아마존의 서비스 먹통, 소통도 먹통, 대응도 먹통

아마존웹서비스(AWS) 서울리전, 22일 8시 19분부터 9시 43분까지 84분간 DNS 오류
다양한 국내 기업 홈페이지 및 서비스 먹통...피해이유 몰라 고객에게 설명 못해
절대적 우위보이는 AWS...고객들이 쉽게 서비스를 바꾸거나 항의 못해

[보안뉴스 원병철 기자] 2018년 보안시장, 더 나아가 IT시장의 최대 이슈를 꼽자면 반드시 후보로 선정될 것 중 하나가 바로 클라우드 서비스(Cloud Service)다. 기관과 기업들이 온프라미스 환경에서 클라우드 환경으로 변화하면서 가장 두각을 드러낸 기업이 바로 아마존이다. 아마존 웹 서비스(AWS)란 강력한 클라우드 서비스를 바탕으로 전 세계 클라우드 시장을 석권한 아마존은 현재 독과점이라 불릴 정도로 자리 잡았다.

▲AWS 홈페이지. 11월 23일 19시 현재 공식적인 사건에 대한 설명이나 사과는 없다[자료=AWS 홈페이지 캡처]

문제는 이러한 아마존의 독주에서 드러난 폐해다. 지난 11월 22일 오전 8시 19분부터 9시 43분까지 AWS 서울리전이 원인을 알 수 없는 이유로 장애를 일으키면서, 84분간 국내의 다양한 온라인 기반 서비스들이 작동을 멈췄다. 다른 피해기업보다 빠르게 정상화한 것으로 알려진 삼성전자의 AI서비스 △빅스비를 비롯해 온라인 마켓을 운영하는 △쿠팡 △마켓컬리, 배달서비스 △배달의민족, 저비용 항공사 △이스타항공, 금융 서비스 △카카오스탁 △클레이온, 암호화폐 거래소 △업비트 △코인원 등 다양한 기업의 홈페이지와 서비스가 먹통이 됐다.

더 심각한 것은 이러한 사고가 발생한지 2일이나 지났지만 누구도 이번 사고에 대해 설명하거나 책임지려하지 않는 사실이다. 심지어 아마존은 이번 사건과 관련해 “서버에 이상이 있어 84분간 작동이 중지됐으며, 현재는 이상이 없다”는 대답만 했을 뿐, 이에 대한 사과나 책임에 대해서는 언급하지 않았다.

▲서비스 먹통에 대해 설명한 업비트. AWS로부터 설명을 듣지 못해 이용자에게 제대로 설명을 못한 상황이 드러나 있다[자료=업비트 홈페이지 캡처]

심지어 이들은 이번에 피해를 입은 기업들에게도 제대로 된 설명을 하지 않은 것으로 알려졌다. 암호화폐 거래소 업비트는 홈페이지 공지를 통해 “아마존 내부 DNS 이슈로 업비트 서비스를 이용할 수 없게 된 점에 대해 죄송하다”면서, “업비트도 사전에 아마존으로부터 관련 안내를 받지 못한 상황이었기 때문에 회원들에게 지급 점검관련 공지를 드리지 못했다”고 사과했다.

사용자들에게 서비스를 제공하는 기업들이 상황에 대한 설명을 제대로 받지 못하자 그 피해는 고스란히 사용자들에게 돌아갔다. 서비스가 멈춘 이유를 모른 기업들이 사용자에게 제대로 설명하지 못하고, 언제쯤 정상화가 될지, 이번 사고로 얼마만큼의 피해를 입었을지 알리지 못하면서 피해 기업들은 이중고를 겪어야 했다.

문제는 현재 상황에서 AWS를 이용 중인 기업들이 클라우드 서비스를 바꾸거나, 아마존에 손해배상을 요청하는 등 적극적인 대처를 하지 못한다는 사실이다. AWS가 클라우드 서비스 시장에서 압도적인 지위를 자랑하는 만큼 다른 서비스를 선택하는 것도 쉽지 않고, 비용이나 속도역시 만족스러운 입장이기 때문에 섣부르게 AWS에 등을 돌리지 못한다는 사실이다.

이에 대해 법무법인 바른의 전승재 변호사는 “AWS의 약관을 잘 살펴봐야 하겠지만, 발표한대로 DNS 설정 오류가 문제였고, DNS의 관리 주체가 아마존이라고 하면 법적으로 채무불이행책임을 물을 여지가 있어 보인다. 다만 DNS의 관리 주체가 다른 곳이라고 할 경우에는 좀 더 기술적으로 접근해봐야 한다”고 설명했다.

한편, 일각에서는 이번 사고를 교훈삼아 클라우드 서비스를 이원화하거나, 오프라인도 병행하는 등 대응할 수 있도록 준비해야 한다고 주장하고 있다. 아울러 최근 고객정보를 유출한 아마존 본사의 문제와 함께 이번 사건으로 아마존과 AWS에 대한 고객들의 신뢰가 떨어지면서, MS나 국내기업 등 클라우드 서비스 시장에도 변화가 생길것이라는 주장도 제기되고 있다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)