프랑스도 불길에 전산망 멈췄다…EU는 어떻게 대비하나

OVH 화재로 360만개 사이트 마비, 정부 포털도 멈췄다
EU, NIS2 지침으로 복구·연속성 법제화
韓 국정자원 화재, 제도 보완 시급성 드러나

국가정보자원관리원 화재로 인한 정부기관 서비스 중단 사태 나흘째인 29일 부산 부산진구청 입구에 민원 업무 차질을 안내하는 문구가 나오고 있다. 뉴시스

[파이낸셜뉴스] 국가정보자원관리원 대전 본원 화재로 국가 전산망이 나흘째 멈췄다. 단순 화재가 행정·금융 전산을 동시에 마비시킨 이번 사태는 한국이 여전히 물리적 재해 대응에 취약하다는 사실을 드러냈다. 유럽연합(EU)이 사이버보안 지침 'NIS2(Network and Information Security2)'를 통해 해킹뿐 아니라 화재·정전 등 재해에도 대비하도록 한 배경과 맞물려 제도 보완 필요성이 커지고 있다.

29일 외신에 따르면, 해외에서도 이번 국정자원 화재와 유사한 사고가 있었다. 대표적으로 2021년 프랑스 최대 규모 OVH 데이터센터에서 대형 화재가 발생해 약 360만개 웹사이트가 중단됐고, 정부 포털 등 공공 서비스도 멈췄다.

백업이 없던 일부 고객 데이터는 영구 손실됐다. 유럽 최대 클라우드 사업자조차 물리적 재해 앞에서는 무력하다는 사실이 드러난 사례였다.

OVH 화재는 NIS2 시행 이전 발생했지만, NIS2가 데이터센터와 클라우드 사업자를 점검·규제 대상으로 포함해야 하는 당위성을 보여주는 사례로 학계에서 자주 인용된다.

이와 관련해 EU는 기존 NIS 지침을 보완한 NIS2를 2020년 12월 제안해 2023년 발효시켰다. NIS2는 클라우드 서비스, 데이터센터, 공공기관을 '필수조직(Essential Entities)' 혹은 '중요조직(Important Entities)'으로 지정해 보안 의무를 대폭 강화했다.

NIS2는 사이버 공격 대응에 초점을 두면서도 그것에만 국한되지 않고 운영 연속성과 사고 복구 계획을 의무화했다. 해킹뿐 아니라 화재·정전 등 물리적 재해로 인프라가 중단돼도 서비스가 지속되도록 요구한 것이다.

화재 자체를 예방하는 것은 건축법과 소방법의 영역이기 때문에, NIS2는 복구와 연속성을 직접 규정한다. 데이터센터가 화재로 소실돼도 다른 지역에서 백업·이중화가 가동돼야 하고, 정기적인 복구 훈련과 우회 경로 확보가 의무화된다.

이를 지키지 않으면 규제 위반에 따른 제재가 부과된다.

NIS2가 있었으면 OVH 화재가 발생하지 않았을 것이라는 의미가 아니다.

다만, 화재 같은 물리적 재해가 발생하더라도 서비스 전체가 장시간 마비되지는 않아야 한다는 것이 NIS2의 요구다.

whywani@fnnews.com 홍채완 기자