26일 일어난 국가정보자원관리원 화재로 29일 전자정부 서비스 대다수가 나흘째 중단된 가운데, 감사원이 행정안전부와 국가정보자원관리원에 행정 전산망의 이중화를 하지 않고 있다고 지적한 감사 결과가 공개됐다. 감사원은 각 전산 장비의 장애 발생률이 사용 3년이 지난 때부터 급증하기 시작하는데도 정부가 전산 장비의 사용 연한을 점점 더 길게 잡고 있다고도 지적했다. 이번 화재도 내구 연한이 지난 배터리에서 발생한 것으로 추정되고 있다.
감사원이 이날 공개한 ‘대국민 행정정보시스템 구축·운영 실태’ 감사 보고서에 따르면, 정부는 자체 업무와 대국민 전자정보 서비스 제공 등을 위해 행정 정보 시스템 1만7000여 개를 운영하고 있다. 또 각 시스템에 등급을 매겨, 장애가 발생했을 경우 파급력이 큰 중요 시스템은 높은 등급으로 관리하고 있다. 특히 1등급 시스템의 경우 장비 고장이나 화재 등의 상황이 벌어지더라도 서비스가 중단되지 않도록, 전산 장비를 삼중으로 설치하도록 하고 있다. 본 시스템과 같은 여벌 시스템을 구축해, 본 시스템에 장애가 발생하더라도 여벌 시스템으로 동일 시스템을 계속 제공하도록 하는 것이 원칙이다.
그러나 감사원이 확인해 보니, 국가정보자원관리원은 중요 시스템에 높은 등급을 매겨놓기만 했고, 실제 시스템 이중화나 다중화는 하지 않고 있었다. 정부24, 국가법령정보포털 등 60개 시스템은 1등급이면서도 여벌 시스템 구축이 돼 있지 않았다. 실제로 이 시스템들 대다수는 이번 화재의 영향으로 서비스가 중단된 상태다.
국가정보자원관리원은 각 시스템에 장애가 발생한 경우 1등급은 최대 2시간 이내, 2등급은 최대 2시간 30분 이내에 해결한다는 기준도 세워 놓았지만, 이 기준을 실제로는 더 느슨하게 적용해온 것으로도 드러났다. 이번 화재로 인한 서비스 중단은 67시간 넘게 계속되고 있고, 국가정보자원관리원은 이 완화된 기준도 지키지 못했다.
정부가 전산 장비의 교체 주기를 점점 길게 가져가면서 장비를 노후화시키고 있다는 점도 이번 감사를 통해 지적됐다. 정부는 전산 장비를 비롯한 각 물품에 ‘내용연수’를 설정해, 해당 물품을 도입하고 내용연수 기간이 지나야만 교체할 수 있게 한다.
2008년에만 해도 전산 장비 가운데 서버와 스토리지, 네트워크 스위치, 보안 장비의 내용연수는 5년으로 설정돼 있었고 라우터는 6년이었다. 그런데 내용연수를 정하는 조달청은 현재 도입된 전산 장비의 평균 사용 기간을 집계해 내용연수를 연장하고 있었다. 전산 장비 교체 예산이 확보되지 않아 전산 장비들이 오래 사용될수록, 평균 사용 기간이 늘어나고 내용연수도 덩달아 늘어나는 구조다.
그 결과, 2022년까지 전산 장비의 내용연수는 서버와 스토리지, 네트워크 스위치는 7년으로, 라우터는 9년, 보안 장비는 6년으로 늘어났다. 2008년에는 수명이 다해 교체해야 할 것으로 분류됐을 장비들도 2022년에는 규정상 아직 더 써야 하는 장비로 분류됐다.
그런데 국가정보자원관리원의 전산 장비들은 도입하고 3년간은 장애 발생률이 10% 미만이었으나, 4년째부터 장애 발생률이 급증하기 시작해 7년째에는 21.4%에 달하는 것으로 나타났다. 특히 서버의 경우에는 7년째가 되면 장애 발생률이 108.4%에 달했다. 평균적으로 모든 서버에 한 차례 이상 장애가 발생했다는 의미다. 감사원이 확인해 보니, 이 때문에 한 주요 인터넷 기업은 전산 장비를 4~5년을 주기로 교체하고 있었다.
국가정보자원관리원의 전산 장비는 제때 교체되지 않아, 2023년 기준으로 3만6688대 가운데 9612대(26.2%)가 내용연수를 넘긴 상태인 것으로 조사됐다. 이마저도 2022년 내용연수 기준을 늘렸기 때문으로, 그 이전 기준으로는 1만2700대(34.6%)가 노후 장비였다.
2023년 11월 벌어진 국가 행정 전산망 마비 사태는 노후화된 네트워크 장비(라우터)의 고장이 원인이었다. 지난 26일 발생한 전산망 마비 사태는 네트워크 장비 노후화가 원인은 아니었으나, 제조사가 제시한 내구 연한을 넘긴 리튬이온 배터리에서 화재가 발생하면서 시작됐다. 다만 감사원은 국가정보자원관리원이 내용연수를 넘긴 배터리를 사용하는 문제는 이번 감사 대상은 아니었다고 밝혔다.
현재 쓰고 있는 물품의 평균 사용 기간을 바탕으로 내용연수를 산정하는 것은 조달청이 각 물품에 대해 통상적으로 쓰는 방식이다. 그러나 각 정부 기관은 이런 식으로 내용연수를 정해서는 안 되는 사정이 있는 경우에는 조달청과 협의해 내용연수 정하는 방식을 바꿀 수 있다. 감사원은 국가정보자원관리원이 조달청에 전산 장비 내용연수 산정 방법을 달리해야 한다고 요청했어야 한다고 지적했다.
이번 감사는 2023년 11월 전산망 마비 사태를 계기로 지난해 초부터 이뤄진 것이다. 감사 보고서는 지난달 29일 확정됐고 오는 30일 공개될 예정이었으나, 이달 26일 발생한 전산망 마비 사태로 하루 앞당겨 공개됐다.