우리나라 IT 수준을 보여준 카카오 먹통 사태 -2-

1. 이번 사태의 양상

2. 어떤 것이 정상인가?

3. 카카오 먹통 사태의 문제점

4. 대한민국은 IT강국이 아니다.

3. 카카오 먹통 사태의 문제점

 이번 사고의 가장 큰 문제점은 서비스 확장에만 열을 올리고 시스템의 보안/안정에는 너무나 허술했다는 점이다. 다음, 카톡 같은 핵심 서비스를 우선 복구하고 브런치 같은 서비스는 순차적으로 복구한 것으로 보인다. 당연히 그럴 수밖에 없고 이렇게 해야만 하는 절박한 심정은 알겠는데, 이렇다는 얘기는 복구에 중대한 문제가 있다는 얘기밖에 안 된다. 

 원래 DR센터 연결은 시스템을 하나하나 연결하는 게 아니라 트래픽을 한꺼번에 옮김으로써 원샷에 연결되어야 한다. 그런데 이것도 안된다고 하니 참 할 말이 없다. 물론 시스템의 규모가 크기는 하지만 그만큼 많은 인력과 자본이 있는 회사가 아닌가. 비상시스템은 구멍가게처럼 만들어놓고 지금까지 미래를 선도하는 기업이라고 홍보해왔나. 재해복구도 안되는데 인공지능이 뭔 소용이며 핀테크가 뭔 소용인가? 도대체 IPO 한 돈으로 뭘 했나.

솔직히 다른 기업에서 이런 일이 벌어졌다면 어차피 그런 회사들이니 그러려니 했을 것이다. 그러나 오로지 IT로 먹고사는 기업에서 이런 일이 벌어진 건 납득할 수가 없다. 카카오는 플랫폼 기업으로 많은 참여자들이 여기서 수입을 얻고 있다. 그 피해자만 수를 헤아리기 어려울 정도일 것이다. 이것에 대해 정부도 참 답답하다. 광범위한 피해자가 있다는 측면에서 개인정보 유출이나 이번 사고나 무슨 차이가 있는가?

 정부에서는 국가기간 망처럼 관리하겠다는데 이건 기간망이 아니다. 사기업의 서비스가 망가진 것이다. 중요한 건 그 서비스가 수수료를 받는 사실상의 유료 서비스라는 점이다. 이걸 국가가 관리할 이유도 없고 돈을 투입해서도 안된다. 강력한 사후 처벌과 손해배상으로 해결해야 한다. 카카오가 계속 서비스 불안을 유발한다면 어차피 시장은 다른 서비스로 옮겨가게 되어있다. 여기서 정치권이 숟가락을 얹으면 결국 정치적인 황태자가 나오게 마련이다. 기업이 정치적으로 오염되는 것이다. 카카오는 책임을 지면 되는 것이고 국가는 세금 10원도 넣어서는 안 된다.

 그나마 카카오 뱅크는 이체까지 해본 결과 잘 작동되었다. 서비스 오류가 있을 수 있다는 공지사항이 뜬 걸로 보아 아마 완벽하게 정상 서비스는 되지 않은 것 같다. 금융은 국가 백본망으로 움직이기 때문에 그나마 조금 나은데 만약 여기서 농협처럼 사고가 났다면 그 여파는 상상하기 힘들 정도이다. 게다가 금융사업 노하우가 부족한 카카오로서는 농협처럼 짬밥으로 때우는 것도 불가능하다. 농협에서는 수기로 직원들이 업무를 처리할 수 있지만 카카오는 그것도 쉽지 않다.

이런 회사가 클라우드 서비스(개인서비스는 종료되었고 기업 서비스는 하고 있음)를 하고 플랫폼 사업을 했었다니 섬뜩한 생각이 든다. 무슨 배짱이며 용기일까? 공공 클라우드를 하는데 서비스 마비되면 그 책임을 누가 지는가? 애초에 공공 시스템을 사기업에 클라우드로 저장한다는 것도 말이 안 되는 얘기다. 공공은 돈 주고 자체 설비로 해야 된다. 예전에 공공이 오픈소스를 확대해야 한다는 정책을 보고 한심하다는 생각을 했었는데 그 얘기는 나중에 한번 다루기로 하겠다.

4. 원인과 해결책.

 이번 사고에서도 봤듯이 한국은 그저 서비스 확장과 모든 것을 IT로 때우는 것에만 열중했지 그 아래 담겨있는 진정한 IT철학에 대해서는 관심도 없었다. 지금까지 이렇게 IT를 발전시켜왔고 수많은 현장의 목소리들은 묵살되었다. 지금도 곳곳에 지뢰가 있다. 아직도 80년대 시스템을 쓰는 곳도 있고 테스트 서버도 없이 곧바로 리얼서버로 작업하는 곳도 있다. 어떤 곳은 백업조차도 제대로 안 하는 곳도 있다. 그냥 오늘만 사는 것이 우리나라 IT이다. 

 이런 사고를 예방하기 위해서는 어쩔 수 없이 법의 강화가 필요하다. 우리나라는 법이 왕이다. 법으로 안 하면 아무도 안 한다. 도덕심에 맡겨놓을 만한 수준은 못된다. 어쩔 수 없이 법에 기댈 수밖에 없다. 법적으로 비상계획에 대한 강제를 넣는 수밖에 없다. 실무 담당자도 법 핑계를 대고 위에다 얘기할 수 있다. 

 우리나라 IT에서 보안에 투자되는 돈이 얼마나 될까? 내가 보기엔 미미한 수준이라고 본다. 어쩔 수 없이 해야 하는 것 빼고는 거의 안 하려고 한다. 회사에서 비용절감을 시키면 가장 먼저 타격을 받는 곳이 전산부서이다. 이건 공공도 마찬가지이다. 시스템 예산을 신청하는 게 가장 힘들다. 그도 그럴 것이 돈을 뿌려주는 사업처럼 보고서에 쓸 성과가 바로 보이는 것도 아니고 성과를 수치로 나타내는 것조차 쉽지 않기 때문이다. 보안 분야는 더 그렇다. 공공도 이럴진대 사기업이야 오죽하겠는가?

 IT에 대한 시각과 중요성에 대한 인식은 완전히 새로 해야 한다. IT로 먹고사는 카카오가 IT를 얼마나 우습게 봐왔는지 이번에 여실히 드러났다. 카카오만 문제가 아니다. 이번에 네이버는 잘한 것처럼 언론이 쓰고 있는데 네이버 역시 1시간 내 복구에는 실패한 것으로 전해졌다(내가 직접 사용하지 않아서 자세한 건 알 수 없다). 그나마 타격을 받은 서비스가 적었다는 점은 달랐다. 그러나 이걸로 칭찬할 문제는 아니고 타격받은 서비스가 얼마나 빨리 복구되었는가로 평가되어야 한다. 카카오보다 낫다고 잘한 게 아니란 말이다. 

 개인적으로 기업의 보안투자를 몇% 이상하도록 의무적으로 법안에 넣으면 어떨까 생각도 해본다. 매출의 일정액을 보안에 투자하도록 말이다. 물론 이럴 경우 IT 개발 예산을 전용해서 예산이 오히려 줄어드는 부정적 효과도 있을 수 있는데 어쨌든 좀 더 연구를 해서 돈과 처벌로 해결을 해야 한다. 이런 사고로 피해를 본 사람들에게 배상을 함은 물론이고 배상의 범위를 좀 더 광범위하게 잡아주는 것도 필요하다. 회사사 역할을 다했는데 발생하는 사고에 대해서는 당연히 면책도 필요하다.

 우리나라 IT시스템에는 철학도 생각도 없다. 작은 회사나 인력운용이 여유롭지 않은 작은 공공기관에서는 IT문외한인 사람이 담당자가 되어 발주를 내고 있다. 예산이 얼마나 적정한지 무슨 기술을 쓰는 게 맞는지 아무것도 모르는 사람이 발주를 낸다. 민간도 마찬가지이다. IT는 휴지처럼 쓰다가 버리면 되는 소모품 같은 것이고 자랑스럽게 말하던 대형 금융기관 간부의 말이 생각난다. 첨단 IT 금융은 다 헛소리였던 것이다.

 국뽕에 빠지는 언론 기사는 이제 그만 보고 싶다. 우리가 이뤄놓은 IT 발전은 물론 무시할 수 없지만 그것을 받쳐주는 기반은 정말 허공에 떠있는 것처럼 불안하다. 이 사실을 일반 국민들도 알아야 한다.

 바야흐로 IT는 거의 생필품과 같아지는 시대이다. 전기, 물처럼 사회를 움직이기 위해 계속 공급되어야 하는 중요한 기반이 되고 있다. 그런데 정작 우리는 여기에 얼마나 많은 관심과 예산을 썼을까. 보도블록 까는 데는 돈을 써도 예비 서버 사는 데는 돈을 아끼지 않았나? 당장 돌아가는데 왜 굳이 예비 서버까지 사야 되냐고 생각했던 게 우리 현실이 아니었나. 돌아가기만 하면 되는 게 IT가 아니다. 말로만 IT 강국이랄 게 아니라 보이지 않는 IT보안과 개발 프로세스, 소프트웨어 공학에서도 강국이 돼야 한다. 그래야 매번 도돌이표처럼 반복되는 한심한 사고들을 예방할 수 있다.