사고도 대응도 상식 밖…정부 “KT 사태 엄중히 보겠다”

전국망 영향 주는 작업 관리·감독 소홀…기본 상식 무너져
사고원인 번복·해결 과정 미공개·고객 고지 방식 등 아쉬운 점 이어져
KT "예외적 사례…재발 없도록 프로세스 강화하겠다"

입력 : 2021-10-29 오후 9:51:33
[뉴스토마토 배한님 기자] "네트워크 작업을 할 때 야간에 하거나 한두 시간 테스트를 한 다음에 오픈한다든지 이러는 게 기본 상식에 속한다. 파란 불에 신호등을 건너라는 것과 똑같은 거다. 이걸로 전국적인 사고가 생각지도 않게 나왔기 때문에 정부도 당황스러운 것은 사실이다. 아주 엄중하게 보겠다."
 
허성욱 과학기술정보통신부(과기정통부) 네트워크정책실장은 29일 서울 종로구 정부서울청사에서 진행된 'KT 네트워크 장애 원인분석 결과' 브리핑에서 이렇게 말했다. 기본 상식에 어긋난 문제로 전 국민이 큰 피해를 당했다는 게 사태 조사를 한 정부의 최종 판단인 셈이다. 지난 25일 약 85분간 전국을 혼란에 빠트린 KT 유무선 네트워크 장애는 사고 발생부터 대응까지, 내부 체계가 무너져 생긴 '인재(人災)'였다. 
 
'exit' 하나 때문에…전국망과 연결된 '명령어' 검수 소홀
 
조경식 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 'KT 네트워크 장애 원인분석 결과'를 브리핑하고 있다. 사진/과학기술정보통신부
 
이번 통신 장애는 KT의 전국망을 관리 체계 부재로 발생했다. 부산국사에서 기업용 라우터를 교체하는 과정에서 명령어 'exit'를 누락했고, 잘못된 명령어는 안전장치 없이 순식간에 전국으로 퍼졌다.  
 
전문가들은 라우터 하나가 전 세계 인터넷을 마비시킬 수 있을 만큼 위험한 장치임에도 안일하게 대한 점을 지적했다. 김용대 카이스트 정보보호대학원 교수는 "최근 전 세계 페이스북·인스타그램·왓츠앱이 다운된 것도 라우터 미스였다"며 "라우터 하나 잘못 설정하면 전 세계 트래픽을 한 사람에게 몰리게 해 블랙홀처럼 만들 수도 있다"고 설명했다. 김 교수는 라우터 하나로 지구상 존재하는 모든 인터넷이 다운된 적도 있었다고 덧붙였다. 전 세계가 연결된 인터넷의 특성상 충분히 벌어질 수 있는 일이란 거다.
 
KT는 단어 하나로 전국망에 문제가 생길 수 있는 이 명령어 스크립트를 꼼꼼히 검수하지 않았다. 홍진배 과기정통부 정보보호네트워크정책관(국장)은 "스크립트는 KT 직원과 협력업체가 함께 작성하는 것으로 이해하고 있고, 검토는 KT 직원들이 진행한다"고 했다. 작성·검토 두 번에 걸친 과정에서 오류를 찾지 못한 것이다. 
 
"야간작업이 싫어서"…관리·감독 책임 부재가 만든 상식 밖 일탈
 
홍진배 과학기술정보통신부 통신정책관(국장)이 29일 서울 종로구 정부서울청사에서 KT 네트워크 장애 원인분석 결과 브리핑을 하고 있다. 사진/뉴시스
 
더욱이 트래픽이 많이 발생하는 대낮에 작업하면서 문제는 심각해졌다. 당초 KT는 라우터 교체 작업을 새벽 1시부터 6시까지 하도록 승인했다. 그러나 교체 작업을 수행하는 협력업체 직원과 관리자인 KT 직원이 합의해 이를 오전 11시께 진행했다. 
 
정부 조사 결과 밝혀진 주간 작업 이유는 "야간작업을 좋아하는 사람이 없기 때문"이었다. 심지어 오류를 걸러내는 안잔장치 조차 없는, 전국에 연결된 네트워크를 차단하지 않고 작업은 이뤄졌다. 관리자인 KT 직원은 다른 업무로 작업 현장을 비우기까지 했다. 
 
문종현 이스트소프트시큐리티 센터장은 "민간 회사에서도 문제가 발생할 수 있을 거란 가정하에 피해를 최소화하면서 신속하게 조치하기 위해 야간이나 새벽에 작업하는 편이다"며 "사실 기존 지침만 잘 지켰다면 사회적인 영향을 최소화할 수 있었던 문제"라고 지적했다. 
 
혼란 가중한 초기 '디도스 공격 의심' 발표 
 
구현모 KT 대표가 28일 서울 종로구 KT혜화타워(혜화전화국) 앞에서 지난 25일 발생한 KT의 유·무선 인터넷 장애와 관련해 고개 숙이고 있다. 사진/뉴시스·공동취재사진
 
사고 후 대응에도 문제가 있었다 지적됐다. KT는 당초 사고 원인이 외부에서 들어온 '디도스 공격'이라 판단된다고 발표했다. 그러나 약 2시간 뒤 내부망에서 발생한 라우터 문제라고 정정했다. 홍진배 국장은 "11시 16분 트래픽이 급증하기 시작했고, 11시 20분 KT에서 인터넷 장애를 인지했다. 20분대에는 KT에서 디도스 공격 가능성을 의심했다. 저희에게 11시 40분에 신고했고, 11시 44분에 디도스 공격이 아닌 라우팅 오류로 판단하고 있다고 알려왔다"고 말했다. 
 
보안업계에서는 디도스 공격인 것이 알려지면 국민들의 불안감이 더욱 커질 수 있다고 지적한다. 한 보안업계 전문가는 "디도스 공격이면 보안 사고가 되는 거라서 경찰 수사가 들어가고, 사이버 테러 쪽으로도 더 진행될 수 있어 더 위험한 발언이 된다"며 "명확하게 확인하지 않고 디도스라고 이야기하는 것은 더 혼란을 야기할 수 있는 문제라 조사가 진행 중이라고 발표를 하는 것이 더 맞지 않았을까 아쉽다"고 말했다. 
 
이번 장애를 조사한 나성욱 한국지능정보사회진흥원 미래네트워크센터장은 "복구하는 데까지 시간이 그렇게 많이 걸린 것은 아니다"고 설명한 만큼 초기 판단을 공개하면서 혼선을 빚은 것에 아쉬움을 표했다. 허성욱 실장도 "정부가 첫날에 원인을 언급하지 않은 것이 잘못 말하면 더 오해를 줄 수 있을 것 같아서 조사 후 내부 고민까지 거쳤다"고 언급했다. 
 
이에 구현모 KT 대표는 지난 28일 국회 과학기술정보방송통신위원회 의원들을 만난 자리에서 초기 디도스 공격으로 오판한 부분을 발표해 국민들께 혼란을 준 것도 섣부른 행동이었음을 받아들이고 사과하기도 했다. 
 
보안업계 "투명한 사후 처리 과정 없었던 점이 가장 큰 문제"
 
사고 처리 과정이 빠르게 공개되지 않은 것도 문제였다는 지적이 나온다. 김혁준 나루씨큐리티 대표는 지난 28일 자정께 자신의 SNS에 통신 장애 당시 관찰한 데이터를 게시하며 KT 네트워크 내부에서 문제가 일어난 것으로 분석했다. 전문가들은 정부 발표 전부터 이번 문제가 외부적 요인보다 내부적 요인일 가능성에 무게를 두고 있었던 것이다. 
 
전문가들은 외부 전문가들이 납득 가능할 수 있는 투명한 정보가 공개됐어야 했다고 강조했다. 익명을 요구한 보안 전문가는 "클라우드플레어 같은 전 세계 인터넷·통신 관련 기업들이 투명하게 사후 대응을 신속하게 공개하고 있는데 과기정통부 발표 때까지도 KT 스스로는 기술적 상세 내용을 공개하지 않았다"며 "사고의 예방도 중요하지만 사고 발생 직후부터의 투명성 있는, 외부 전문가들이 납득 가능한 대응이 부재했다는 점이 가장 문제"라고 꼬집었다. 
 
인터넷 안 되는데 홈페이지에 장애 고지?…아쉬운 고객 응대
 
25일 KT 홈페이지에 게제된 통신 장애 고지. 사진/KT 홈페이지 갈무리
 
사고를 고객에게 알리는 과정에서도 미비한 점이 있었다. 통신망 마비로 인터넷을 이용하지 못하는 고객들에게 개별 문자가 아닌 홈페이지에 고지하는 방식을 택한 것이다. 
 
이소라 방송통신위원회(방통위) 이용자보호과장은 "아현국사 화재 이후 관련법을 개정해 통신장애가 있는 경우 전자우편·휴대전화 문자·인터넷 홈페이지 중 하나의 방법으로 고지하게 돼 있다"며 "법에 따라 홈페이지를 통해 알려지기는 했는데, 이용자들이 좀 더 편리하게 볼 수 있는 고지방법에 대해 제도 개선을 검토하겠다"고 했다. 허성욱 실장도 "이 부분을 국민들이 바라보는 수준이나 통신에 대한 기대 수준을 보고 점검토록 하겠다"고 덧붙였다. 
 
한편, 정부의 조사 결과 발표 후 KT는 "일탈이 이루어진 예외적인 사례이며 앞으로 이런 사례가 재발하지 않도록 프로세스를 강화겠다"며 현재 마련 중인 재발방지 대책을 공개했다. KT는 "현재 우면동 KT 연구개발센터에서 테스트베드를 운영하고 있으며, 해당 테스트베드는 실제 환경과 동일하게 적용된 모델실로 연동 사전에 네트워크 작업의 안정성을 확인할 수 있는 기능을 가지고 있다"며 "(테스트베드를) 전국단위로 적용해 이와 같은 장애가 재발하지 않도록 만전을 다하겠다"고 했다. 
 
배한님 기자 bhn@etomato.com
 
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
배한님 기자