[인터뷰] 최지웅 "국정자원 화재, 천재·인재 아닌 구조적 문제…정부, '클라우드' 관심 필요"
"천재도, 인재도 아닙니다. 구조적 문제입니다." 최지웅 한국클라우드산업협회장은 15일 오전 서울 강남구 KT클라우드에서 진행된 미디어 간담회를 통해 지난 달 26일 발생한 국가정보자원관리원 화재에 대해 이처럼 평가했다. 이번 일을 계기로 정부에서 공공 클라우드 운영 환경과 재해복구(DR) 설계, 정책적 지원 체계를 철저하게 점검해야 한다고도 주장했다. 최 회장은 "공공 서비스가 마비되면 국민의 신뢰가 흔들리는 만큼, 무엇보다도 지금은 국정자원이 빠르게 복구되는 것이 가장 중요하다"며 "하지만 복구 이후에는 반드시 DR 체계가 어떻게 설계돼 있었는지, 어디서부터 취약했는지 짚어봐야 한다"고 강조했다. 이어 "이번 일은 단순 화재 사건이 아닌 클라우드 생태계 전체의 복원 능력을 시험하는 계기가 된 것 같다"고 덧붙였다. 이번 화재는 배터리팩에서 불꽃이 갑작스럽게 튄 후 연쇄 폭발이 일어나면서 시작됐다. 당시 전산실에는 작업자들이 무정전·전원장치(UPS)용 리튬이온 배터리를 지하로 옮기기 위한 작업을 하고 있었다. 이 불은 이튿날인 지난 달 27일 오후 6시께 완진됐으며 5층 전산실 내 배터리팩 384개는 모두 소실됐다. 이 일로 정부 전산시스템 709개가 중단됐으며 공무원 19만여 명이 가입된 클라우드 서비스인 '지(G)드라이브'의 8년치 데이터도 모두 사라졌다. 이날 오전 9시 기준 정부 전산시스템 복구율은 43.6%로, 사고가 난 지 19일이 지났지만 여전히 50%를 밑돌고 있다. 이는 중요한 데이터베이스들의 동기화가 제대로 이뤄지지 못하고 있어서다. 국정자원은 대전 본원과 광주·대구센터를 합쳐 정부 업무서비스 기준 총 1천600여개 정보시스템을 운영하고 있었다. 대전 본원에만 전체 국가 정보시스템의 3분의 1 이상이 몰려있었지만, 재난 상황 대비를 위해 별도의 '쌍둥이' 시스템을 두는 이중화(백업) 체계를 제대로 갖춰 놓지 않아 이 같은 사달이 났다. 이 탓에 업계에선 정부 디지털 인프라 전반의 복원력과 재해복구(DR) 체계가 충분히 갖춰져 있는지에 대한 의구심을 내비치고 있다. 특히 국정자원의 DR 시스템은 서버 DR과 클라우드 DR 두 가지가 모두 필요한 환경임에도 클라우드 재난복구 환경은 제대로 구축해 놓지 않고 있었다는 점에서 논란이 됐다. 최 회장은 "DR을 '보험'처럼 생각하면 안되고 바로 그 순간 작동해야 하는 필수 인프라라는 점에서 정부에서 중요성을 다시 한 번 인지할 필요가 있다"며 "평소엔 비용처럼 보여도 위기 상황에선 이것이 국가 데이터의 생명줄이 된다"고 강조했다. 이어 "이번 일은 비용 절감, 구조적 문제로 인해 발생된 측면이 많다"며 "정부에서 그간 클라우드 시스템에 큰 문제가 없으면 그대로 사용하란 식으로 대응해왔다"고 지적했다. 그러면서 "아마존웹서비스(AWS), 마이크로소프트 애저, 구글 클라우드(GCP) 등 글로벌 클라우드서비스제공업체(CSP)들은 시설이 멀쩡해도 5~6년되면 교체한다"며 "우리나라도 클라우드 시설 유지·보수를 통해 중요 시스템을 꾸준히 관리하고 업그레이드 해야 한다는 것을 이번에 인지하고 제도적, 구조적 개선이 이뤄지길 바란다"고 덧붙였다. 하지만 정부는 일단 시스템 복구에만 집중하는 모양새다. 화재로 전소된 국정자원 시스템 일부를 대구로 이전해 복구하는 것을 추진 중인데, 민간협력형(PPP)클라우드 서비스를 제공하고 있는 삼성SDS, KT클라우드, NHN클라우드 등 국내 CSP 3사에 손을 빌렸다. 또 향후 민간 클라우드 도입을 위해 본격 검토에 나선 상황으로, 3사 외에 네이버클라우드, 카카오엔터프라이즈 등 다른 CSP들도 상황을 예의주시하고 있다. 최 회장은 "공공 시스템을 전면적으로 민간 클라우드로 전환해야 한다는 주장을 내놓는 이들도 있지만, '그게 정말 더 안전한가'라는 질문을 던져야 한다"며 "현재 중요한 것은 전환이 아닌 점검"이라고 말했다. 그러면서 "일단은 민간 클라우드로 바로 전환해야 한다는 논의보다 현재 민간 CSP들이 어떻게 안전하게 DR을 구축하고 운영하는지 사례를 참고하는 것이 더 중요할 것"이라고 부연했다. 또 이번 국정자원 화재를 계기로 정부가 추진 중인 대구 PPP 모델에 대해선 공공정보시스템을 단계적으로 분산화·민간화하기 위한 정책적 전환점이라고 평가했다. 다만 현재 구조로는 실질적인 '협력형 클라우드 모델'로 기능하기 어렵다고 봤다. '물리적 입주' 중심의 폐쇄형 구조로 설계돼 있어서다. 최 회장은 "현재 민간 CSP가 입주하더라도 PPP에서 직접 자원을 제어하거나 이중화 백업을 자율적으로 구성할 수 없는 구조"라며 "이로 인해 민관 협력형이라기보다 공공 전산실 내 위탁 운영 수준에 머물러 있다"고 설명했다. 이어 "이는 클라우드의 핵심 가치인 자율·확장·탄력성이 제도적으로 봉쇄된 상태로 볼 수 있다"며 "기술 중립·개방형 거버넌스 구축을 위한 제도적 개선이 우선돼야 한다"고 강조했다. 그러면서 "정부가 의도하는 '협력형 모델'이 실질적으로 작동하려면 PPP를 단순 입주형 공간이 아니라 정책적 중립의 '오픈 클라우드 존'으로 전환해야 한다"며 "이를 위해선 CSP가 직접 자원 제어·운영·백업 정책을 수행할 수 있는 공동 운영권 제도화, 기술 표준·보안 요건만 충족하면 사업자 구분없이 참여 가능한 기술 중립형 구조, 공공 업무별로 민간·공공 클라우드를 병행 활용하는 하이브리드 운영 가이드라인 등이 마련돼야 할 것"이라고 조언했다. 또 그는 정부가 민간 CSP들의 경쟁력을 강화하는 것에도 관심을 기울여야 한다고 목소리를 높였다. '공공의 민간화'가 아닌 '민간의 공공화'로 접근해야 한다고 주장하며 정부가 민간 기술 역량을 제도권 안으로 끌어들여야 한다고 강조했다. 최 회장은 "핵심은 '누가 운영하느냐'가 아니라 '어떤 구조로 운영하도록 제도를 설계하느냐'에 있다"며 "국내 CSP들은 이미 금융, 의료, 통신 등 고가용성 분야에서 99.99% 이상의 가용률을 검증받고 있다는 점을 정부가 인지했으면 한다"고 밝혔다. 이어 "PPP는 공공과 민간을 구분하는 플랫폼이 아니다"며 "국가 차원의 AI-클라우드 인프라 거버넌스 모델로 재정의돼야 한다"고 부연했다. 최 회장은 정부가 화재 피해 정부 시스템을 대구 PPP로 이전하는 데 4주를 목표로 내걸었다는 점에선 우려를 드러냈다. 급속한 이전 과정에서 혹시라도 스토리지 복제, 데이터베이스 동기화, 암호화키 관리 등 데이터 무결성 검증이 생략될 경우 향후 일부 업무시스템의 비정상 동작이나 서비스 중단 가능성이 상존한다는 점을 주의해야 한다고 조언했다. 또 공공업무 특성상 업무 연속성(BCP) 확보가 미흡하면 복구 후에도 시스템 간 참조 오류나 이력 손실이 발생할 수 있다는 점도 정부가 살펴봐야 한다고 강조했다. 일시적 이중 운영으로 인한 보안·관리 공백이 생길 것에 대한 것도 정부가 주목해야 할 부분으로 꼽았다. 기존 센터와 PPP 센터 간 이중 가동기간 동안 보안 정책의 통합 관리가 어려워 VPN·접속 권한 관리·인증서 체계가 일시적으로 분리될 가능성이 크다는 점에서다. 최 회장은 "이는 사이버 위협의 주요 취약 구간이 될 수 있다"며 "특히 공공망-인터넷망 간 연계 구조를 가진 업무에서 보안 리스크가 증폭될 수 있다"고 지적했다. PPP 이전이 구조적 개선 없이 물리적 이전에만 그칠 가능성이 높다는 점에서도 우려했다. 단순히 물리적 위치만 옮기고 여전히 동일한 관리 체계·복구 방식으로 운영한다면 동일한 위험을 재현할 가능성이 높다고 봤다. 최 회장은 "이번 사고의 본질은 집중형 온프레미스 구조의 한계에 있다"며 "이번 이전은 단순 복구가 아니라 'AI-클라우드 기반의 다중·분산형 자원 관리 체계'로 전환하는 계기가 돼야 할 것"이라고 강조했다. 그러면서 "정부가 단기적 복구 관점에서 대구 PPP로 이전키로 결정했으나, 속도보다 안정성과 구조적 재발 방지에 좀 더 신경을 써야 한다"고 주장했다. 정부와 국회가 국내 클라우드 산업에 대한 이해가 낮을 뿐 아니라 기술적 대비, 정책적 기반 등 총체적으로 부족한 부분이 많다는 점에 대해선 아쉬워했다. 이 탓에 정부의 클라우드 전환 사업 예산은 매년 큰 폭으로 줄어들고 있는데 2022년 1천786억원에서 2023년 342억원으로 5분의 1토막이 난 뒤로 2024년 739억원, 2025년 725억원으로 크게 개선되지 못했다. 내년도 예산 역시 약 652억원 수준으로 전년보다 약 10% 줄었다. 클라우드 산업에 대한 부처 간 엇박자 규제와 제도적 불확실성도 정부의 클라우드 전환을 가로막는 요인이 되고 있다. 실제 우리나라 공공부문의 클라우드 전환율은 45% 수준으로 세계 평균(85%)에 크게 뒤처진 상황이다. 최 회장은 "기업들이 데이터센터를 하나 지으려고 하면 22개 법령에 정부기관 10여 개 이상과 연관되는 데다 최소 8천억원의 비용이 투입된다"며 "그 과정을 풀어가기가 굉장히 힘들다"고 토로했다. 이어 "공공·민간 클라우드 산업과 연관된 행안부, 과기부가 이번 화재를 계기로 밀접하게 소통하며 업무 효율성을 높일 수 있도록 국정원까지 포함된 새로운 컨트롤타워를 조직해 규제, 정책들이 좀 더 일원화 될 수 있게 하면 좋을 것 같다"며 "AWS 등 4개 업체를 표준으로 선정해 민간 CSP들이 정부의 요건에 맞는 새로운 데이터센터를 마련하면 정부가 이를 활용하는 미국 정부처럼 우리나라 정부도 이런 방안을 고민해 보길 바란다"고 덧붙였다.
