[기고] 국가 전산망 화재, 35년 전 경고 외면한 예고된 재앙
대전 국가정보자원관리원(국자원) 전산실의 배터리 화재로 수많은 정부 행정시스템 운영이 중단되는 미증유의 일이 발생했다. 필자는 이번 사태가 우연한 사고가 아니라고 본다. 이미 35년 전부터 예견됐다고 본다. 그동안 수없이 지적했지만 외면해온 구조적 문제들이 곪아 터진 것이다. 필자는 1991년 대한민국 최초로 '전산센터의 물리적 보안' 관련 연구인 '국가기간전산망 시스템의 안전관리체계에 관한 연구'에 참여, 보고서 작성을 주도한 실무 연구원 중 한명이다. 당시 보고서에도 전력 시설 분리, 재해복구 체계 실효성, 화재 대응 특수성 등 현재 우리가 마주한 문제에 대한 원칙들이 고스란히 담겨 있다. 하지만 35년이 지난 지금, 국가의 '디지털 심장부'가 이토록 허망하게 멈춰 선 현실 앞에서 정책 입안자들과 운영자들이 과연 그 원칙들을 단 한 번이라도 진지하게 곱씹어 보았는지 묻지 않을 수 없다. 이번 기고문은 단순히 이번 사고를 비판하는 것을 넘어 무엇이 잘못되었고 왜 이런 일이 반복될 수밖에 없었으며, 더 큰 재앙을 막기 위해 우리는 무엇을 해야 하는지에 대한 고언(苦言)을 담고자 한다. 필자는 유엔난민기구(UNHCR) 소속으로 5개 대륙의 전산센터를 운영한 바 있고, 대한민국 정부통합전산센터부터 금융, 항만, 경찰청 운전면허시스템에 이르기까지 다양한 분야의 보안 인프라를 설계하고 관리한 경험이 있다. 이런 경험을 바탕으로 이번 사태의 근본적인 원인을 핵심 쟁점으로 나눠 심층적으로 짚어보려 한다. 이번 대전 정부통합전산센터 화재는 국가 전산 인프라의 구조적 취약성에 기인한 사고다. 핵심 문제점은 다음과 같다. 먼저 구조적 설계 문제다. 옛 전화국 건물을 국가 핵심(Core) 전산센터로 개조해 운영한 결과 UPS의 리튬 배터리를 서버실 내부에 설치해 화재 위험이 높아졌다. 본래 배터리는 외부(지하 등)로 분리 설치해야 한다. 둘째, 백업 시스템 미작동이다. 대전,광주,대구, 공주 센터의 이중화가 미비해 즉시 전환에 실패했다. 클라우드 복제와 통신 및 보안 환경이 미흡했다. 셋째, 소화설비 한계다. 할로겐 가스 설비가 리튬 배터리 화재 특성(재점화, 케이싱 방해)으로 효과가 없다. 물 소화로 서버 피해 확대 우려와 소화제 침투 시 복구 어려움이 있다. 넷째, 네트워크 자동 절체 실패다. 광통신망 우회 연결 미작동으로 시스템이 마비됐다.경로 다양성 부족과 테스트가 미흡했다. 다섯째, 출입자 보안도 다시 한번 점검해야 한다. 여섯째, 35년 전 지침 미준수다. 1991년 한국전산원 보고서에서 UPS 분리, 백업 이중화, 소화제 도입, 접근통제 등을 권고했으나 무시됐다. 1)모든 문제의 시작, '전화국'을 개조한 전산센터의 원죄 이번 사태를 이해하기 위한 첫 번째 단추는 화재가 발생한 '공간 문제다. 국정원 대전 본원은 처음부터 데이터센터로 설계된 건물이 아니라 오래된 전화국 건물을 개조한 공간이다. 필자는 이것이 모든 문제의 '원죄'라고 생각한다. 데이터센터는 단순한 서버 보관 창고가 아니다. 항온, 항습, 무정전, 무중단 그리고 철통 같은 보안이 전제된 하나의 거대한 유기체이자 '디지털 요새'다. 여기에는 서버와 장비의 하중을 견디는 바닥 구조, 막대한 전력을 안정적으로 공급하고 이중화하는 전력 시스템, 서버의 열을 24시간 식혀주는 정교한 공조 시스템, 그리고 화재와 같은 재난에 대비한 구획화 및 소방 시스템이 유기적으로 설계돼야 한다. 그러나 전화국을 개조한 건물은 이러한 근본적 요건들을 충족시키기 어렵다. 대표적인 문제점은 다음과 같다. 첫째, 공간과 구조의 제약이다. 전력실, 배터리실, 공조실, 서버실 등은 각기 다른 위험 요소를 가지고 있기에 반드시 물리적으로 분리되고 방화벽 등으로 구획되는 것이 철칙이다. 특히 화재 위험이 높은 무정전 전원장치(UPS)와 배터리실은 서버가 있는 전산실과 완전히 다른 공간, 가급적이면 별도의 건물이나 지하층에 둬야 한다. 하지만 기존 건물의 틀에 억지로 데이터센터 기능을 끼워 맞추다 보니 이번 사태처럼 화재 위험이 가장 큰 리튬이온 배터리를 서버실과 같은 층에 배치하는, 상상하기 어려운 구조적 오류를 범했다. '공간이 부족해서'라는 것은 국가 핵심 인프라의 안전 원칙을 저버린 것으로 이유가 될 수 없다고 본다. 둘째, 전력 및 냉각 효율의 한계다. 데이터센터는 막대한 전기를 소비하며 엄청난 열을 발생시킨다. 개조된 건물은 처음부터 이러한 전력 부하와 냉각 효율을 고려하지 않았기에 전력망과 공조 시스템은 항상 불안정한 '외줄타기'를 할 수밖에 없다. 이는 장비의 수명을 단축시키고 전력 불안정으로 인한 시스템 장애의 잠재적 원인이 된다. 결론적으로 국가의 핵심 데이터를 보관하는 '코어' 시설을 전용 건물이 아닌 전화국을 개조해 사용하기로 한 첫 결정부터 이번 재앙은 잉태되고 있었다고 본다. 이는 비용 절감이라는 명목하에 안전이라는 대원칙을 내팽개친 편법적 운영이었으며, 35년 전 필자가 참여한 보고서에서 그토록 강조한 '물리적 보안의 기본'을 정면으로 위배한 것이다. 2) 작동 불능 안전장치들: 백업, 소화 설비, 통신망의 동시 실패 안전은 여러 겹의 보호막으로 이뤄진다. 하나가 뚫리더라도 다음 방어선이 작동해야 한다. 그러나 이번 화재에서는 이 모든 안전장치가 약속이나 한 듯 동시에 무너졌다. 첫째, 허울뿐인 '자동 백업 전환'의 민낯 정부통합전산센터는 대전-광주-대구 3중 체계와 공주 재해복구(DR) 센터를 통해 한 곳에 문제가 생기면 즉시 다른 곳에서 서비스를 이어받는 '무중단 시스템'을 자랑해왔다. 그러나 현실은 어떠했나? 화재 발생 후 몇 시간이 지나도록 백업 시스템은 감감무소식이었고 전 국민이 사용하는 정부 서비스는 속수무책으로 마비됐다. 그 이유는 명백하다. 백업 시스템은 단순히 데이터만 복제해 놓는다고 완성되는 것이 아니다. 데이터와 시스템, 네트워크, 보안 정책이 완벽하게 동기화돼 스위치 하나로 모든 서비스가 즉시 전환될 수 있게 평상시에 수많은 테스트와 훈련을 거쳐야 한다. 이번 사태는 광주, 공주 센터의 시스템 및 네트워크 환경 구축이 완전히 마무리되지 않았거나 클라우드 이중화 설정에 오류가 있었음을 보여준다. 정기적으로 '실패를 위한 훈련(Test to Break)'을 통해 시스템의 허점을 찾아내고 보완하지 않은 백업 시스템은 그저 값비싼 저장 장치에 불과하다. 둘째, 리튬 배터리 화재 앞에서 무력했던 할로겐 가스 소화 설비 전산실은 물을 사용할 수 없기에 할로겐 가스와 같은 청정소화약제를 사용한다. 이는 공기 중의 산소 농도를 낮춰 불을 끄는 원리다. 하지만 이번 화재의 발화점인 리튬이온 배터리는 일반적인 화재와 그 특성이 완전히 다르다. 리튬 배터리 화재는 내부의 화학 반응으로 인해 스스로 산소를 만들어내며 폭발적으로 타오르는 '열 폭주(Thermal Runaway)' 현상을 동반한다. 따라서 산소를 차단하는 가스계 소화설비는 거의 효과가 없다. 오히려 배터리 내부의 온도를 급격히 낮추는 것이 핵심인데, 이는 대량의 물을 직접 뿌려 냉각시키는 방법 외에는 대안이 거의 없다. 결국 데이터센터는 가장 치명적인 위험 요소인 리튬 배터리를 내부에 끌어안고 있으면서도 그 위험에 대응할 수 없는 소화 시스템을 갖추고 있었던 셈이다. 이는 명백한 위험 분석의 실패이며, 기술적 무지가 부른 참사다. 셋째, 끊겨버린 신경망과 자동 절체되지 않은 광통신망 데이터센터의 백업 시스템이 작동하려면 데이터를 실어 나르는 통신망이 살아있어야 한다. 광통신망 역시 주 경로에 문제가 생기면 예비 경로로 즉시 자동 전환(자동 절체)되도록 설계된다. 그러나 이 기능마저 작동하지 않았다. 이는 백업 센터로 향하는 통신망의 물리적 경로가 제대로 다원화되지 않았거나 화재로 인한 전원 차단 등 단일 장애점(Single Point of Failure)이 주 통신망과 예비 통신망 모두에 영향을 미쳤을 가능성을 시사한다. 모든 시스템이 멈춘 상황에서 통신망만 홀로 작동하기를 기대할 수는 없었던 것이다. 넷째, 만일의 경우 '물'이 서버에 들어갔을 경우다. 한 방울의 물도 서버 등 장비에 영향이 없기를 기대하지만, 열 폭주를 일으키는 리튬 배터리를 식히기 위해 만약 살수했다면 이는 불가피한 선택이었을 것으로 생각한다. 다만 현장 투입 소방관들을 대상으로 '특수 전산센터 화재 진압' 교육과 훈련이 사전에 선행됐어야 하며, 복구 과정에서 이를 점검할 필요가 있다. 다섯째, 데이터 복구 불확실성이다. 백업이 제대로 돼 있다면 최악의 경우에도 데이터는 일부 살려낼 수 있을지 모른다. 하지만 백업 시스템마저 불완전했다는 정황이 드러난 지금, 데이터를 얼마나 살려낼지 미지수다. 결국 초기 설계의 오류(배터리의 내부 배치)가 화재를 불렀고, 화재 대응 시스템의 오류(가스 소화 설비의 무력함)가 피해를 키웠다. 3) 출입자 보안과 차세대 신원 확인 필요성 이번 사태는 물리적 재난 대응뿐 아니라 위기 상황에서의 '보안' 문제에 대해서도 심각한 질문을 던진다. A. 모스크바 교훈: 혼란은 적에게 최고의 기회다. 냉전 시절 구소련의 KGB는 모스크바 주재 미국 대사관에 의도적으로 화재를 일으킨 뒤 소방관으로 위장한 요원을 투입해 통신 장비와 암호 체계, 중요 정보를 복사해낸 사례가 있다. 이는 국가 중요 시설의 재난 상황이 최상급의 보안 허점이 될 수 있음을 보여준다. 이번 화재 당시 수많은 소방관, 경찰, 공무원이 현장을 드나들었다. 그 긴박한 상황 속에서 과연 모든 출입자의 신원이 100% 정확하게 확인되고 통제됐는지 장담할 수 있을까? 만약 불순한 의도를 가진 세력이 소방관이나 공무원으로 위장해 현장에 침투했다면 국가의 모든 정보가 보관된 서버에 물리적으로 접근해 데이터를 탈취하거나 파괴할 수 있는 최악의 상황이 벌어질 수도 있다. 이 '보이지 않는 위협'에 대해 과연 얼마나 대비하고 있었을까? B. 공무원증이 무용지물이 되는 순간: 왜 '지문카드'인가? 전쟁이나 전국적 인터넷 마비와 같은 국가적 재난 상황을 가정해 보자. 이때 우리가 신원 확인의 유일한 수단으로 사용하는 공무원증, 경찰 신분증, 소방관 ID 카드는 순식간에 '플라스틱 조각'으로 전락한다.다. 중앙 데이터베이스와 통신이 두절된 상태에서는 그 신분증이 진짜인지 위조된 것인지 판별할 방법이 전혀 없기 때문이다. 이 건 '정부청사—공무원시험 준비하던 공시생이 습득한 공무원증으로 무단 침입' 사건 때부터 정부에 전문가 자문을 하며 건의해온 내용이며, 필자가 오래전부터 주장해 온 '지문카드 신분증' 도입의 필요성이다. 지문카드는 애플페이, 삼성페이, 카카오페이와 동일한 기술로 개인의 지문 정보를 카드 내 IC칩에 저장해 별도의 외부 네트워크 연결 없이도 카드 소지자와 지문 스캐너만으로 현장에서 즉시 본인 여부를 확인할 수 있다. 유엔 전문기구인 국제전기통신연합(ITU)은 2019년부터 모든 국가대표단에 신분확인 목적의 지문카드 출입증을 발급해 왔으며 한국 대표단도 사용하고 있다. 특히 전쟁이나 재난 시 국가중요시설에 접근해야 하는 필수 인력(군인, 경찰, 소방관, 정부 관료 등)에게 지문카드를 보급한다면 통신이 마비된 최악의 상황에서도 신속하고 정확하게 신원을 확인해 가짜를 걸러내고 진짜 전문가의 접근을 허용할 수 있다. 이는 재난 상황에서 통제력을 확보하고 '모스크바의 교훈'과 같은 보안 위협을 원천적으로 차단하는 가장 확실한 방법이다. 이번 사태는 더 이상 차세대 신원 확인 시스템의 도입을 미룰 수 없다는 강력한 경고이기도 하다. 4) 결론 및 제언: 재앙 교훈 삼아 '디지털 강국' 초석 다시 놔야 국정원 대전 본원 화재는 단순한 사고를 넘어 대한민국의 디지털 인프라와 재난 관리 시스템의 총체적 부실을 드러낸 '국가적 재앙'이다. 35년 전의 낡은 보고서를 다시 꺼내 들지 않더라도 데이터센터 안전의 기본 원칙은 명확하다. 그러나 우리는 그 기본을 무시했고, 결국 값비싼 대가를 치르게 됐다. 이 뼈아픈 실패를 반복하지 않기 위해 다음 사항을 강력히 제언한다. 첫째: 국가 핵심 인프라에 대한 전면적인 재설계다. 전화국, 일반 건물을 개조해 사용하는 사례가 발견되면 모든 국가 데이터센터의 현황을 즉시 점검하고 데이터센터 전용 건물로의 이전을 위한 장기적 로드맵을 수립, 실행해야 한다. 비용을 이유로 더 이상 안전을 타협해서는 안된다. 둘째, 위험 요소의 완벽한 물리적 분리 및 전용 대응 시스템 구축이다. 모든 데이터센터에서 UPS, 배터리 등 화재 위험 시설을 서버실과 완벽하게 분리된 별도 공간으로 즉시 이전해야 한다. 또한 리튬 배터리 전용 소화 설비(냉각 시스템 등)를 의무적으로 설치해야 한다. 셋째, '실패를 위한 훈련'의 정례화다. 모든 백업 및 재해복구 시스템은 월 1회 이상 실제 상황과 동일한 조건에서 예고 없는 '자동 전환 훈련'을 의무화해야 한다. 훈련을 통해 문제점을 찾아내지 못하는 시스템은 실제 상황에서도 작동하지 않는다. 넷째, 차세대 신원 확인 체계의 조속한 도입이다. 국가 재난 상황의 보안 공백을 막기 위해 주요 시설 출입 권한을 가진 필수 인력을 대상으로 오프라인에서도 신원 확인이 가능한 '지문카드 신분증' 도입을 즉시 추진해야 한다. 이번 재앙은 우리에게 고통스러운 상처를 남겼다. 이 상처를 흉터로 남길지 더 단단한 미래를 위한 교훈으로 삼을지는 오롯이 우리의 선택에 달려 있다. 더 이상 '소 잃고 외양간 고치는' 우를 범해서는 안된다. 지금이야말로 대한민국의 디지털 백년대계를 위한 근본적 성찰과 과감한 실행이 필요한 때다. 필자 최운호 서강대 교수는... -전 한국전산원(NIA)과 KISA CERT, 정부 정보화담당관 재직 시 정부통합전산센터 구축 -국가인프라•금융•정부통합전산센터, 항만컨테이너 보안, 운전면허증 등 최고정보보호 책임자(CISO, 2011년) -유엔난민기구 5개 대륙 전산센터 CISO(2012–2015) -한국전산원에서 국가기간전산망 안전관리체계에 관한 연구(송관호, 최운호) -국가 전산 인프라의 물리적,시스템적 보안을 설계하고 지침을 배포한 경험
