우리는 어떤 사건이 발생하면 이구동성으로 규제와 엄벌을 얘기한다. 그렇지만 정작 중요한 것은 대책과 사후관리, 피해자들에 대한 실질적인 보상이 중요하다.
지난 10월 15일 경기 성남 판교 SK C&C 카카오 데이터센터 대형 화재사고로 우리의 일상이 마비되었고, 영세사업자와 교통업, 금융업 등 산업계 전반으로 광범위하게 큰 피해가 발생했다.
국민 공공재처럼 쓰였던 카카오의 플랫폼 문제가 대한민국 전체를 마비시킨 일이었다.
카카오의 IT 운영센터의 보안 점검과 관리, 외부의 테러와 사이버보안 등 총체적 보안 점검의 문제점을 여실히 드러난 안전 불감증이라 할 수 있다.
카카오가 임대한 3만2000대 규모의 서버가 피해를 본 유례없는 대규모 화재라고 하더라도 기술적 결함 또는 서버 집중 배치 등과 사이버보안 예산을 최소 비용으로 투자한 문제와 안일한 대처에 대한 비판을 피하기는 어려울 것이다.
사고가 발생 3일이 지나도록 카카오 메일, 다음 메일, 카카오톡, 다음 포털 등 주요 서비스들의 일부 기능이 복구되지 않았다. 메일 서비스의 경우, 카카오 메일의 주요 기능들은 복구됐지만, 다음 메일 서비스 등 여전히 복구 작업이 1주일 이상 소요되었다.
필자가 확인한 결과 이번 사태로 인하여 카카오는 약 5일 동안, 심지어 어떤 서비스는 2주 가까이 지났음에도 복구가 안 된 부분이 많았다. 중소기업·소상공인 등이 고객 관리에 주로 활용하는 톡 채널 서비스도 광고 메시지 발송 등이 안 되었으며, 다음 카페와 카카오스토리, 브런치, 티스토리 등 서비스는 검색 기능들이 여러 문제를 일으켰다.
카카오가 영위하는 금융업인 카카오뱅크도 사고 2주가 경과하는 시점에서도 송금·거래 확인증 발급과 일대일 메일 등이 복구가 안 된 것을 확인할 수 있었다
4차 산업혁명 시대와 인공시대의 ICT(정보통신기술)는 실시간 접하는 서비스이다. 일부 장애는 날 수 있지만 얼마나 신속한 복구와 고객에게 최소한의 피해로 중단없는 서비스가 이루어지는가가 경쟁력이다.
소프트웨어나 플랫폼 장애는 ‘사이버보안’ 영역으로 구분 투자돼 운영되어야 했었다. 단지 서비스 품질 정도로만 여기고 적은 예산과 비용으로 생각하고 최대한 투입하지 않다 보니 데이터센터 화재로 멈춰버린 카카오는 ‘예견된 사고’였다.
사실 전문가 누구에게 물어봐도 카카오 같은 전 국민이 사용하는 글로벌 기업이 서비스한다면 유사시 복구를 위한 이중화 장치뿐 아니라 3중화, 4중화로 실시간 복구해 서비스 장애가 없도록 한다는 전제가 깔린다.
또한, 보안전문가인 필자 역시 최소한의 이중화도 같은 지역이 아니라 강원도나 제주도 심지어는 지진에 안전한 다른 나라에 두고 운영하는 것이 기본 상식임에도 카카오는 비용을 줄이기 위해 같은 데이터센터 안이나 서버 일부만 이중화하는 꼼수를 부린 게 아닌가 의심을 지울 수 없다.
글로벌 플랫폼 기업인 구글과 메타, 트위터 등 빅테크 기업은 국내 기업보다 한 차원 높은 수준의 사이버보안 체계를 자랑한다.
데이터센터의 구축이나 운영 측면의 설계부터 보안, 지진, 재난, 재해 및 심지어 전쟁 시 빠른 수습을 위한 시스템 분산을 필수로 여기고 빠른 복구로 고객이 피해를 못 느끼는 중단없는 서비스 운영을 원칙으로 삼는다. 그래서 세계적 기업들은 데이터센터를 지을 때부터 지반이 단단한지 등을 철저하게 살피고, 화재 등에 대비한 자재를 사용하며 위치와 설계는 철저하게 보안에 부친다. 국내 주요 통신사들이 데이터센터 위치를 노출하고 홍보하는 것과는 매우 대조적이다.
구글과 메타는 미국, 유럽, 아시아를 포함한 전 세계에 각각 23개, 21개의 자체 데이터센터를 운영 중이며, 마이크로소프트(MS)는 전 세계 140개국에 데이터센터를 두고 백업 인프라에 대한 투자도 아끼지 않고 있다. 심지어 메타는 데이터센터에서 발생하는 열을 자연적으로 관리할 수 있도록 찬 바람이 부는 지역에 센터를 설치하는 실험까지 한다.
글로벌 대형 플랫폼 기업들은 일반적인 서비스 장애나 갑작스러운 시스템 장애가 발생해도 고객들이 겪을 수 있는 불편을 최소화하기 위해 시스템 회복 탄력성을 가장 중요하게 본다. 데이터센터의 중요성은 최초의 대규모 온·오프라인 혼합형 전쟁으로 불리는 이번 러시아와 우크라이나 간 전쟁에서만 봐도 알 수 있다. 최근 전쟁 시 제1의 표적은 다름 아닌 데이터센터이기 때문이다.
오늘날 데이터센터의 역할은 일반 국민의 일상인 음악 청취부터 생명과 관련 있는 수술, 금융거래까지 연결성이 크게 확대되고 있다. 이제는 클라우드 서버에 연결하지 않고 어떤 일을 수행한다는 것은 상상하기 어려워진 것이 사실이다.
이번 카카오 사태로 데이터센터가 무너지면 일상이 어떻게 붕괴할 수 있는지 충분히 증명되었다.
국내 데이터센터 규모는 2000년 53개에서 매년 5.9%씩 증가해 2020년 기준 156곳으로 급증했고, 매출액도 2조 7000억원에 이른다. 하지만 글로벌 기준에는 여전히 미치지 못하며 국내 서비스 업체들의 데이터 분산 및 이중화의 시급성에 대한 인식도 매우 낮은 편이다.
이번 카카오 사태뿐 아니라 2018년 11월 쿠팡 등 온라인 쇼핑몰, 배달의민족 등 웹 기반 서비스, 업비트 등 암호화폐거래소 등이 반나절 이상 접속 장애를 겪은 것도 같은 맥락이라고 할 수 있다.
카카오는 이번 사태를 계기로 자체 IDC 센터 구축을 얘기하는데, 사실 중요한 것은 IDC 센터를 자체적으로 갖느냐 임대해 사용하느냐가 아니다. 정말 중요한 것은 보안시스템과 백업센터가 얼마나 안정적으로 분산되어 운영되느냐, 또 충분한 예산을 사용하여 안정적으로 관리하고 운영하느냐다.
이번 카카오 사태에서 보듯 국내 기업들의 데이터센터 취약성은 백업센터의 분산 운영 미흡 외에도 사이버 위협이나 EMP 공격에 사실상 무방비 상태라는 점에서 더 심각하다.
지난 워너크라이 사건처럼 랜섬웨어 공격에도 취약하다. 2013년 랜섬웨어 공격으로 13억을 지급하고 복구키를 받았지만 암호 해독기도 보통 최적화된 소프트웨어가 아니므로 해독 과정도 많은 시간이 걸린다. 해독을 완료한 경우에도 해독된 데이터의 오염 여부나 원상복구에 대해서도 보장이 안 된다.
이러한 사이버 공격, 화재, EMP 공격 등에 대응하기 위해 데이터센터는 초기부터 전략적으로 예방, 탐지 및 복구 등 일련의 과정이 모두 통합된 사이버보안 전략을 세워 운영돼야 한다.
이번 대형 사고에 대해 카카오는 어떤 조치와 대책을 세워야 할까.
첫째, 진심이 담긴 피해 보상이 있어야 한다.
숫자나 법률에 근거한 형식적인 보상은 카카오가 망하는 길이고, 국민에게 외면당한다는 것을 인식해야 한다. 그런 면에서 먼저 소상공인의 피해를 세세하게 확인해 실질적인 보상을 할 필요가 있다. 이것이 사회 공공재의 역할이고 국민 때문에 커온 기업의 의무이며 사회적 책임이다.
둘째로 카카오톡·택시·페이 등 주요 서비스 먹통 사례를 빚은 카카오가 유료 이용자뿐 아니라 무료 서비스 이용자에게도 보상해야 하는 것은 당연하다.
과연 무료 이용자인 5000만 국민이 없었으면 카카오가 이런 대형 플랫폼 기업이 될 수 있었을지 묻고 싶다. 필자는 보안전문가로서 카카오가 이번 사태에 대한 책임을 지고 실질적인 피해 보상은 물론이고 재발 방지를 위한 구체적인 대책을 세워야 다시금 국민의 사랑을 받는 기업으로 거듭날 수 있을 것이다.
카카오가 민간 서비스를 넘어 사실상 공공재 역할을 해왔던 만큼, 그에 합당한 보상과 대책을 확실하게 이행하지 않으면 기업의 존재 가치는 상실될 것이며, 국민들로부터 점점 외면받아 결국 기업의 존립 문제까지 연결될 수 있다고 본다.