[짚어봅시다] SW버그 하나에 멈춘 세계

단 한 번의 잘못된 소프트웨어(SW) 업데이트가 전 세계에 유례없이 광범위한 'IT대란'을 불러왔다. 생성형 인공지능(AI)으로 장밋빛 미래를 그리는 데 한창인 디지털 문명에 파란 정지화면으로 경종을 울렸다.

지난 19일 전 세계가 마이크로소프트(MS) 클라우드 서비스 장애로 혼란을 겪었다. MS 애저 클라우드와 연결됐고 윈도우 운영체제(OS) 기반으로 구동되는 기기 중 상당수 블루스크린(BSOD)을 띄우면서 항공편 체크인부터 금융·의료 서비스까지 차질을 빚었다.

항공분석업체 시리움에 따르면 이날 이륙 예정이었던 전 세계 11만여편의 상업용 항공편 중 5000편 이상이 취소됐다. 미국 델타항공의 경우 20% 이상이 취소돼 큰 피해를 입었다. 또 런던과 밀라노 증권거래소의 지수 산정이 지연됐고, 영국 스카이방송은 생방송을 내보내지 못했으며, 독일의 한 대학병원은 수술까지 취소했다.

영국 국가사이버보안센터(NCSC) 최고경영자(CEO)를 맡았던 시아란 마틴 옥스퍼드대 교수는 이를 두고 "글로벌 디지털 취약성과 핵심 인터넷 인프라 취약성을 극명하게 보여준 사례"라고 지적했다. 찬란해 보이는 현대 디지털 문명의 토대가 보기와 달리 부실하다는 것.

이 모든 일은 글로벌 보안기업 크라우드스트라이크가 이날 자사 엔드포인트 보안 솔루션에 배포한 SW 업데이트가 윈도우 시스템과 충돌하면서 빚어졌다. 일론 머스크 테슬라 CEO는 "자동차 공급망에 발작을 일으켰다"며 "회사 모든 시스템에서 크라우드스트라이크를 삭제했다"고 밝혔다. 또 닐 맥도널드 가트너 애널리스트는 "기기를 보호하도록 개발·배포된 보안 에이전트가 외려 기기를 망가뜨린 것은 이번이 처음"이라 평했다.

세계적으로 연결된 기술 생태계의 취약성에 대한 우려는 밀레니엄 전 화두였던 Y2K까지 거슬러 올라간다. 2016년에는 상표권 분쟁을 겪은 한 개발자가 자신이 오픈소스로 기여한 코드를 삭제하자 이를 갖다 쓴 주요 자바스크립트 패키지도 설치가 안 돼 IT개발 현장에 난리가 난 적이 있다. 클라우드 서비스로 살펴봐도 2017년 아마존웹서비스(AWS)가 4시간가량 장애를 빚어 전 세계 수많은 인터넷서비스가 먹통이 되기도 했다.

이번 사태에 대해 전문가들은 보안패치 등 자동화된 SW 배포 전에 충분한 사전 테스트로 시스템 영향을 파악하는 등 IT거버넌스 재검토·확립이 필요하다고 지적한다. 초연결 시대 집중화와 종속성 문제도 다시금 거론된다. 그레고리 팔코 코넬대 조교수는 "진짜 원인은 우리가 극소수 회사에 의존하며 모두 같은 곳을 사용하다 보니 동시에 다운된다는 것"이라 꼬집었다. 다양성을 갖춘 듯 보이나 실제 이용은 편중돼 있고 위험 분산도 부족하다는 분석이다.

권헌영 고려대 정보보호대학원장은 "IT환경이 클라우드와 AI·데이터 중심으로 재편되고 있는 만큼 다양한 오류나 침해 등에 대비해야 한다. 문제 발생 시 회복탄력성 정책도 다각도로 마련할 필요가 있다"며 "이 모든 것을 IT전문가에게만 맡겨서는 안 되고 기업·기관 전체 차원의 거버넌스가 요구된다"고 밝혔다.

팽동현기자 dhp@dt.co.kr