[AI돋보기] 송유관 대신 데이터센터…'전쟁 표적' 된 AI 인프라

중동 무력 분쟁의 불똥이 21세기 핵심 인프라인 데이터센터로 튀고 있다.

글로벌 빅테크가 운영하는 상업용 클라우드 데이터센터가 국가 간 교전에서 의도적 표적으로 지목돼 물리적 공격을 당하고 있기 때문이다.

이달 초 이란 혁명수비대(IRGC)는 아랍에미리트(UAE) 2곳과 바레인 1곳에 위치한 아마존웹서비스(AWS) 데이터센터 시설 일대를 드론으로 공격했다.

AWS는 드론 공격으로 인한 구조물 손상과 전력·연결성 장애 등을 일부 인정했고, 복구에 상당한 시간이 걸릴 수 있다고 밝혔다고 외신들은 전했다.

파장은 컸다.

중동 일부 주요 은행과 결제망, 모빌리티 앱, 데이터 분석 서비스 등 클라우드 기반 서비스가 잇따라 장애를 겪으며 실물 경제가 사실상 '디지털 송유관'인 데이터센터 한 번의 물리적 타격에 연쇄 마비될 수 있다는 취약성이 드러났다.

◇ 빅테크 시설 정조준…'제3의 AI 허브' 제동

문제는 이번 사태가 여기서 끝나지 않을 수 있다는 점이다.

이란 혁명수비대는 계열 매체 등을 통해 구글, 마이크로소프트(MS), 아마존, 엔비디아, 오라클, 팔란티어, IBM 등 미국 기술 기업의 중동·이스라엘 내 사무소·데이터센터 등 다수 시설을 표적으로 지목하는 목록을 공개했다.

해당 목록에는 수십 개에 이르는 클라우드 인프라·연구 시설이 포함된 것으로 알려지면서, 민간 상업 시설이 전면적인 안보 위협의 지형 안으로 편입되는 모양새다.

이에 따라 UAE가 야심 차게 추진하던 초대형 AI 인프라 투자 역시 직격탄을 맞았다.

아부다비 일대에 5GW급 AI 전용 데이터센터 캠퍼스를 조성하는 '스타게이트(Stargate)' 프로젝트는 이미 막대한 투자와 함께 글로벌 AI 허브 전략의 상징으로 꼽혀 왔다.

이번 공격 이후 인권·감시·안보 리스크를 이유로 데이터센터 대형화·집중화에 대한 재평가 요구가 커지면서, 스타게이트를 포함한 초대형 AI 인프라 프로젝트 전반에 대한 리스크 재평가 필요성이 제기되고 있다.

◇ 무너진 '사실상 무중단' 신화…'플랫폼 책임론' 부상

이란이 상업용 데이터센터를 때린 명분은 'AI의 군사화'다.

이란 측은 AWS 바레인 데이터센터 등이 미국과 동맹국의 군사·정보 활동을 지원하고 있으며, 미군과 이스라엘이 상용 클라우드 인프라를 통해 대형언어모델(LLM) 등 AI를 정보 분석에 활용하고 있다고 주장하고 있다.

일부 외신은 미 국방부가 앤트로픽의 LLM '클로드(Claude)'를 포함한 상용 AI 모델을 비분류 전술 정보 분석·실험에 활용한다는 보도를 내놓기도 했다.

문제는 통제 불가능한 민간 피해다.

군사·정보 관련 데이터와 금융·의료 등 민간의 민감 정보가 같은 퍼블릭 클라우드 인프라 위에서 혼재된 상태에서 해당 인프라가 군사 표적이 되는 순간 민간 데이터 전체가 안보 위협의 볼모로 잡히게 되기 때문이다.

지정학적 긴장과 클라우드·AI 인프라의 군사적 활용을 방치해 온 글로벌 플랫폼 기업과 국가의 책임을 묻는 '플랫폼 책임론'이 국제법·국제인도법 차원의 쟁점으로 떠오르는 이유다.

클라우드 업계의 '사실상 무중단' 신화도 흔들렸다.

AWS 등 글로벌 사업자들은 같은 지역 내 여러 데이터센터를 물리적으로 분리한 가용영역(AZ) 구조를 앞세워, 다중 AZ 구성 시 장애에도 서비스 연속성이 보장되는 것처럼 홍보해 왔다.

그러나 이번처럼 드론을 활용한 동시다발적 물리 타격이 가해질 경우 다중화로 설계된 구조가 실제로 어느 수준까지 위험을 흡수할 수 있는지 근본적인 의문이 제기되고 있다.

◇ 북한에 노출된 한국…물리적 방호 '발등의 불'

우리나라도 강 건너 불구경만 할 처지는 아니다.

당장 국내 주요 IT 서비스 상당수는 자체 데이터센터나 미국 지역 등을 활용해 이번 중동 사태의 직접적 피해에서는 벗어나 있지만 북한의 무인기·미사일 도발, 테러 위협 등 물리적 안보 리스크는 상존하고 있다.

국내 데이터센터 정책은 그동안 논리적 망 분리나 사이버 공격·해킹 방어에 초점을 맞춰 왔으나 이제는 '물리적 타격'이라는 최악의 시나리오를 상수로 전제해야 한다는 지적이 나온다.

전문가들은 미사일·드론·테러에 대비한 데이터센터의 물리적 방호 수준을 국가 기간 인프라급으로 끌어올려야 한다고 입을 모은다.

입지 선정 단계에서부터 지하화 및 방폭 설계를 의무화하고, 군사시설·전략 시설과의 안전거리를 법으로 명시하는 방안이 거론된다.

또 동일 국가·도시 안에서의 '논리적 분산'만으로는 충분치 않은 만큼, 물리적으로 완전히 떨어진 이종 지역·타국 리전에 백업 센터를 두는 '멀티 리전 재해복구(DR)'를 제도화할 필요가 있다는 의견도 제시된다.

데이터센터와 클라우드, AI 인프라를 '디지털 기간시설'로 규정하고 물리·논리 보안을 한꺼번에 다루는 가칭 '디지털 인프라 통합 보호법' 제정 논의에 속도를 내야 한다는 목소리도 커지고 있다.

중동에서 시작된 데이터센터 표적화가 앞으로 어떤 국제 규범과 안보 지형을 만들어낼지, 그리고 우리나라의 디지털 인프라 방호 체계가 그 속도를 따라잡을 수 있을지가 새로운 시험대가 되고 있다.

president21@yna.co.kr