[최정식 발행인 칼럼] KT 전산망 마비 사태, ‘EXIT’가 우리 사회에 던져준 숙제

안정적인 네트워크 운영을 위해 네트워크 전문가 양성 및 지원 필요

[보안뉴스 최정식 발행인] 코로나19 사태로 인하여 비대면·비접촉 환경이 계속되다보니, 무인 정보단말기 키오스크(KIOSK)를 어디서나 쉽게 접할 수 있게 되었다. 이제는 더 이상 매장 종업원과 대화하거나 일일이 전화를 걸지 않아도 키오스크 화면에 나타나는 각종 메뉴를 보면서 자신이 원하는 항목을 선택하거나 검색어를 입력하면 원하는 서비스를 제공받을 수 있다. 심지어 디지털 기기에 익숙하지 않은 어르신들이 주 고객인 은행이나 어린이들이 주 고객인 키즈카페의 키오스크는 음성인식 시스템을 도입하여 고객이 말로 명령하거나 대화를 하면서 이용할 수 있다.

[이미지=utoimage]

우리가 이렇듯 편리하게 사용하는 디지털 기기의 이면에서는 수많은 프로그램이 동작한다. 키오스크나 인공지능(AI) 스피커와 같은 디지털 기기의 기능을 보완하거나 개선하기 위해서도 디지털 기기의 소프트웨어를 수시로 업데이트해야 한다. 그래서 우리는 종종 컴퓨터나 스마트폰에 ‘소프트웨어를 업데이트 중입니다. 잠시만 기다려 주십시오’라는 메시지가 뜨는 걸 보곤 한다. 이러한 업데이트 작업은 중앙의 관리자가 연결된 모든 시스템을 대상으로 동시에 진행한다. 이렇게 하면 업데이트가 쉽고 빠르게 진행되며, 심각한 시스템 결함에 대한 보완대책도 즉각 세울 수 있다.

하지만 국가나 기업의 중요 정보를 다루는 서버나 네트워크는 이러한 업데이트 방식을 사용하면 안 된다. 자칫 업데이트가 실패하면 엄청난 피해가 발생할 수 있고 해킹에 취약하기 때문이다. 그래서 국가적으로 중요한 시스템은 작업자가 현장에 가서 기기를 직접 조작해 업데이트하거나 설정값을 변경해 주어야 한다. 그런데 여러 디지털 기기들이 서로 연동하며 복잡하게 얽혀 있다면, 기기 하나를 업데이트하는 것만으로는 성능이 개선되지 않는다. 오히려 다른 시스템에 예상치 못한 영향을 주기도 한다. 그래서 업데이트 작업 전에는 충분한 테스트가 필요하다. 작은 실수에도 시스템 전체가 가동 중단되거나 심하면 연동 시스템까지 마비시킬 수 있기 때문이다.

특히, 네트워크 장비는 1년 내내 한시도 쉬지 않고 가동되다 보니 시스템 업데이트 작업을 하기가 매우 힘들다. 하지만 사용자들의 불편을 최소화하면서 연속성도 갖게 하려면 가급적 빨리 업데이트를 해야 한다. 그러다보니 사용량이 줄어드는 야간에 업데이트 작업을 하는 것이 원칙이다. 그런데 네트워크 장비는 전국에 산재하기에 모든 네트워크 장비를 작업자가 현장에 가서 직접 업데이트하기가 쉽지 않다. 또한, 수도권 이외의 지역으로는 야간작업을 위해 적시에 이동하기가 쉽지 않다. 이러한 현실적 어려움 때문에 현장 담당자가 업데이트 작업을 대신하는 경우가 있다.

그런데 격오지에 배치된 현장 담장자는 전문가가 아닐 수도 있다. 더군다나 네트워크 장비는 한두 대가 아니다. 기종 또한 매우 다양하고, 모델도 천차만별이다. 비전문가가 잘못 건드리면 상태를 더욱 악화시킬 수 있다. 그러다보니 전문 용역업체에 맡기기도 한다. 그런데 그 용역업체 직원도 전 영역의 네트워크 구조를 이해할 수는 없을 것이며, 사고 발생 시 응급 대책을 마련할 역량은 더더욱 없을 것이다.

지난 2021년 10월 25일에 KT 전산망이 중단되는 사태가 발생했다. 이는 용역업체 직원이 ‘EXIT’를 실수로 입력하지 못했다고 하지만, 자기가 관리하던 시스템에 ‘EXIT’를 입력하지 않아 수많은 트래픽이 다른 시스템으로 넘어가는 것을 인식하지 못해서 발생했을 가능성이 더 크다. 이러한 사건이 발생하면 해당 부서의 장이 관리 책임을 지겠지만, 이에 앞서 근본적인 원인인 전문가의 부재를 인정해야 한다.

▲최정식 보안뉴스 발행인[사진=보안뉴스]

네트워크 관리 작업은 업무의 강도와 난이도, 그리고 작업 환경에 비해 보수가 열악하다. 더군다나 네트워크 전문가가 받는 대우는 소프트웨어 개발자에 비해 상대적으로 박하다. 그러므로 네트워크 전문가가 자신의 업무에 자긍심을 갖고 계속 업무를 수행할 수 있도록 처우를 개선해야 한다. 지금도 전산 전공자는 많이 배출되지만, 우수한 전산 분야 인재들은 대부분 게임이나 앱 프로그래밍을 선택하고 있다. 아무리 많은 프로그래머를 양산해도 정작 네트워크 관리나 시스템 프로그래밍과 같은 중요한 분야의 전문가는 부족하다. 아마도 특단의 대책이 없다면 이러한 양극화 상황이 계속될 것이다.

KT 전산망 마비 사태를 용역업체 직원의 단순한 실수 때문으로만 봐서는 안 된다. 그리고 인력 고용에 따른 비용 손실만 고민하느라 계속 용역업체에 의존한다면 앞으로 더 큰 보안사고가 발생할 수 있다. 그러므로 네트워크 전문가를 지역·부서마다 최소한 한 명 이상 배치하고, 그들이 직접 시스템을 다룰 수 있게 해야 한다. 그들을 위한 보수와 처우를 현실화하고, 시스템 환경이 변할 때마다 교육·훈련도 지속할 수 있도록 아낌없는 지원을 해야 한다. 그래야 안정적인 네트워크 운영이 가능하며, 사이버공격을 당했을 때에도 적시에 대응·복구를 할 수 있을 것이다.

바로 이들이 우리를 위험 상황에서 안전하게 탈출(EXIT)시켜줄 전문가인 것이다.
[글_ 최정식 보안뉴스 발행인]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)