반복영역 건너뛰기
지역메뉴 바로가기
주메뉴 바로가기
본문 바로가기

전문가오피니언

[전문가오피니언] 인도네시아의 국립 데이터센터 구상: 2024년 6월 해킹 사태가 남긴 교훈

인도네시아 Unggul Sagena University of Indonesia, School of ICT and Digital Transformation for Tourism Industry Lecturer 2024/08/07

You may download English ver. of the original article(unedited) on top.





인도네시아의 국립 데이터센터 구상
인도네시아가 데이터 일체형 공공 서비스의 효용성과 효과를 제고하기 위해 출범한 국립 데이터센터(PDN: Pusat Data Nasional) 구상은 공공 서비스 분야에서의 디지털 기술 활용을 확대하려는 인도네시아 정부의 노력을 보여준다. 인도네시아 정부가 이 구상을 통해 달성하고자 하는 1차적 목표는 데이터 관리에 들어가는 예산의 효율화이다. 프랑스 정부의 지원을 받는 PDN은 총 4개 지역에1) 지부를 두고 인도네시아 전역에 서비스를 제공할 예정이다.

현재 인도네시아의 각급 정부기관이 출시한 앱의 수는 총 2만 7,000개에 달하고,2) 이들 각각을 관리하는 데이터센터의 설립과 운영에는 상당한 자금이 들어간다. 지금까지는 개별 기관이 자신만의 데이터센터를 별도로 설립하거나 제3자에 작업을 위탁해왔지만, 이는 동일한 기능의 중복이나 예산의 낭비로 이어지며 중앙정부의 데이터 단일화(One Data) 정책에도 반하는 것이다.3) 이러한 상황에서 인도네시아에서는 데이터 중앙집중화의 편익과 비용에 관한 논의가 이루어졌고, 2018년에는 ‘전자정부 시스템에 관한 대통령령 95호(Presidential Regulation No. 95 of 2018 on Electronic-Based Government Systems)’가 법제화되었다. 이에 따라 관련 사무를 관장하게 된 인도네시아 통신정보부는 자체적 자원과 절차를 동원해 PDN 설립 작업에 돌입했다.

인도네시아 통신정보부는 디지털화 프로세스를 더욱 가속화하라는 조코 위도도(Joko Widodo) 대통령의 임기 말 지시에 따라 2022년에 클라우드 기반 임시 국립 데이터센터(PDNS: Pusat Data Nasional Sementara) 설립을 결정했다. PDNS의 설치에는 전자정부 시스템의 구조에 관한 2022년 대통령령 132호의 내용도 영향을 미쳤다. PDNS는 현재 210개 정부기관이 제공하는 282개 서비스의 유관 정보를 관리하고 있고, 국제 표준을 준수하는 방식으로 클라우드 기술을 활용한다. 찌까랑(Cikarang)과 수라바야(Surabaya)에 각각 1호 및 2호 설비를 두고 있는 PDNS는 이외에 땅에랑(Tangerang)에 백업시설을, 반땀(Bantam)에 비상용 임시이전 시설을 보유하고 있다.4) 

국가 차원의 데이터센터와 같은 핵심 인프라의 설립과 운영에는 가장 엄격한 기준이 적용되어야 한다. 이 중 대규모 시설에는 3급 기준 이상이 적합하며, 독립된 분산경로와 물리적으로 분리된 복수의 시스템을 구비한 4급 기준 시설 의 경우 특정 설비가 고장나더라도 문제없이 가동될 수 있다.5) 아울러 이러한 고수준 시설의 설계에는 상호운용성이나 재난복구에 관한 고려도 반영된다. 다만, 이론상으로는 높은 기준을 충족해야 할 인도네시아의 PDNS가 실제로도 그에 부합하는 요건을 갖추고 있는지에 대해서는 의문이 제기되고 있다.



해킹 및 정보유출로 인한 불안 증폭
2024년 6월 중순에 발생한 PDNS 정보보안 사고는 인도네시아 국민들에게 큰 충격을 안겨주었다. 사고 당시 PDNS 2호기는 6월 17일 자정을 전후한 때부터 사이버 랜섬웨어 공격을 받기 시작했고, 이어 6월 20일에는 PDNS에 대한 접근 자체가 막혔다. 이 때문에 이민 서비스 등 PDNS가 제공하는 데이터에 의존하던 여러 시스템의 작동이 중단되어 인도네시아의 많은 공공 서비스가 마비되는 사태가 벌어졌다. 이후 인도네시아에서는 데이터 제공과 앱 운영의 중단으로 대부분의 공공 서비스가 마비되는 상황이 1주일 이상 이어졌고, 국민의 원성이 높아지자 인도네시아 정부는 그제서야 자금을 요구하는 해커들이 PDNS에 침투해 랜섬웨어를 심었다는 사실을 공개했다. 그 이전까지 통신정보부는 이번 공공 서비스 장애를 단순 사고로 지칭하면서 담당 팀이 장애 복구작업을 벌이고 있다고 해명했었다. PDNS의 운영주체이자 이번 사건에 책임이 있는 정부기관은 통신정보부와 사이버암호화폐청(BSSN)이며, 이들은 사태 발생 2주만에 랜섬웨어 퇴치 포기를 선언하면서 해커들에게 돈을 건네지는 않을 것이라고 밝혔다.6) 그 결과 해커들이 탈취한 데이터의 복구는 불가능해졌고, 복구용 백업본이 존재하는 데이터도 전체의 2%에 불과한 5개 기관 분량에 그쳤다.7)8)

이러한 상황에서 PDNS의 보안을 둘러싼 논란이 발생하는 것은 자연스러운 일이었다. 먼저 PDN과 PDNS의 구조 설계 측면에서는 데이터 중앙집중화가 가져오는 부작용이 이번 사태로 더욱 명확하게 드러나면서 분산형 구조, 모듈형 일체화 구조 등 여타 선택지에 관한 논의가 재점화되었다. 아울러 통신정보부가 데이터센터의 구조와 보안을 설계하는 과정에서 대중이나 이해관계자, 기술 전문가 공동체의 참여가 배제되었다는 점도 문제로 지적되었다. 또한 인도네시아 정부의 사이버 보안 역량 부족에 관한 열띤 논쟁도 전개되었다. 인도네시아에서는 이전에도 선거관리위원회(KPU)나 보건∙사회보장국(BPJS)의 정보가 유출되는 사건이 발생한 적이 있으며, 이외에 인도네시아군 전략정보국(BAIS)이 보유한 민감자료나 경찰청 소속 자동 지문인식 시스템(INAFIS) 등록정보도 해킹으로 유출되어 다크웹에서 매매된 사례가 있다.9)10)   

세이프넷(SAFEnet)은 2022년 인도네시아에서 발생한 디지털보안 사고가 302건에 달한다고 보고했는데, 이는 2020년의 147건, 2021년의 193건에 비해 크게 증가한 수치이다.11) 또한 서프샤크(Surfshark)에 의하면 2020~ 2024년 세계의 디지털 계정정보 유출건수는 도합 39억 6,000만 건이었고, 이 중 인도네시아는 약 9,422만 건으로 국가별 순위에서 8위를 기록했다(<그림 1> 참조).12)



BSSN이 내놓은 보고서에 의하면 2023년에 인도네시아에서 발생한 정보유출 의심건수는 103건인데, 이 중 69%에 해당하는 71건이 정부가 제공하는 공공 서비스 부문에서 일어났다(<그림 2> 참조).13) 또한 2024년 1월부터 5월까지 발생한 의심 네트워크 트래픽은 7,400만 건이고, 맬웨어(Malware) 관련 활동이 이 중 4,400만 건 이상을 차지했다.14)



데이터센터 마비 사태가 남긴 교훈
최근 발생한 PDNS 마비 사태는 인도네시아 정부가 당초 안전성과 안정성, 고급 기준 준수를 홍보했던 핵심 인프라 개발을 실제로 주도할 의지와 역량, 능력을 충분히 가지고 있지 못하다는 문제를 드러냈다. 인도네시아 정부가 설립한 PDNS는 내부에서 발생한 특정 장애가 회로나 시스템 전체의 마비로 이어질 수 있는 설계상의 결함을 안고 있었으며, 해커들이 시스템에 침투하자 PDNS에 자료를 저장했던 정부기관들은 통신정보부와 BSSN의 해결 노력을 지켜보는 일 이외에는 아무 것도 할 수 없었다.

BSSN이 랜섬웨어 공격을 사전에 예상하고 있었다는 점,15) 그리고 통신정보부가 PDN 및 PDNS의 보안성을 호언장담했음에도 불구하고 PDNS가 해커들의 침투에 무력하게 당한 이번 사태는 완벽한 네트워크 보안이 현실에 존재하기 어렵다는 사실을 말해준다. 최근에는 부디 아리 세티아디(Budi Arie Setiadi) 통신정보부 장관이 국민에게 사죄하고 현재 상황에 대한 책임을 지는 차원에서 사임할 것을 요구하는 온라인 청원도 등장했는데,16) 7월 6일 기준으로 2만 5,000명 이상이 해당 청원에 동참한 상태이다.17) 이번에 확인된 또 하나의 문제는 개인정보보호법(Personal Data Protection Law No. 27/2022)에 규정된 절차가 준수되지 않았다는 점이다. 본 법에 따르면 개인정보 유출 시도가 발생할 경우 유관기관이 정보 소유주에게 그 사실을 통보해야 하지만, PDNS 랜섬웨어 공격 사태 당시에는 이러한 통보가 이루어지지 않았다.

데이터센터의 보안 개선을 위한 노력 방향
인도네시아는 향후 정보유출 사고를 방지하기 위해서 다음과 같은 데이터센터 보안 강화책을 취할 필요가 있다. 첫째, 데이터센터 관련 조달 및 입∙낙찰 절차에 대한 철저한 감사를 진행하고, 매우 엄격한 평가기준을 적용해야 한다. 조코 위도도 대통령은 최근 정부 데이터센터에 대한 감사를 지시했으며,18) 해당 업무는 인도네시아 감사원(BPKP)이 담당하게 된다. 이외에 통신정보부와 BSSN도 PDN 및 PDNS이 보유한 사이버 보안기술과 인적자원의 수준에 대한 포괄적 감사를 자체적으로 진행할 필요가 있다.

둘째, 데이터센터 마비 사태 이후 통신정보부 장관의 사퇴를 요구하는 목소리가 나오는 것은 자연스러운 일이나, 이번 사태에 대한 책임을 묻는 과정에서는 단순한 땜질식 인사를 넘어 근본적 리더십을 강화하는 조치를 취해야 한다. 인도네시아는 지금까지 정보통신 분야 각료를 정치적 동기에 따라 임명하는 경향을 보여왔는데, 앞으로는 정보 보호 및 보안에 대한 종합적 식견, 효과적인 정보기술 정책 시행에 관한 비전과 사명감을 모두 갖춘 전문가를 기용하는 것이 바람직하다.
셋째, 사이버 및 정보 보안체계를 개선해야 하며, 여기서 자료 백업은 가장 필수적인 조치이다. 고객의 중요 자료를 다루는 데이터센터, 그 중에서도 민감하고 핵심적 정보가 저장되는 PDN이나 PDNS에서 발생할 수 있는 자료 손실 위험성을 통제하기 위해서는 핵심 자료 전부를 정기적으로 백업해 별도의 장소에 보관하는 작업이 요구된다. 이외에 자료 백업에 암호화를 적용하고, 이렇게 백업된 자료의 정상적 복구가 가능한지를 정기적으로 테스트하는 절차의 도입도 필요하다. 이 점에서 별도의 데이터 복구센터 설치는 메인 시스템이 장애를 겪을 경우 피해 확산을 방지하는 주요 수단 중 하나로 기능할 수 있다.

넷째, 통신정보부, BSSN, PDN 및 PDNS의 인적 역량을 신장하고, 침입감지 시스템이나 네트워크 모니터링 수단을 확보해야 한다. 아울러 사이버 공간에서의 위협에 제대로 대응하려면 디지털 인프라 보안성 강화에 다수의 이해관계자가 협력하는 방식이 정립되어야 하며, 정부가 테크기업이나 시민단체 등과도 정보와 자원을 공유할 필요가 있다.19)

결론
기술 의존도가 높은 국가적 핵심 인프라인 PDN과 PDNS에 대한 랜섬웨어 공격은 디지털 인프라가 지닌 취약성 문제를 드러내는 계기가 되었고, 기술 분야 공동체나 정부 서비스를 이용하는 일반 대중을 비롯한 많은 이들이 이번 사태로 기존의 데이터센터 운영방식에 대한 실망감을 느꼈다. 하지만 그렇다고 PDN과 PDNS 구상 자체를 폐기하는 것은 정답이 될 수 없으며, 대신 현존 시스템의 개선 및 보안성 강화방안을 찾는 것이 보다 바람직한 노력의 방향이다.

이외에 철저하고 종합적인 재발 방지책, 개인정보 보호책, 국가 사이버 보안 취약점 대응책 등을 마련하는 일도 앞으로의 과제이다. 국립 데이터센터의 책임성을 보장하고 높은 수준의 보안성을 확보하기 위해서는 기존의 접근법을 개혁하고 감사 절차를 도입해야 하며, 시민들이 신뢰할 수 있는 리더십을 발휘하면서 이번 정보유출 사태를 극복하려는 노력도 필요하다. 특히 지금처럼 정부의 정책에 대한 인도네시아 대중의 신뢰가 저하된 상황에서는 정책결정자들이 추후 행보를 신중하게 검토하면서 잃어버린 신뢰를 회복하기 위한 조치를 취해 나가야 한다.

본 페이지에 등재된 자료는 운영기관(KIEP)AIF의 공식적인 입장을 대변하고 있지 않습니다.

목록