재발방지 종합대책 수립방향 발표
[천지일보=홍보영 기자] 지난 17일부터 발생한 행정전산망 먹통 사태의 원인이 네트워크 영역상 문제가 있었던 것으로 분석됐다. 해킹 징후는 없었던 것으로 파악됐다.
고기동 행정안전부 차관은 25일 지방행정전산서비스 개편 T/F팀 공통팀장인 송상효 숭실대 교수와 함께 장애 원인과 향후 재발방지 종합대책의 수립방향을 발표했다.
원인분석반은 국가정보자원관리원 통신운영보안부서의 소속인력 13명과 외부전문가 16명을 포함해 총 29명으로 구성됐다.
송 교수는 장애 당시 남겨진 로그(컴퓨터 시스템에서 발생하는 활동을 기록한 파일)를 분석한 결과 장애원인이 네트워크 영역에서 발생했을 확률이 높다고 추정했다. 비정상 상태가 통합 검증 서버의 네트워크 세션에서 확인되고, 네트워크 장비 중의 하나인 L4 장비 OS 업데이트가 전일 있었으며, L4 장비에서 비정상 상태로 전환되는 로그가 다수 반복되는 것을 확인됐기 때문이라는 게 송 교수의 설명이다. 더불어 네트워크 영역에서 문제가 나타났다 하더라도 앞뒤로 연결된 장비나 시스템이 영향을 미쳤을 수도 있다고 진단했다.
해킹에 대해서도 모든 가능성을 열어놓고 외부에서의 공격, 내부에 심어놓은 스파이웨어 등 다양한 상황을 가정해 보안당국과 함께 확인한 결과 해킹 징후가 보이지 않았고, 앞으로도 해킹에 대해서 유의할 계획이라고 밝혔다.
장애를 일으킨 원인을 규명하기 위해 네트워크 장비 성능 측면의 점검의 경우 구간을 나눠 반복적인 부하 테스트를 진행했고, 장애 및 접속지연이 발생한 영역을 확인하며 장애 유발의 원인을 좁혀나가는 방식을 사용했다.
그 결과 네트워크 장비인 라우터에서 패킷(데이터의 전송단위)을 전송할 때 용량이 큰 패킷이 유실되는 현상을 관찰하게 됐다. 특히 1500바이트 이상의 패킷은 90%가 유실된 것으로 파악됐다. 이 현상의 원인은 라우터 장비에 케이블을 연결하는 모듈에 있는 포트의 일부가 이상이 있었기 때문이라고 송 교수는 설명했다.
이러한 유실된 패킷으로 인해 통합 검증 서버는 라우터로부터 서비스 제공에 필요한 패킷을 정상적으로 수신할 수 없게 됐고, 지연이 중첩돼 작업을 정상적으로 수행할 수 없는 상황에 이르게 됐다고 진단했다.
또 통합 인증 서버는 다수의 장비와 연계돼 서비스되고 있는 상황이라 검증 대상이 많았는데 각 장비에서 발생 장애 시점을 로그 수집해 분석한 결과 앞서 설명한 라우터 장비의 불량 이외에는 다른 이상 현상을 발견할 수 없었다고 밝혔다.
장애발생일 이후 이번 원인분석 결과를 발표하기까지 시일이 걸린 것에 대해선 “장애가 갖는 사안의 중요성 그리고 관련 시스템의 복잡성을 감안했을 때 종합적으로 검토할 필요가 있었다”며 “충분한 검증을 통해 신중하게 결과를 설명할 필요가 있다는 점을 양해 부탁드린다”고 했다.
정부는 재발방지 종합대책의 수립방향을 내놨다. 우선 이번 사건과 유사한 포트 불량이 있을 수 있는 오래된 장비들에 대해 이날부터 전수점검에 착수했다. 또 장애로 인한 서비스 복구 상황을 신속히 알릴 예정이며, 전산장애가 발생했을 때 신속한 복구조치가 가능한 체계를 마련하겠다고 밝혔다.
이와 함께 디지털정부 서비스가 중단되는 상황에서도 대응 매뉴얼을 수립하고, 중장기적 제도개선 방안도 마련할 계획이다. 마지막으로 국가정보자원관리원의 운영방식을 전면 재검토하기로 했다.
고 차관은 “앞으로 세계적 수준의 디지털정부 명성에 걸맞는 편리하면서도 보다 안정성 높은 서비스를 제공할 수 있도록 최선을 다하겠다”고 말했다.