국정자원 화재가 드러낸 격차…미·영은 재해복구 제도화, 한국은 약속뿐

(서울=뉴스1) 구진욱 기자 = 대전 국가정보자원관리원(국정자원) 화재는 미국·영국 등 해외에 비해 한국의 전산망 복원력이 얼마나 부족한지를 여실히 드러냈다.

미국과 영국은 정부 전산망을 여러 지역에 동시에 두고, 장애가 발생하면 자동으로 다른 센터로 옮겨가며, 정기적으로 실제 전환 훈련까지 한다. 반면 한국은 데이터 백업에만 의존한 채 운영 이중화와 자동 전환 체계가 없어, 이번 사태에서 데이터는 살아 있어도 서비스 복구는 지연될 수밖에 없었다.

1일 행정안전부에 따르면, 국정자원 대전 본원에서 발생한 화재로 정부 행정 시스템 647개가 전면 중단됐다. 이 중 96개는 전소 피해를 입었고, 항온·항습기 고장으로 운영 환경이 무너지면서 정부24·국민신문고·모바일 신분증 등 주요 서비스까지 마비됐다. 사고 발생 닷새가 지났지만 전날(30일) 오후 6시 기준 95개 시스템만이 복구된 것으로 파악됐다.

이같은 문제는 데이터 백업이 있었음에도 불구하고, 운영 환경의 이중화와 자동 전환 체계가 없었던 것이 근거가 됐다.

정부 전산망은 여전히 단일 센터 구조에 머물러 있어, 항온·항습기 가동 불능 하나로 전체 복구가 막혔고, 광주·대구에 백업 데이터가 있었지만 자동 전환되는 페일오버(자동전환, Failover) 체계가 없어 '살아 있는 데이터'조차 즉시 활용하지 못했다.

광주센터에는 정부24 등 주요 서비스 28개 시스템이 재해복구(DR) 체계로 구축돼 있어 모의훈련을 진행해왔으나, 전체 647개 시스템 중 4.3%에 불과했다. 나머지 대부분은 DR 자체가 없어 훈련과 전환이 원천적으로 불가능했다.

대구센터는 민관협력형 클라우드존으로 국가 보안 요건을 갖춘 상태에서 민간 클라우드 인프라를 활용할 수 있도록 설계됐지만, 주요 업무 시스템 이관은 아직 초기 단계에 머물러 있다.

이 같은 취약성은 제도에서도 확인된다. 행안부는 지난 8월 공공 정보시스템 서비스수준협약(SLA) 표준안을 발표했지만, 가용률·장애 처리 시간 등 데이터 중심 지표에 그쳤다.

항온·항습 설비 이중화, 운영 자동 전환, 정기 전환 훈련 같은 핵심 항목은 빠져 있었고, 의무화 시점도 2027년으로 2년 이상 남아 있다. 이번 화재로 복구가 지연된 원인이 제도적 공백과 맞닿아 있다는 지적이 제기되는 이유다.

이에 대해 김민재 행정안전부 차관은 29일 중대본 브리핑에서 "정부 시스템은 민간과 달리 기관 간 연계가 복잡해 이중화를 단순 적용하기 어렵다"며 "광주센터만 해도 1조 원이 투입되는 등 예산 부담이 커, 연구용역을 통해 우선순위를 정해 단계적으로 추진해왔다"고 해명했다.

반면, 미국과 영국은 큰 사고를 겪을 때마다 제도와 규정을 고쳐 공공 전산망의 '복원력'을 강화해 왔다. 두 나라 정부는 일찍부터 민간 클라우드 활용을 정책화한 것도 특징이다.

미국은 2010년 오바마 행정부가 '클라우드 퍼스트(Cloud First)' 정책을 내놓으면서 정부 시스템을 클라우드 중심으로 전환하기 시작했다. 이에 따라 중앙정보국(CIA)은 아마존웹서비스(AWS)와, 국방부는 구글·오라클·AWS·마이크로소프트 등과 계약을 맺었다. 트럼프 행정부는 2018년 '클라우드 스마트(Cloud Smart)' 전략을 발표해 보안·운영·조달 전반으로 정책을 확대했다.

영국도 2013년부터 '클라우드 퍼스트'를 도입해 공공기관이 신규 IT 시스템을 도입할 때 클라우드를 우선 고려하도록 했다.

아마존(AWS)이나 마이크로소프트 애저(Azure) 같은 글로벌 클라우드는 이런 흐름 속에서 대기 서버(스탠바이 인스턴스)를 마련해, 문제가 생기면 즉시 가동해 끊김 없이 서비스를 이어받는 구조를 갖췄다.

미국은 또 정부 클라우드 서비스에 페드램프(FedRAMP) 인증을 의무화했다. 보안성과 복구 능력을 검증하는 이 제도는 장애 발생 시 다른 지역 데이터센터로 자동 전환되도록 설계돼 있어야 하며, 정기 훈련을 거쳐야만 통과할 수 있다.

영국도 'G-클라우드 프레임워크'를 운영해 공급업체의 재해복구 능력과 정기 훈련 결과까지 평가한다. 이런 기준을 충족하지 못하면 정부 계약에 참여할 수 없다. 또한 화재나 자연재해가 발생해도 공공서비스가 유지되도록 데이터 분산과 백업을 의무화했다.

이에 전문가들은 이번 사태가 단순 화재가 아니라 제도 격차의 결과라고 지적한다.

임종인 고려대 정보보호학과 교수는 "미국은 이미 민간 클라우드를 활용해 다중 리전과 자동 전환 체계를 확보했고, 정기 전환 훈련까지 한다"며 "우리도 기밀 데이터는 국가가 직접 관리하되, 민원 서비스는 민간 인프라를 과감히 활용해 복원력을 높여야 한다"고 강조했다.

kjwowen@news1.kr