는데 그 시스템에 문제가 있었다. 이렇게 설명한 거죠.
◆ 김승주> 그러니까 GPKI 인증시스템은 공무원들이 쓰는 공인인증 서비스 얘기합니다. 이제 그 앞단에 네트워크 장비가 하나 더 있는데 그 네트워크 장비를 업데이트하다가 문제가 생겼다. 그 네트워크 장비가 문제가 생기니까 인증시스템에 접속이 안 되는 거죠. 그러다 보니까 연동돼 있는 모든 시스템이 전부 다 먹통이 된 거고요. 그런데 전문가들이 좀 의아해하는 건 뭐냐 하면 사실은 처음에 문제가 딱 생겼을 때 이 네트워크 장비 업데이트 하다가 문제가 생겼다는 걸 인지를 했고요. 그래서 다시 업데이트를 취소하고 원상태로 되돌렸습니다. 그래도 문제가 해결이 안 됐거든요. 그래서 이 장비를 새 거로 교체를 했어도 문제가 안 잡혔습니다. 그러면서 시간이 53시간이라는 시간이 흐른 거거든요. 그런데 어저께 보도자료 나온 건 그 네트워크 장비 업데이트하다 생긴 오류 맞다.
◇ 김현정> 그렇게 나왔어요.
◆ 김승주> 이렇게 발표가 나니까 아니, 이거 처음에 다 지적해서 이거 다 여러 가지로 수정을 해봤는데도 안 되던 거 아니냐. 그런데 결과가 이렇게 나온 걸로 보니 이게 조금 축소하려고 하는 거 아니냐 이런 얘기도 있긴 합니다.
◇ 김현정> 정부에서 원인으로 밝힌 네트워크 장비의 오류 때문이었다면 100명이 투입돼서 이렇게까지 복구가 오래 걸릴 일은 아닌데.
◆ 김승주> 그렇죠.
◇ 김현정> 그 부분이 전문가들 보기에 아무리 봐도 의아하다 그 말씀이세요?
◆ 김승주> 이게 진짜 이유라면 굉장히 더 빠른 시간에 원인이 진단됐어야 되고 그리고 고칠 수도 있었는데 이렇게 시간이 오래 걸린 걸로 봐서 또 다른 이유들이 있었던 것 아니냐. 전문가들은 이렇게 보고 있는 게 맞고요.
◇ 김현정> 그거 하나도 문제였겠지만 그거 하나만의 이유는 아니었을 수 있다, 그 말씀이세요?
◆ 김승주> 실제로 언론 보도가 있었는데 네트워크 장비 업데이트하던 그 시간쯤에 다른 여러 장비들이 동시에 업데이트됐다는 보도가 나왔거든요. 그래서 이 업데이트라고 하는 건 사실은 굉장히 조심스럽게 해야 되는 건데 이것을 관리하고 있는 주무부처에서 이런 관리가 소홀했던 것 아니냐. 그래서 이 동시에 여러 시스템들이 업데이트되다 보니까 서로 충돌을 일으켰고 그리고 그러다 보니까 원인 규명하는 데 더 오래 걸렸던 것 아니냐. 지금 전문가들은 이렇게 보고 있습니다.
◇ 김현정> 이해가 되네요. 제가 비전문가라서 정확히 이해한 건지 모르겠습니다만 한 개의 장비의 오류였다면, 업데이트 오류였다면 그거 잡는 순간 그래서 그 문제 해결하는 순간 됐어야 하는데 여러 개의 장비가 동시에 업데이트되면서 충돌한 문제이기 때문에 해결까지 오래 걸렸을 것이다. 그 말씀이시군요.
◆ 김승주> 네.
◇ 김현정> 그 부분에서 문제 제기는 바로 왜 하필 그걸 평일에 해? 그거네요. 사기업에서도 중요한 장비 업데이트할 때는 평일에 안 해요. 새벽에 한다든지 휴일에 한다든지 피해를 최소화할 수 있을 때 하지 평일에 가는 그건 말도 안 되는 주먹구구식인데 하물며 정부에서 그렇게 했다고요?
◆ 김승주> 그렇죠. 그래서 지금 사실은 정부의 책임론 얘기가 나온 것이 그 업데이트를 해당 기업 마음대로 할 수는 없습니다. 분명히 주무부처, 정부와 협의를 해서 업데이트 시간을 정하고 이렇게 하거든요. 그런데 실제로 현장에 나가보면 전자정부 시스템이라고 하는 게 워낙 방대합니다. 그래서 이 모든 것들에 대한 업데이트 계획을 세우고 이 전체를 잘 파악하고 관리하고 있어야 하는데 아마 그 전체적인 파악이 제대로 안 됐을 거다. 그러다 보니까 그냥 중구난방으로 업데이트가 이루어졌을 테고 그러다 보니까 문제가 커진 것 아닌가, 이렇게 지금 보고 있습니다.
◇ 김현정> 그런데 이 시스템이 크게 두 덩어리잖아요. 하나는 공무원들이 들어가서 접속하는 새올이라는 전산망, 또 하나는 국민들이 온라인에 직접 들어가서 서류 떼는 정부 24라는 그 전산망. 그런데 문제가 처음 발생한 건 새올인데 왜 정부 24까지 다 영향을 받은 거예요? 따로따로 굴러가는 건 아니에요?
◆ 김승주> 이게 예를 들어서 우리 공인인증서 아시지 않습니까? 그 공인인증서 시스템에 문제가 생기면 특정 은행 한 곳에서만 먹통이 되는 것이 아니고 전체 은행이 다 먹통이 되겠죠. 왜냐하면 공인인증서를 안 쓰는 곳이 없으니까 그런 걸 생각하시면 됩니다. 이 GPKI라고 하는 게 아까 말씀드렸듯이 공무원들이 쓰는 인증 시스템입니다. 이게 먹통이 되면 연동돼 있는 모든 것들이 다 그냥 먹통이 된다고 보시면 됩니다. 그래서 사실은 이 GPKI 인증 시스템은 이원화, 이중화, 백업, 이런 것들을 철저히 하도록 지시하고 있거든요. 그리고 업데이트나 이런 거 할 때도 굉장히 주의를 기하라고 되어 있고 그런데 지금 거기서 문제가 생겼다라고 얘기하고 있는 겁니다.
◇ 김현정> 이게 혹시 말입니다. 지금 외부에서 해킹됐을 가능성은 없다라고 정부가 발표했는데 그 가능성은 완전히 배제해도 되는 거…
◆ 김승주> 그건 아닌 것 같고요. 일단은 국가정보원에서는 언론 발표에서 그걸 배제할 수는 없고 그것도 조사해 봐야 된다. 이렇게 얘기를 했거든요. 그런데 지금 일단은 시스템을 정상화시키는 게 우선입니다. 원인 규명은 그 나중이거든요. 이걸 시스템을 고치면서 원인 규명하는 팀이 들어가서 뭘 할 수가 없습니다.
◇ 김현정> 그래요?
◆ 김승주> 그래서 지금은 1차적으로 원상복구 하는 데 집중했다. 그리고 원인 규명은 조금 더 많은 팀들이 들어가서 투명하게 절차를 밟아야 된다. 이렇게 아시면 될 것 같습니다.
◇ 김현정> 지금은 원상복구 하는데 워낙 총력을 기울이다 보니 원인 규명까지는 정확히는 안 된 거라고 보시고 그런 측면에서 본다면 해킹 가능성도 열어놓고 조사해야 된다고 보시는 거군요.
◆ 김승주> 그렇죠. 그리고 여기서 중요한 건 원인 규명할 때 이해당사자들이 들어가면 안 되고요.
◇ 김현정> 그렇죠.
◆ 김승주> 조금 떨어져 있는 사람들로 팀을 꾸려서 들어갔어야 되겠죠. 그러면 아까 말씀드렸듯이 이렇게 단순한 오류라면 금방 잡혔어야 되는데 왜 이렇게 오랜 시간이 걸렸느냐. 다른 건 문제없느냐, 이런 것들에 대해서 전부 다 원인 규명을 해야 될 겁니다.
◇ 김현정> 그런데 저도 제가 비전문가 입장에서 질문드리는데 정부의 주요 시스템인데 굉장히 중요한 시스템인데 2중, 3중 안전장치 같은 건 없었는지 그냥 한 번에 그렇게 넉다운 되는 건가요?
◆ 김승주> 이게 언론 보도가 좀 잘못 나간 경우가 있는데 정부24 시스템은 되게 중요해서 이중화, 이원화 돼야 되는데 안 됐다, 이렇게 보도가 나간 게 있어요.
◇ 김현정> 맞아요.
◆ 김승주> 그런데 전자정부 시스템은 기본적으로 전부 다 이중화, 이원화돼 있습니다. 그리고 재해 복구 설비도 다 돼 있고요. 그런데 문제는 그게 어느 정도로 잘 돼 있느냐는 건 또 다른 문제입니다. 예를 들어 이중화라고 하는 건 똑같은 장비를 여러 개 둔다는 거거든요.
◇ 김현정> 그렇죠. 한 서버 고장 나면 다른 서버가 백업해서 또 돌아가고 이런 식으로요.
◆ 김승주> 그렇죠. 그걸 2개 둘 수도 있고 3개 둘 수도 있고 4개 둘 수도 있고요. 또는 카카오처럼 한 건물 안에 둘 수도 있고 지역적으로 멀리 떨어진 곳에 둘 수도 있고요.
◇ 김현정> 그렇죠.
◆ 김승주> 또 이렇게 여러 개 있는 시스템들이 동기화가 실시간으로 이루어질 수도 있고 아니면 하루 단위로 동기화가 이루어질 수도 있고 다 다릅니다. 그런데 시스템을 여러 대 두고 실시간 동기화를 이루려면 돈이 많이 들거든요. 그래서 사실은 어느 정도로 이중화, 이원화가 돼 있었는지는 한번 체크를 해봐야 되고요. 우리가 카카오 사고 났을 때 카카오도 자기네들 이중화, 이원화 돼 있다라고 얘기했거든요. 그런데 그때 정부랑 국회에서 뭐라고 그랬냐 하면 아니, 외국 글로벌 기업들은 이 정도 수준으로 하는데 왜 너희들은 그것밖에 못했어? 이렇게 얘기했단 말이죠. 그래서 카카오에 적용했던 똑같은 기준을 정부도 과연 지키고 있었는지 이번에 반드시 확인해야 될 필요는 있습니다.
◇ 김현정> 그것도 정확히 알려지지 않았기 때문에 이중화, 삼중화 안전장치가 도대체 어느 정도 수준으로 돼 있는지를 이번에 조사팀이 들어가서 밝혀내야 한다, 그 말씀이시네요. 카카오 화재로 서비스 장애 발생했을 때 전국이 그 당시에는 마비되다시피 하면서. 왜냐하면 그때 카카오 때는 송금 기능 이런 게 거기 들어가 있는 게 마비가 됐었거든요. 그러면서 정말 피해가 컸어요. 그때 담당자가 나와서 책임자가 나와서 사과하고 사퇴하고 정부가 엄청 질타하고 국민들이 질타하고 난리가 났었는데 그때에 비하면 글쎄요, 이번에는 그냥 이렇게 지나가는 건가요? 어떻게 보세요? 누가 책임을 져야 하는 겁니까?
◆ 김승주> 저는 이거는 결코 작은 문제는 아니라고 보고요. 이게 우리나라는 인터넷 의존도, 특히 전자정부 시스템에 대한 의존도는 굉장히 높은 나라입니다. 그런데 이게 53시간을 다운돼 있었던 거거든요. 그래서 이게 주말이 끼었으니까 그나마 다행인 거지 예를 들어 이게 입시 서류 낼 때 이런 게 걸렸다거나.
◇ 김현정> 난리 났죠.
◆ 김승주> 취업 시즌에 걸렸으면 이건 굉장히 심각한 문제거든요. 그래서 이건 결코 작은 문제는 아닌 것 같고요. 지금 카카오 얘기가 나왔습니다만 우리 정보 시스템에 대한 장애가 사실은 과거에도 몇 차례 있었습니다. 최근에는 나이스, 교육부 산하에 있는 나이스 시스템이 문제가 있었고 그런데 우리가 들이대는 잣대는 기업에는 가혹하고 정부에는 관대합니다. 이게 계속 반복돼 왔거든요. 저도 IT 관련한 일을 하고 또 산하기관에서 일도 해봤지만 정보 시스템에 장애가 생겼을 때 장차관, 실국장급에서 책임지는 걸 본 적이 없거든요. 징계를 받는다든가 해고를 당한다든가.
◇ 김현정> 그럼 아무도 책임 안 져요? 아니면 그 더 아래 직급에서 책임진다는 뜻이에요.
◆ 김승주> 보통 하청업체나 이런 쪽에서 책임을 지죠. 그래서 제가 우려하는 것은 이게 그냥 하청업체 한두 개 자르는 것으로 해결 짓고자 한다라면 이 일은 또 반복될 겁니다. 그래서 제가 이번 일 가지고 인터뷰할 때 항상 예로 드는 것 중에 하나가 중대재해처벌법입니다. 이게 공사 현장에서 계속 사고가 발생하고 이게 없어지지 않으니까 사람들이 고민을 한 거죠. 그래서 봤더니 사고가 나면 하청업체만 처벌을 받더라. 그래서 원청인 대기업의 CEO한테 책임을 묻겠다. 이게 중대재해처벌법의 핵심이거든요. 저는 사실은 이런 정신이 정부 IT 시스템에도 적용돼야 된다고 봅니다.
◇ 김현정> 알겠습니다. 알겠습니다. 일단 원인 규명부터 좀 정확하게 투명하게 이루어져서 거기서부터 대안을 찾는 작업을 또 책임질 사람이 책임지는 작업을 해야 될 것 같습니다. 여기까지 오늘 말씀 듣죠. 김승주 교수님 고맙습니다.
◆ 김승주> 네, 감사합니다.
