Offcanvas

보안 / 분쟁|갈등 / 비즈니스|경제

반면교사 삼아야 할 2021년 ‘IT 재앙’ 8선

2021.12.30 Josh Fruhlinger  |  CIO
보안 결함부터 소프트웨어 엔지니어링 오류까지 올 한 해 세간의 이목을 끌었던 8가지 ‘IT 재앙’을 살펴본다.  

‘IT’는 모든 기업의 ‘비즈니스 운영’과 동의어다. 그래서 기술에 문제가 발생하면 비즈니스 운영에도 문제가 발생할 수 있다. 복잡한 시스템이나 프로젝트 등의 IT 사건·사고가 점점 더 비즈니스 뉴스 섹션의 상위를 차지하고 있으며, 그 영향은 훨씬 더 해롭고 당혹스러워지고 있다. 

여기서는 2021년에 일어난 8가지 IT 사건·사고를 통해 향후 발생할 수 있을 뿐만 아니라 비즈니스에 막대한 영향을 미칠 수 있는 거의 재앙에 가까운 IT 문제들을 집중 조명해봤다. 
 
ⓒGetty Images

더 나은 UI를 설계해야 하는 이유
많은 기업이 IT 도구에 ‘고장 나지 않으면 고치지 마라’라는 태도를 취한다. 업그레이드 또는 출시에 실패한 경험 탓일 것이다. 하지만 이로 인해 실제 운영 환경에서 활용되지만, 소프트웨어 산업 초창기부터 사용된 UI를 쓰는 정말 노후화된 시스템이 존재할 수 있다. 그리고 이는 실질적인 문제를 초래할 수 있다.  

시티은행(Citibank)의 백엔드 시스템 중 하나가 이러한 문제의 좋은 예다. 이는 미화 5억 달러 규모의 피해를 입힌 사건의 주요 원인 중 하나다. 이야기는 다음과 같다. 시티은행은 고객사 레블론(Revlon)을 대신해 780억 달러의 이자를 (레블론의) 채권자들에게 송금해야 했다. 고대 유물과도 같은 시티은행의 내부 소프트웨어 ‘플렉스큐브(Flexcube)’에서 이 작업을 수행하는 것은 굉장히 복잡했다. 

시티은행의 직원들은 대출금 전액을 갚는 것처럼 거래를 설정해야 이자를 정확하게 계산할 수 있었고, 그다음 여러 개의 상자를 체크해야 이자만 채권자에게 보내고 나머지는 시티은행 내부 계좌로 보낼 수 있었다. 3명의 직원이 해당 거래를 승인했지만 적절한 상자를 모두 선택하지 않았고 (2023년까지 지급하게 될) 총 9억 달러가 착오로 송금됐다.

이러한 실수가 전례 없는 일은 아니며, 잘못 보낸 돈을 받은 당사자는 일반적으로 이를 돌려준다는 사실에 놀랄지도 모른다. 하지만 이번에는 상황이 달랐다. 실수로 보내진 금액 중 절반 이상이 이전에 레블론에게 유리하도록 재협상된 대출 조건 때문에 고통받고 있던 헤지펀드로 송금됐다.

채권자들은 이를 조기 상환으로 생각했다고 밝혔으며, 지난 2월 뉴욕 지방 법원은 이를 반환할 필요가 없다고 판결했다. 여기에서 얻을 수 있는 교훈은 직원들이 간소화되고 일관된 방식으로 업무를 할 수 있도록 최소한 UI를 현대화해야 한다는 것이다. 

젠장! 서로의 계좌를 확인한 프랑스 은행의 고객들
지난 2월 23일 프랑스의 LCL 은행 고객들은 뱅킹 앱에서 다른 사람의 정보를 볼 수 있다는 사실을 발견했다. 이 소식은 트위터를 통해 빠르게 퍼져 나갔고, 많은 사람이 사이버 공격 때문이라고 추측했다. 하지만 해당 은행에 따르면 이는 하루 만에 수정된 소프트웨어 오류에 의한 것이었다. 

심지어 LCL은 이 사안을 축소시키려 하면서 상황을 악화시켰다. 해당 은행은 개인정보가 공개되지 않았고, 고객들은 다른 사람들의 계좌만 볼 수 있었을 뿐 송금할 수 없었으며, 수백 명의 고객들만 피해를 입었다고 발표했다. 

거래 정보를 사용해 고객 신원을 확인할 수 있었고, 버그가 코드에서 실행되는 동안 잠재적으로 수만 명의 사용자가 로그인하고 있었다는 지적이 쏟아졌다. 결국 LCL은 유럽 개인정보보호 규제당국의 막대한 벌금을 피하기 위해 고군분투해야 했다.

소프트웨어로 열리지 않은 감옥문
지난 2019년 美 애리조나주 입법부는 비폭력적인 범죄로 유죄 선고를 받은 수감자 일부를 조기에 석방할 수 있도록 하는 법안을 통과시켰다. 하지만 지난 2월 내부고발자들은 1년이 지난 후에도 죄수 석방 적격성을 추적하는 소프트웨어가 새로운 법에 맞게 업데이트되지 않았다고 고발했다. 

주에서는 자격을 갖춘 수감자의 형량을 수동으로 계산했다고 밝혔지만 많은 사람이 석방될 수 있는지를 알지 못해 법에 따라 석방될 권리가 있음에도 교도소에 머물러야 했다. 여기서 IT가 얻을 수 있는 교훈은 다음과 같다. 첫째, 모든 시스템에 유연성과 확장성을 구축하는 게 중요하다는 점이다. 둘째, 소프트웨어는 단순히 소프트웨어가 아니라는 점이다. 이는 삶에 실질적이고 엄청난 영향을 미칠 수 있다. 

엄청나게 노후화된 주(州) HR 시스템
포틀랜드 프레스 헤럴드(Portland Press Herald)에 따르면 美 메인(Maine)주의 HR 및 급여 지불은 오직 1명의 공무원만이 사용법을 알고 있는 구식 언어로 프로그래밍된 40년 묵은 시스템에 의해 처리된다. 

2016년에 이를 대체하려는 첫 번째 프로젝트가 실패했다. 이어서 2020년에 완료됐어야 할 두 번째 프로젝트는 메인주에 새로운 클라우드 기반 시스템을 도입하기 위해 나섰던 워크데이(Workday)가 이를 포기하면서 지난 3월 또 다시 중단됐다.

ERP 시스템이나 이와 유사한 플랫폼을 구축하는 일은 오류 발생 가능성이 악명 높으며, (게다가) 메인주의 급여 지불 관련 요구사항은 굉장히 복잡했다(이를테면 주 경찰은 무기를 소지하거나 스쿠버 장비를 착용하는 등의 수많은 이유로 시간당 급여를 다르게 지급받았다). 

문제의 핵심은 이 같은 대형 프로젝트에 참여해 본적이 있다면 익숙한 이야기일 수 있다. 메인주는 해당 시스템의 오류율이 50%에 이른다고 지적했고, 워크데이는 시스템으로 가져온 메인주의 데이터에 오류가 너무 많았다고 토로했다. 

아울러 더 근본적으로는 메인주에서 프로젝트에 필요한 스킬을 갖추고 있지 않은 인력을 채용했고, 필요한 수준의 인력을 찾기 위해 충분한 급여를 지불할 생각이 없었다. 메인주는 여전히 40년이나 된 HR 시스템을 사용하고 있다.

아마존의 휴가 문제
앞의 2가지 재앙에서 ‘정부기관’이기 때문에 유능한 프로젝트 관리 역량이 부족했다고 생각했다면 오산이다. ‘일반 기업’에서도 별반 다르지 않은 위기가 발생한다. 더군다나 그냥저냥한 일반 기업이 아니다. IT와 웹으로 새로운 경제를 창출해낸 아마존이 바로 그 주인공이다. 

뉴욕타임즈(New York Times)에 따르면 아마존의 유급 및 무급 휴가 시스템이 망가져 있었던 것으로 드러났다. 이로 인해 (예를 들면) 휴가를 승인받았음에도 결근을 이유로 해고를 당하거나 육아휴직 중인 직원들의 급여가 알 수 없는 이유로 삭감됐다. 아마존이 초창기에 급격하게 성장하면서 여러 제공업체의 여러 소프트웨어 제품을 사용하여 휴가 시스템을 관리했던 게 문제의 원인으로 밝혀졌다. 

여기에서 얻을 수 있는 교훈은 창업 초기에 내린 결정이 몇 년 또는 몇 십년 후에 파장을 일으킬 수 있다는 점이다. 애리조나주의 교도소 시스템과 마찬가지로, 아마존은 인력을 동원하여 IT 문제를 해결하려 하고 있다. 67명의 직원들이 직원 휴가 데이터를 입력하는 데 전념하고 있으며, 이로 인한 스트레스가 너무 심해 이들도 휴가를 떠나야 할 정도다.

과도한 개밥 섭취
지난 10월 4일 현재는 ‘메타(Meta)’로 이름을 변경한 기업(페이스북)의 인터넷 연결이 끊기면서 전 세계 사람들이 페이스북(Facebook), 인스타그램(Instagram), 왓츠앱(WhatsApp)에 액세스할 수 없었다. 이 재앙의 실제 원인을 자세하게 다루는 대신, 빅 테크 기업 소속이 아니더라도 IT 부서와 관련된 세부사항에 초점을 맞추고자 한다.

중단 초기에 뉴욕타임즈의 기술 기자 시에라 프렝켈은 페이스북의 직원들이 ID 배지로 문을 열 수 없어 본사에 들어갈 수 없었다고 보도했다. 이로 인해 직원들은 문제를 해결하기 위해 필요한 서버에 물리적으로 접근할 수 없었다. 아마도 페이스북의 전자 도어락은 ‘페이스북’에 의해 구동됐을 것이다. 

페이스북은 모든 내부 시스템을 자체 인프라에서 운영하는 것처럼 보이며, 그 결과 내부 통신 시스템도 다운돼 위기를 해결할 수 없었다. IT 업계 용어로는 이를 ‘개밥을 먹는다(eating its own dogfood)’라고 말하며, 일반적으로 자사 제품에 관한 자신감으로 비춰지지만 페이스북의 이번 재앙은 비상용 식량을 확보해야 한다는 교훈을 제시한다. 

숨어있던 버그에 당한 패스틀리
지난 6월 8일 레딧부터 英 정부기관까지 다양한 사이트에 액세스하려는 수백만 명의 인터넷 사용자가 (웹 사이트를 호스팅하는 서버가 요청을 처리할 수 없음을 나타내는) 503 오류 코드에 직면했다(트위터는 여전히 작동하고 있었지만 이모티콘을 표시할 수 없었다). 

어떻게 이렇게 많은 사이트가 한 번에 오프라인 상태가 됐을까? 해답은 클라이언트가 초고속 로딩 시간을 보장할 수 있도록 인터넷의 전략적 지점에 프록시 서버를 배포하는 CDN의 부상과 관련돼 있다. 오늘날 거의 모든 대형 콘텐츠 사이트는 CDN을 사용하며, 이 분야의 기업들이 그렇게 많지 않기 때문에 하나가 다운되면 인터넷의 상당 부분이 다운될 수 있다.

여기서 단일 장애점은 CDN 비즈니스로 호황을 누리고 있는 엣지 컴퓨팅 제공업체 패스틀리였다. 5월 12일 패스틀리는 적절한 조건 하에서 특정 고객 구성에 의해 트리거될 수 있는 버그가 포함된 소프트웨어 업데이트를 릴리즈했다. 그리고 6월 8일 한 고객이 자신도 모르게 구성을 업데이트했고, 재앙이 발생했다.

메신저를 저격하다
지난 10월 세인트루이스 포스트 디스패치(St. Louis Post-Dispatch)와 보안 전문가 쉐이지 칸은 교사 자격증을 검색할 수 있는 웹 사이트에서 교사들의 사회보장번호(미국의 주민등록번호)까지 노출되고 있다고 보도했다. 사회보장번호 숫자가 검색 결과 페이지 자체에 표시되진 않았지만 페이지의 HTML에 텍스트로 공개돼 손쉽게 찾을 수 있었다. 포스트 디스패치는 이를 보도하기 전에 주 교육부에 결함을 알려 시정할 시간을 제공했다. 

하지만 교육부 대변인이 해당 사안을 알려준 미디어에 감사를 표하는 성명서를 발표한 지 이틀 후, 주지사는 세인트루이스 포스트 디스패치가 해커를 고용하여 주 정부에 망신을 준 것이라고 비난하면서 범죄 조사에 착수하겠다고 밝혔다. 그 결과 주지사는 반발과 조소에 직면했으며, 소속된 정당조차도 그를 비난했다. 여기에서 얻을 수 있는 교훈은 IT 재앙의 여파를 처리하는 방법이 재해 자체만큼이나 중요하다는 것이다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.