늦게 발표된 윤초…클라우드 보안 이슈는?

전문가 칼럼입력 :2016/08/04 10:17    수정: 2016/08/04 10:38

김호광 gameworker@gmail.com

시간은 일정하게 흐르지 않는다.

지구의 자전 속도는 여러 요인으로 인해 느려지거나 빨라지기도 한다. 지구의 자전 속도가 느려지게 되면 1초를 더하는 윤초를 넣어 시간을 맞춘다.

윤초(閏秒)란 협정 세계시에서 기준으로 삼고 있는 세슘 원자시계와 실제 지구의 자전·공전 속도를 기준으로 한 태양시의 차이로 인해 발생한 오차를 보정하기 위하여 추가하는 1초이다.

김호광 SW개발자

국제지구자전좌표국(IERS)에 따르면 오는 12월 31일 표준시(UTC)를 1초 늦추는 윤초(閏秒)가 시행된다. 이에따라 UTC보다 빠른 시간대에 있는 한국은 새해 1월 1일에 윤초가 적용되지만 UTC보다 늦은 시간대의 아메리카 대륙, 대서양에 있는 국가들은 2016년 12월31일밤 12시에 윤초가 추가된다.

이렇게 되면 북미 지역의 클라우드 서버와 동남 아시아 클라우드 서버 사이에서 동기화를 할 때 윤초로 인한 영향을 받을 수도 있다.

물론 많은 서비스들이 1초 이하의 리얼타임으로 동기화하지는 않는다. 그러나 2012년 리눅스와 자바, 일부 오픈소스가 장애를 일으키면서 윤초로 인한 시스템 장애가 현실화되기도 했다.

2012년 이후 클라우드는 보다 대중화됐다. 리얼타임이 요구되는 분석과 서비스가 늘어났다. 확률적으로 장애의 가능성이 더 높아졌다.

영화 엔트랩먼트(Entrapment)에서는 1999년 밀레니엄 버그로 인한 장애를 방지하기 위해 은행 보안 시스템을 셧다운한 틈을 타서 전산상의 돈을 훔친다. 윤초는 시간과 시간 사이에 끼어 들어오는 것이기 때문에 전산상의 셧다운과 비슷한 효과를 발생시킬 수 있다.

어플라이언스로 보안 장비들이 납품되던 2012년과 달리 클라우드, SDN, NFV가 광범위하게 퍼지면서 보안 장비도 가상머신(VM) 위에서 가상화되어 서비스되고 있다. 아마존웹서비스(AWS) 마켓 플레이스나 마이크로소프트 애저(Azure)에도 UTM이나 방화벽, 웹방화벽 등의 서비스가 써드 파티나 클라우드 서비스 업체에 의해 통합되어 있다.

2012년 콴타스 항공의 예약 시스템이 다운되거나 링크드 인, 포스퀘어에서 장애가 발생한것은 오픈소스에서 윤초 버그였을 뿐이다. 하지만 클라우드 VM 위로 올라간 보안 장비들이 찰라의 시간에 보안 점검이 되지 않는 시간 속에서 바이패스되거나 장애가 발생했을 때의 피해는 상상 이상일 수 있다.

관련기사

클라우드 상에 있는 보안 소프트웨어가 윤초의 순간 정상 작동하지 않는 것을 검증한 해커들이 핀테크 업체를 공격해 돈을 훔치거나 고객 DB를 빼내는 것도 가능한 시나리오다.

일반적으로 윤초는 6개월 전에 발표돼 준비할 시간이 있었지만, 이번에는 여러 이유로 다소 늦게 발표되었다. 그런만큼, 클라우드로 서비스를 하는 업체들은 이번 윤초에 대한 장애 가능성에 대해서 클라우드 전반의 보안 솔루션까지 포함해 검토할 필요가 있다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.