패치 진행 전 사전 테스트 필수
피해 최소화·빠른 시스템 복원
국제표준 준하는 매뉴얼 마련
SW별 중요도 나눠 관리해야
보안 소프트웨어(SW) 제품 업데이트로 발생한 세계 정보기술(IT) 대란 이후 국내 주요 기업이 내부 시스템 점검에 돌입했다.
22일 국내 대형 클라우드서비스제공사(MSP) 관계자는 “주요 대기업 고객사로부터 이번 사건 관련 경과와 점검이 필요한 부분에 대한 보고 요청이 들어왔다”면서 “관련해 점검이 필요한 부분을 파악하고 추가 투자나 조치가 필요한 것의 우선순위를 매길 것”이라고 말했다.
전문가들은 복잡도가 높아진 IT 환경에 대응해 체계적 관리·모니터링이 필수라고 조언한다.
나연묵 단국대 교수(전 한국정보과학회장)은 “클라우드·인공지능(AI) 등 신기술이 지속 반영되면서 기업 내 소프트웨어(SW) 복잡도가 높아졌다”면서 “이를 한 눈에 살펴보고 관리하는 시스템과 모니터링 체계가 갖춰져야한다”고 조언했다.
이번 IT 대란에 원인을 제공한 SW 업데이트도 기업 내 수시로 발생하는 업무 중 하나다.
나 교수는 “패치를 진행하기 전 충분한 사전 테스트를 거쳐 배포해야 문제 발생 여지가 적은데 이를 소홀히 하다보니 이번 사태가 발생한 것”이라며 “외부 SW를 사용하더라도 패치에 앞서 미리 점검해보고 이상이 없을시 전체 시스템에 적용하는 체계를 갖춰야 한다”고 덧붙였다.
IT 장애는 천재지변·인재 등 다양한 요인에 의해 언제든 발생할 수 있다. 피해를 최소화하기 위한 매뉴얼을 사전에 마련해 놓는 것이 중요하다. 국제표준화기구(ISO) 클라우드컴퓨팅 표준화기구에서도 '클라우드 서비스 비즈니스 지속 회복탄력성'을 주제로 표준안을 개발 중이다.
국내 한 MSP 대표는 “사고가 발생하더라도 내부 피해를 최소화하고 시스템을 빠르게 복원하는 회복탄력성이 중요하다”면서 “ISO 국제표준안이 마련되면 이에 준하는 수준의 내부 지침이나 프로세스를 마련해야 한다”고 말했다.
제3자 위험관리(TPRM) 중요성도 부각된다.
국내 한 클라우드네이티브 기업 대표는 “외부 SW 업체에 전적으로 패치 등 권한을 위임하기 보다는 TPRM 관점에 따라 SW별 중요도를 나눠 관리하고 협력해야 한다”고 말했다.
송호철 더존비즈온 플랫폼부문 대표(디지털플랫폼정부 민간위원)는 “특정 서비스에 종속되지 않는 멀티 클라우드 도입을 대안으로 제시하는 경우가 많은데 이 역시 고가용성(시스템이 자동으로 오류를 복구해 가동 중지를 최소화하는 것)에 기반한 아키텍처 설계 아래 진행돼야 한다”면서 “시스템 구축때부터 장애 발생시 이를 극복할 수 있는 아키텍처 디자인을 도입해야 한다”고 말했다.
일각에서는 패치관리 중요성도 언급한다.
국내 MSP 최고기술책임자(CTO)는 “해외는 대부분 자동 패치로 설정해 둬 이번 잘못된 패치 배포시 바로 적용돼 피해가 컸지만 국내는 대부분 수동으로 설정해둬 주기적으로 패치를 진행하다보니 피해가 덜한 측면도 있다”면서 “빠른 패치가 필요한 부분은 자동 패치로, 그외 부분은 중요도에 따라 수동 패치로 조정하는 등 패치관리시스템도 점검해야 한다”고 말했다.
김지선 기자 river@etnews.com
