12일→14일→19일→…
50대 연령층의 신종 코로나바이러스 감염증(코로나19) 백신 접종 사전예약 접수가 시작된 첫날마다 ‘먹통’ 현상이 이어지고 있다. 밤잠을 설쳐가며 예약을 했다는 민원 때문에 서버 오픈 시간을 자정에서 오후 8시로 바꿔봤지만 밤샘 대기는 여전했다. 15일 오후 8시 55~59세의 사전예약이 재개됐지만, 오픈 1시간 반 동안 ‘접속 지연’이 일어났다. 급기야 53~54세 사전예약이 시작된 19일 오후 8시에는 완전히 ‘먹통’이 돼 2시간가량 서버를 긴급 증설해 오후 10시에야 예약이 재개됐다. 하지만 그 이후에도 접속이 원활하지 않았고 새벽에는 또다시 코딩 오류가 발생해 예약을 못 하는 상황이 이어졌다.
문제는 20일 오후 8시부터 50~52세 234만명에 대한 사전예약 접수가 또다시 시작된다는 점이다. 전날 150만명이었던 인원보다 약 80만명 늘어난 숫자다. 코로나19 예방접종대응 추진단은 서버를 재기동하고 클라우드를 증설하며 대책을 마련 중이지만 국내 정보보안 전문가들은 또다시 지연 현상을 벌어질 것이라고 예고했다. 이들은 “정부가 초보적인 실수를 계속하고 있다”며 “클라우드 증설 같은 플랜B 대책을 진작 만들었어야 했다”고 쓴소리를 쏟아냈다.
“디도스 공격과 같은 상황…뒷문 뚫린 건 초보적 실수”
소위 ‘백도어(뒷문)’를 통해 사전예약에 성공한 이들에 대해서는 “트래픽이 몰려 마비가 되니까 서버로 바로 들어가는 주소를 가지고 직통으로 가버린 것”이라며 “대학에서도 수강 신청할 때 백도어를 막아놓는데 이걸 예상 못 했다는 건 너무 초보적인 실수”라고 말했다. 특히 김 교수는 “보통 에러가 났을 때 급하게 수리해야 하니까 개발자 등이 백도어 채널을 갖고 있는 경우가 많다. 보안상 50~60%는 내부에서 알음알음 주소가 퍼져나가는 형태이기 때문에 내부 단속부터 철저히 해야 한다”고 지적했다.
익명을 요청한 보안 전문가는 “백신 접종 신청률이 높은 고령층에게 편의를 제공하기 위해 다소 복잡한 인증과정을 생략해 편법 접근이 가능했던 것으로 본다”며 “매크로 프로그램을 차단하기 위해선 이미지화된 문자나 숫자를 입력하거나 이중인증으로 유저의 정보를 한 번 더 인증하도록 설계하는 것도 방법 중 하나”라고 설명했다.
“접속자 몰렸다고 핑계 대지 말고 보완했어야”
특히 임 교수는 이번에 정부가 내놓은 대책과 관련해서도 비판을 이어갔다. 추진단은 잇따라 ‘접속 장애’가 이어지자 19일 서버 오픈 전 재기동을 했고, 그럼에도 가동이 제대로 안 되자 예약을 중단하고 클라우드를 증설해 용량을 키우는 작업을 했다. 임 교수는 “서버 재기동은 결국 컴퓨터를 껐다가 끄는 건데 너무 초보적인 대처라 크게 도움이 되진 않았을 것”이라고 말했다.
클라우드 증설과 관련해선 “진작 했어야 하는 대책이었다”고 지적했다. 임 교수는 “민간기업이었으면 이 정도 상황에서 플랜B, 플랜C까지 준비해놓았을 텐데 정부는 사람이 몰려서 그렇다는 핑계만 대고 있었다”고 꼬집었다. 염흥열 순천향대 정보보호학과 교수는 “트래픽을 클라우드 쪽으로 일부 가져가면 용량이 더 여유가 생기기 때문에 이런 식의 접근은 도움이 될 것 같다”고 말했다.
이날 정우진 추진단 시스템관리팀장은 “클라우드에 들어가 있는 서버 용량을 4대로 운영할 예정이었다가 교착상태가 발생해 10대로 늘려서 대응했다”고 말했다. 정 팀장은 12일에는 100만, 14일에는 약 300만, 19일에는 600만 정도의 예약 대기자가 있었다고 설명했다. 다만 한 클라우드 전문가는 “IT 자원만 클라우드로 이관한다고 해서 모든 문제가 해결되지는 않는다”고 말했다.
“국민 이미 학습…자식에 손주까지 나서서 대기”
김 교수는 “무엇보다 정부가 한정된 백신을 선착순으로 배분하는 식으로 시그널을 주고 있는 것이 가장 큰 문제”라고 지적했다. 김 교수는 백신 사전예약의 경우 선착순 50명 안에 반드시 들어야 하는 수강신청과 같은 방식으로 진행될 이유가 전혀 없는데 정부가 지나치게 자율권을 줘 ‘경쟁’ 형태가 벌어지게 된 것이라고 설명했다. 그는 “질병청이 개인에게 맡겨놓고 손 놓고 있기보다 어떻게 하면 인원을 분산할 수 있을지 머리를 맞대야 한다. 최대한 인원을 연령·지역·요일 등으로 나눠 분산할 필요가 있다”고 말했다.
또 대상자가 아닌 이들이 접근하는 문제가 지속될 경우 “고유의 식별 번호를 나눠줘 그 번호를 가지고 있는 사람만 들어올 수 있도록 하고 나머지는 막아버리는 방법도 있다”고 말했다. 다만 “이 방법은 시스템 업그레이드를 해야 하므로 기술력에 따라 시간이 걸릴 수 있다”고 조언했다.