필자는 정보 보안 기업 지니언스의 연구개발을 총괄하고, 이와 동시에 미국법인장으로 근무하고 있다. 현재 미국에 거주하고 있으며, 한국 정보보호 제품이 글로벌 시장에서 통할 수 있도록 힘쓰고 있다.
필자는 업무 처리를 위해 한국 온라인 서비스를 이용할 때가 있는데, 가끔 어려움을 겪곤 했다. 한국은 시스템 패치나 업그레이드와 같은 정기점검을 주로 사용자들이 사용하지 않는 시간에 수행하는 데, 외국에 살고 있는 필자가 서비스 접속 시 ‘정기점검’이라는 메시지를 마주할 확률이 높기 때문이다. 반면, 글로벌 서비스에서는 이러한 중단 시간을 거의 본 적이 거의 없다. 이러한 차이는 왜 발생하는 것일까?
대부분 국내 대형 IT 서비스들은 한국만을 대상으로 하는 경우가 많다. 이러한 이유로 서비스 점검 작업은 사용자가 가장 적은 시간대에 진행하는 것이 관행처럼 굳어졌다. 하지만 글로벌 서비스는 말 그대로 ‘글로벌’ 사용자가 시간의 구애 없이 24시간 동안 사용하기 때문에, 서비스를 특정 시간 동안 중단시키는 방법을 사용할 수 없다. 그래서 아마존, 구글 등과 같은 대형 서비스들은 항상 서비스 중단 없이 운영될 수 있도록 시스템을 개선해 왔다.
지금까지 우리나라는 새벽에 2~3시간 정지시키고 서비스를 재구성할 수 있었다. 하지만 단순하고 덜 복잡하던 과거와 달리, 점차 시스템이 복잡해지면서 다양한 고려 사항이 생겼다. 짧은 시간에 수많은 장비를 업데이트해야 하고, 그러다 문제가 발생하면 복구에 많은 시간이 걸릴 수밖에 없다. 더군다나 새벽에는 작업에 필요한 소수의 인원들로만 운영될 수밖에 없으며, 업무 집중도가 다소 떨어질 수도 있다.
이처럼 금번 정부전산망 사고도 새벽이라는 짧은 시간에 전체 핵심장비를 패치하게 되어, 위와 같은 상황이 발생한 것이 아닌가 우려하는 이유도 그 때문이다.
특히 일괄작업 방식의 제일 큰 문제는 하드웨어 및 서버가 새로운 소프트웨어로 일시 교체됨에 따라, 증가되는 부하나 성능 요구사항, 영향도를 미리 예측하기 어렵다는 점이다. 적용 후 문제가 생겨야 알게 된다는 것이다. 이 문제를 해결하려면 항상 여유분의 시스템을 구축하고, 필요시 서버나 시스템을 확장하거나 원복 할 수 있는 구조가 되어야 한다. 하지만 혹시 모를 문제를 대비해서 서버나 네트워크 장비를 여유 있게 준비하기는 매우 어렵다.
이는 IT 시스템을 운영하는 모든 사람들의 공통적인 고민이었다. 하지만 오늘날 클라우드 서비스가 활성화되면서 대부분의 문제가 해결됐다. 클라우드 서비스의 서버 하드웨어나 네트워크는 본인이 원하는 만큼 용량을 늘릴 수 있어 여유롭게 이용이 가능하다. 업그레이드 이후 빈번히 겪게 되는 고질적인 과부하 문제가 해결된 것이다.
그리고 구글에서 오픈한 쿠버네티스 같은 ‘Cloud-Native 시스템’을 통해서, 무중단 패치 · 업그레이드를 손쉽게 할 수 있게 됐다. 기존 시스템의 구동 상태를 유지한 채 새로운 시스템을 실행시키고, 이 시스템이 완전히 자리 잡으면 과거 시스템을 제거하고 새로운 시스템으로 전환하는 방식이다. 이와 같은 업그레이드 방식을 하드웨어 기반으로 진행하려면, 많은 여분의 하드웨어가 필요해진다. 하지만 컨테이너를 기반으로 하는 ‘Cloud-Native’ 방식에서는 잠깐 사용하고 반납하면 된다.
이번 정부전산망 사태의 문제 해결 및 재발방지를 위해, 많은 비용이 지출되고 복잡한 시스템이 구축될 것으로 예상된다. 문제 해결을 위해 기존 레거시 시스템을 더 복잡하게 만드는 우를 범하지 않을까 우려된다. 이에 필자는 이 같은 문제를 해결하기 위한 방법으로, 업무 시간 중 패치·업그레이드하는 체계 구축을 목표로 삼는 것을 제안한다.
당장은 이 같은 방식이 위험하다고 생각할 수도 있다. 하지만 그것을 목표로 클라우드 적용을 확대하고, 일괄 작업 방식이 아닌 ‘점진적 교체 방식’에 대한 경험을 쌓다 보면 긍정적인 변화가 있을 것이라 예상한다. 소규모 국지적 장애는 발생할지언정, 이 같은 대규모 IT 시스템 정지가 빈번하게 발생하지는 않을 것이라 생각한다.
현재 많은 예산이 클라우드 활성화를 위해서 사용되고 있는 것으로 알고 있다. 하지만 그 예산이 개인의 클라우드 개설에 사용되거나, 일부 기능만 구현한 기존 소프트웨어를 클라우드에 그대로 이동만 시킨 것은 아닌지에 대한 우려도 든다. 클라우드가 중요한 IT시스템을 중단 없이 운영하도록 하기 위해, 확장성을 늘리고 MSA(Micro Service Architecture)와 같은 소프트웨어 구조의 근본적 변화를 지원해야 한다. 또한 다양한 SaaS를 탑재하고 전문화된 서비스를 제공하여, 시스템이 비즈니스 로직에 집중할 수 있도록 했는지 다시 따져봐야 한다.
하드웨어와 소프트웨어가 정상적으로 작동한다고 그대로 둬서는 안 된다. 지속적인 업그레이드를 통해 시스템을 개선해야 한다. 한 번 구축하고 납품하는 SI방식의 소프트웨어로는 이 복잡한 IT환경을 유지해 나갈 수 없다. 또한 성장하고 있는 소프트웨어 제조사들이 관리해야 하는 고객이 증가함에 따라, 패치나 업그레이드를 위한 유지 보수에 매몰되는 것도 큰 문제다. 이것이 바로 SaaS가 활성화되어야 하는 이유이다.
아마존의 ‘클라우드 서비스’, 구글의 ‘쿠버네티스’가 만들어진 이유도 서비스를 중단 없이 안정적으로 운영하기 위한 노력의 일환이었다. 이들은 해당 서비스를 많은 사용자가 사용할 수 있게 개방하였고, 이를 통해 스스로 얻을 수 없는 다양한 운영 경험과 더불어 서비스의 확장성과 안정성 또한 높여가고 있는 것이다.
한국 보안산업을 포함한 대부분의 소프트웨어 산업은 공공·금융이 없으면 살아남기 힘들다.
공공과 금융 분야에서 클라우드에 대한 적극적인 도입 정책과 글로벌 스탠다드에 맞는 시스템 구성이 필요하다. 그렇지 않으면 대한민국 소프트웨어 산업은 점차 소멸되어 결국 수십년간 준비된 외산에 의해 모두 점령되고 말 것이다.
이를 막기 위해 새벽 별을 보지 않는 IT 시스템 관리체계를 구축하는 것이, 클라우드와 SaaS의 활성화를 위한 좋은 출발점이 될 것으로 필자는 믿어 의심치 않는다. [기고글. 김계연 지니언스 CTO&미국법인장]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
