KT, '인재' 다시는 없다…"관리자 승인·테스트베드 구축"

입력 2021.11.01 오후 2:05

글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

10월 초 DNS 공격 있어 디도스로 선추정…"10여년 동안 이런 사고 처음"

[아이뉴스24 심지혜 기자] KT가 지난 25일 전국적으로 발생한 유무선 통신망 장애 사고에 대해 재차 사과하며 재발방지를 약속했다. 기본 원칙을 철저하게 준수하는 것은 물론, 테스트베드, 라우팅(네트워크 경로설정) 오류 차단 기능을 전국으로 확대한다.

초기 분산서비스거부(DDoS·디도스) 공격으로 오판한 것과 관련해선, 지난달 초 비슷한 사례가 있어 우선적으로 고려했다는 설명이다.

KT는 1일 광화문사옥에서 간담회를 갖고 인터넷 장애 재발방지대책안을 발표했다.

KT는 이번 사고의 주요 원인으로 ▲야간에 진행해야 할 작업을 주간에 KT 직원이 없는 상황에서 이뤄진 점 ▲사전 검증단계에서 협력사 오류로 인한 명령어 누락을 파악하지 못한 점 ▲잘못된 라우팅(네트워크 경로설정) 정보가 엣지망을 통해 전국으로 확산된 점을 들었다.

이 같은 원인에 기초해 기술적 측면과 관리적 측면에서 모두 책임이 있다는 점을 인정했다.

우선적으로는 일차적 실수가 협력사에 있다는 점을 짚었다. 표준작업 절차서에 명령어(exit) 입력을 빠뜨렸다는 것.

서창석 네트워크혁신TF장(전무)은 “연간 4천번 라우팅 업데이트 작업을 하는데, 표준 절차서를 비교하는 간단한 일들로 10여년 동안 하면서 이런 일은 처음이었다”고 설명했다.

하지만 야간에 승인나는 이같은 작업을 주간에 실시했고, KT 직원이 입회하지 않았다는 점, 그리고 검증 과정에서 이를 검출하지 못하는 실수를 저지르면서 사고가 발생했다는 점을 자인했다. 이로 인해 잘못된 명령어가 전송됐고, 전국적에 망 장애를 일으켰다.

서창석 전무는 “장비 설치 등 주간에 하는 작업도 있지만 이번엔 상위망을 연결하는 작업으로 야간에 했어야 하는게 맞다. KT직원이 입회해야 했지만 그렇지도 않았다”고 말했다.

일각에선 KT가 외주 작업을 준 것이 문제였다는 지적이 나왔다. 이와 관련해선 “이번에 신규 장비를 도입하면서 사고가 벌어졌는데, 신규 장비 KT뿐 아니라 협력업체가 같이 해야 한다”고 설명했다.

초기에 분산서비스거부(DDoS·디도스) 공격으로 오판한 것과 관련해선 “인터넷 대형장애는 디도스 아니면 도메인네임시스템(DNS) 공격”이라고 설명했다.

권혜진 KT네트워크전략 담당 상무는 “지난 10월 초 도메인네임시스템(DNS) 공격이 있었고 전국적으로 DNS 트래픽이 올라갔고, 장애 알람이 올라와 디도스 공격 가능성을 최우선으로 염두에 뒀다”며 “라우팅 장에 오류 가능성도 같이 보고 병행해 분석했다”고 설명했다.

KT는 이와 같은 실수를 반복하지 않기 위해 연구개발센터에서 운영하던 시뮬레이션 시스템을 확대(가상화 테스트베드)한다는 계획이다. 사람의 실수로 인한 장애를 차단한다는 취지다.

이전까지 작업준비 단계에서만 적용했던 테스트베드를 가상화, 전국 각 지역에서 새로운 라우팅을 적용하기 직전 최종적으로 테스트한 이후 실제 망에 적용하는 것을 추진한다.

KT는 이를 통해 실제 망에 적용하기 전 발생할 수 있는 문제를 사전 파악할 수 있을 것으로 내다봤다.

또한 현재 모든 센터망과 중계망 및 일부 엣지망에 적용 중인 라우팅 오류 확산방지 기능(정보전달 개수 제한)을 모든 엣지망으로 확대할 계획이다. 이를 통해 엣지망에서 발생한 라우팅 오류가 전국망에 영향을 미치는 것을 사전 차단할 수 있다.

이와 함께 유선과 무선 인터넷 장애가 동시에 발생하지 않도록 다양한 형태의 백업망을 구성하는 방안을 마련할 예정이다.

KT는 작업관리와 관련해서는 기본 절차를 철저히 준수(Back to the Basic)하는 한편 원칙에서 벗어난 작업 방지를 위해 ‘현장작업 자동통제 시스템’을 도입한다.

우선 작업자가 주요 명령어를 입력할 때 OTP(1회용 패스워드)로 관리자가 승인하도록 해 관리책임을 강화한다.

다음으로 네트워크 관제센터에서 미승인 작업 여부를 실시간 자동으로 모니터링해 위험요소를 차단한다.

최종적으로는 관제센터에서 KT 직원의 작업 참여를 인증한 후에야 실제 작업이 가능하도록 하는 등 단계별 검증 프로세스를 구축할 계획이다.

서 전무는 “전국 어디서 미승인 작업을 하더라도 실시간적으로 검출할 수 있는, 자동검출로 기능을 적용하는 것은 물론 KT직원이 입회했는지 확인 후 최종적으로 작업 승인이 되는 기능을 구축할 것”이라고 말했다.