사전예약 사이트 '먹통ㆍ백도어' 사태…전문가 "너무 초보적 실수"

[사진 코로나19 예방접종 사전예약 시스템 화면 캡처]

50대 연령층의 신종 코로나바이러스 감염증(코로나19) 백신 접종 사전예약 접수가 시작된 첫날마다 ‘먹통’ 현상이 이어지고 있다. 밤잠을 설쳐가며 예약을 했다는 민원 때문에 서버 오픈 시간을 자정에서 오후 8시로 바꿔봤지만 밤샘 대기는 여전했다. 15일 오후 8시 55~59세의 사전예약이 재개됐지만, 오픈 1시간 반 동안 ‘접속 지연’이 일어났다. 급기야 53~54세 사전예약이 시작된 19일 오후 8시에는 완전히 ‘먹통’이 돼 2시간가량 서버를 긴급 증설해 오후 10시에야 예약이 재개됐다. 하지만 그 이후에도 접속이 원활하지 않았고 새벽에는 또다시 코딩 오류가 발생해 예약을 못 하는 상황이 이어졌다.

문제는 20일 오후 8시부터 50~52세 234만명에 대한 사전예약 접수가 또다시 시작된다는 점이다. 전날 150만명이었던 인원보다 약 80만명 늘어난 숫자다. 코로나19 예방접종대응 추진단은 서버를 재기동하고 클라우드를 증설하며 대책을 마련 중이지만 국내 정보보안 전문가들은 또다시 지연 현상을 벌어질 것이라고 예고했다. 이들은 “정부가 초보적인 실수를 계속하고 있다”며 “클라우드 증설 같은 플랜B 대책을 진작 만들었어야 했다”고 쓴소리를 쏟아냈다.

14일 한 온라인 커뮤니티 이용자가 올려 놓은 사전예약 사이트 우회 주소. [캡처]

우선, 김명주 서울여대 정보보호학 교수는 이번에 일어난 ‘먹통’ 현상은 쉽게 말해 ‘디도스 공격’을 받았을 때와 같은 상황이라고 설명했다. 김 교수는 사전예약 사이트에 접속하기 전 단계인 네트워크 서버에서 번호표를 발급받아 차례로 사이트에 들어가게 되는데 이곳에 지나치게 많은 이들이 모이면서 연결이 갑작스레 끊어지게 된 상황이라고 말했다. 특정 인터넷 사이트가 소화할 수 없는 정도의 트래픽을 일으켜 서비스를 마비시키는 디도스 공격과 같은 이치라고 볼 수 있다고 덧붙였다.

소위 ‘백도어(뒷문)’를 통해 사전예약에 성공한 이들에 대해서는 “트래픽이 몰려 마비가 되니까 서버로 바로 들어가는 주소를 가지고 직통으로 가버린 것”이라며 “대학에서도 수강 신청할 때 백도어를 막아놓는데 이걸 예상 못 했다는 건 너무 초보적인 실수”라고 말했다. 특히 김 교수는 “보통 에러가 났을 때 급하게 수리해야 하니까 개발자 등이 백도어 채널을 갖고 있는 경우가 많다. 보안상 50~60%는 내부에서 알음알음 주소가 퍼져나가는 형태이기 때문에 내부 단속부터 철저히 해야 한다”고 지적했다.

익명을 요청한 보안 전문가는 “백신 접종 신청률이 높은 고령층에게 편의를 제공하기 위해 다소 복잡한 인증과정을 생략해 편법 접근이 가능했던 것으로 본다”며 “매크로 프로그램을 차단하기 위해선 이미지화된 문자나 숫자를 입력하거나 이중인증으로 유저의 정보를 한 번 더 인증하도록 설계하는 것도 방법 중 하나”라고 설명했다.

정은경 질병관리청장(중앙방역대책본부장)이 14일 오전 충북 청주시 질병관리청에서 신종 코로나바이러스 감염증(코로나19) 백신 50대 예방접종 사전예약 오류 개선 등과 관련한 긴급 브리핑을 마친 뒤 인사하고 있다. 연합뉴스

그렇다면 ‘접속 장애’를 막을 사전 대비책은 없었을까. 임종인 고려대 정보보호대학원 교수는 “아무리 대량의 접속자가 몰린다고 해도 세 번씩이나 실수를 반복하는 건 정부의 대처가 그만큼 초보적이었기 때문”이라고 쓴소리를 했다. 임 교수는 “네이버나 다음 같은 서버는 수천만 명이 접속해도 문제가 없다. 이미 수백만 명의 인원이 몰릴 것으로 예상이 됐기 때문에 그 정도의 준비를 해놨어야 맞다”며 “특정 시간대에 어느 정도의 사람이 접속하려고 하는지 예측하는 걸 완전히 실패한 것”이라고 지적했다.

특히 임 교수는 이번에 정부가 내놓은 대책과 관련해서도 비판을 이어갔다. 추진단은 잇따라 ‘접속 장애’가 이어지자 19일 서버 오픈 전 재기동을 했고, 그럼에도 가동이 제대로 안 되자 예약을 중단하고 클라우드를 증설해 용량을 키우는 작업을 했다. 임 교수는 “서버 재기동은 결국 컴퓨터를 껐다가 끄는 건데 너무 초보적인 대처라 크게 도움이 되진 않았을 것”이라고 말했다.

클라우드 증설과 관련해선 “진작 했어야 하는 대책이었다”고 지적했다. 임 교수는 “민간기업이었으면 이 정도 상황에서 플랜B, 플랜C까지 준비해놓았을 텐데 정부는 사람이 몰려서 그렇다는 핑계만 대고 있었다”고 꼬집었다. 염흥열 순천향대 정보보호학과 교수는 “트래픽을 클라우드 쪽으로 일부 가져가면 용량이 더 여유가 생기기 때문에 이런 식의 접근은 도움이 될 것 같다”고 말했다.

이날 정우진 추진단 시스템관리팀장은 “클라우드에 들어가 있는 서버 용량을 4대로 운영할 예정이었다가 교착상태가 발생해 10대로 늘려서 대응했다”고 말했다. 정 팀장은 12일에는 100만, 14일에는 약 300만, 19일에는 600만 정도의 예약 대기자가 있었다고 설명했다. 다만 한 클라우드 전문가는 “IT 자원만 클라우드로 이관한다고 해서 모든 문제가 해결되지는 않는다”고 말했다.

지난 12일 질병관리청 코로나19 예방접종 사전예약 페이지 캡처. 연합뉴스

김명주 교수는 이같은 대처에도 50~52세 사전예약이 개시되면 또다시 지연 현상이 벌어지는 건 막기 어려울 것이라고 내다봤다. 김 교수는 “앞에 대기자가 10만명 있던 게 5만명 정도로 줄 수는 있지만 큰 차이가 있을까 싶다”라며 “이미 국민은 학습됐다. 50~52세 예약이라고 하면 아들ㆍ딸, 손주까지 나서서 예약하다 보니까 대상자가 100만명이라고 해도 실제 접속하는 인원은 300만~400만명까지 올라갈 수밖에 없다”고 말했다.

김 교수는 “무엇보다 정부가 한정된 백신을 선착순으로 배분하는 식으로 시그널을 주고 있는 것이 가장 큰 문제”라고 지적했다. 김 교수는 백신 사전예약의 경우 선착순 50명 안에 반드시 들어야 하는 수강신청과 같은 방식으로 진행될 이유가 전혀 없는데 정부가 지나치게 자율권을 줘 ‘경쟁’ 형태가 벌어지게 된 것이라고 설명했다. 그는 “질병청이 개인에게 맡겨놓고 손 놓고 있기보다 어떻게 하면 인원을 분산할 수 있을지 머리를 맞대야 한다. 최대한 인원을 연령·지역·요일 등으로 나눠 분산할 필요가 있다”고 말했다.

또 대상자가 아닌 이들이 접근하는 문제가 지속될 경우 “고유의 식별 번호를 나눠줘 그 번호를 가지고 있는 사람만 들어올 수 있도록 하고 나머지는 막아버리는 방법도 있다”고 말했다. 다만 “이 방법은 시스템 업그레이드를 해야 하므로 기술력에 따라 시간이 걸릴 수 있다”고 조언했다.