Rain Lag

아날로그 신뢰성 스토리 기차역: 다음 장애 러시아워를 예측하는 종이 시각표 만들기

기차역 관점, 종이 시각표, 그래프 기반 위험 분석을 활용해 인시던트 대비 태세를 근본적으로 개선하고, 다음 장애 러시아워를 살아남는 방법을 다룹니다.

아날로그 신뢰성 스토리 기차역: 다음 장애 러시아워를 예측하는 종이 시각표 만들기

마지막으로 장애가 “딱 좋은 타이밍”에 났던 게 언제였나요?

그렇죠. 그런 일은 거의 없습니다.

장애는 늘 최악의 타이밍에 찾아옵니다. 블랙박스 앱은 제품 출시 한가운데에서 얼어붙고, 핵심 서버는 분기 마감일에 다운되며, 네트워크는 트래픽 피크에 맞춰 질식하듯 막혀버립니다. 여기서 얻는 교훈은 단순합니다. 인시던트(장애)는 필연적이지만, 혼란은 선택 사항입니다.

이 글에서는 익숙한 비유인 **기차역(train station)**을 통해 신뢰성을 다시 생각해 보려 합니다. 구식 아날로그 스타일의 **종이 시각표(paper timetable)**를 인시던트 대응용으로 어떻게 설계할 수 있는지 살펴보겠습니다. 여기에는 로컬 공발생 서브그래프(localized co-occurrence subgraph), 시계열(시간) 서브그래프(temporal subgraph), NOC 운영 같은 현대적인 개념들이 뒷받침됩니다.

당신의 운영 환경을 거대한 "그랜드 센트럴 역"으로 설계한다고 생각해 보세요. 열차(이벤트), 선로(의존성), 시각표(플레이북), 신호 박스(당신의 NOC)가 모두 조화를 이루며, 러시아워에도 트래픽이 끊기지 않게 만드는 것입니다.

왜 ‘영웅적인 소방전략’보다 선제적 준비가 중요한가

잘 운영되는 철도는, 열차가 고장났을 때 디스패처(관제)가 얼마나 드라마틱하게 대처하느냐로 평가되지 않습니다. 문제를 겪더라도 승객이 그 사실을 거의 인식하지 못할 만큼 드물게 느끼게 만드는지가 관건입니다.

시스템도 마찬가지입니다.

어떤 신뢰성 전략이든 두 가지 진실 위에서 결정됩니다.

  1. 실패는 불가피하다. 하드웨어는 죽고, 소프트웨어에는 버그가 있으며, 의존성은 바뀌고, 사람은 설정을 잘못합니다.
  2. 준비는 선택이다. 같은 실패라도 짧게 통제된 서비스 장애로 끝낼지, 아니면 전사 비상, 밤샘 대참사로 만들지는 당신이 결정합니다.

선제적 준비란 곧 다음을 의미합니다.

  • 올오어낫싱(all-or-nothing) 방식 대신 **우아한 성능저하(graceful degradation)**를 설계한다.
  • 장애 시 무엇을, 누가, 어떤 순서로 할지 미리 문서화한다.
  • 실제 상황에서 몸이 기억할 정도로 반복적으로 연습한다.

기차역 비유로 보자면, 눈앞에서 두 대의 열차가 같은 선로에서 마주 보는 상황이 오기 전까지 손 놓고 있는 것과, 애초에 시각표를 설계할 때 그런 충돌이 생기지 않도록 막는 것의 차이입니다.

장애에도 러시아워가 있다

치명적인 장애가 꼭 3시 새벽, 점검 윈도우 시간에만 생기지는 않습니다. 대부분은 당신 사업의 러시아워에 터집니다.

  • 블랙프라이데이 트래픽 폭주
  • 월간 정산/과금 배치 실행 시간
  • 금융 서비스의 ‘세금 신고 시즌’
  • 대형 스포츠 경기일의 스트리밍 플랫폼

이런 순간에 시스템은 다음과 같은 상태에 놓입니다.

  • 최대 부하(peak load) 처리 중
  • 더 많은 동시 프로세스가 돌아가는 중
  • 무언가 잘못되면 사용자가 받을 영향이 극대화되는 시점

"비수기(off-peak)" 장애만 상정하고 대비한다면, 애초에 틀린 세상을 상정하고 계획을 짜는 셈입니다.

기본 가정을 러시아워로 두고 설계하세요.

  • 페일오버와 인시던트 런북을 피크 부하 조건 아래에서 테스트합니다.
  • 대시보드, 채팅 툴, 페이징 시스템 같은 인시던트 도구들이 부하 상황에서도 정상 동작하는지 검증합니다.
  • 피크 타임 인시던트에서는 더 빠르고 더 명확한 커뮤니케이션과, 무엇을 먼저 복구할지에 대한 엄격한 우선순위가 필요하다고 가정합니다.

기차역 관점으로 말하자면, 텅 빈 자정의 역에서 비상벨만 살짝 눌러보는 게 아니라, 월요일 아침 8시 30분, 출근 러시아워에 비상 시스템을 점검해보는 것입니다.

숨겨진 위험 찾기: 로컬 공발생 서브그래프(Localised Co‑Occurrence Subgraphs)

이제 매표창구를 떠나, 신호실로 들어가 봅시다.

무대 뒤에서 당신의 시스템은 거대한 **의존성 그래프(graph of dependencies)**입니다.

  • 서비스들이 다른 서비스를 호출하고
  • 데이터베이스가 여러 제품을 동시에 뒷받침하며
  • 네트워크, 스토리지, CI/CD 파이프라인 같은 공용 인프라가 공유되고 있습니다.

많은 대형 장애는 단일 거대 실패 하나 때문에 발생하지 않습니다. 그보다는 동시에 발생한 여러 개의 작은 문제가 겹쳐서 터지는 경우가 많습니다. 마치 한 선로의 작은 지연과 다른 선로의 일시적인 신호 장애가 겹치며 큰 혼잡으로 이어지는 것처럼요.

이 지점을 파고드는 개념이 바로 **로컬 공발생 서브그래프(localized co-occurrence subgraph)**입니다.

로컬 공발생 서브그래프란?

운영 그래프를 바라보는 하나의 방식입니다. 그 중에서도 소규모 컴포넌트 군집에 주목합니다. 이들은:

  • 동시에 이벤트가 발생하는 빈도가 높은 컴포넌트이거나,
  • 함께 부하를 받을 때 위험도가 급격히 커지는 컴포넌트 조합입니다.

예를 들면:

  • 결제 서비스, 그 하위에 있는 부정 거래 탐지(Fraud Check) API, 그리고 이 둘이 공유하는 Redis 캐시가 체크아웃 시점마다 동시에 부하가 치솟는 경우
  • 특정 Kubernetes 노드 풀, 로깅 파이프라인, 네트워크 게이트웨이가 자주 같은 5분 윈도우 안에서 알람을 터뜨리는 경우

이벤트 로그, 알람, 성능 메트릭, 인시던트 포스트모템을 분석하면, 다음과 같은 위험한 동시 발생 패턴을 식별할 수 있습니다.

  • 어떤 서비스들이 자주 함께 실패하는가?
  • 어떤 인프라 컴포넌트들이 사고 다발 구간처럼 행동하는가?
  • 개별적으로 보면 SPOF(단일 장애점)는 없어 보이지만, 조합으로 보면 사실상 SPOF인 서브시스템은 어디인가?

기차로 치면, 두 개의 바쁜 노선이 노후화된 인프라 구간에서 교차하는 곳을 가리키는 것과 같습니다. 각각 혼자 달릴 때는 괜찮습니다. 하지만 함께, 심한 교통량을 받으면 탈선 위험 구간이 됩니다.

이 인사이트를 어떻게 활용할까

  • 플레이북 사전 정의: 이 세 컴포넌트에서 동시에 문제가 보이면, 이미 대형 인시던트일 가능성이 높다는 걸 알고 들어갑니다.
  • 우선순위 기반 개선: 가장 위험한 클러스터를 먼저 보강하거나 리디자인합니다.
  • 알림 고도화: 개별 알람뿐 아니라, 위험한 조합 패턴이 함께 나타날 때 작동하는 ‘패턴 알람’을 만듭니다.

연쇄 장애를 그려보기: 실패의 시계열 서브그래프(Temporal Subgraphs)

어떤 문제는 한 번에 모두 나타나지 않습니다. 시간이 지나며 연쇄적으로(cascade) 터집니다.

간단한 예를 들어 보겠습니다.

  1. 네트워크 파티션으로 인해 기본(primary) 데이터베이스 연결이 느려집니다.
  2. 애플리케이션이 재시도를 늘리면서 스레드 풀을 포화시킵니다.
  3. 큐가 밀리기 시작하고, 사용자 facing API가 타임아웃을 내기 시작합니다.
  4. 클라이언트는 새로고침/재시도를 반복하며 상황을 더 악화시킵니다.

이건 우연이 아니라 순서와 패턴이 있는 사건의 흐름입니다. 이 연쇄를 이해하도록 도와주는 도구가 바로 시계열 서브그래프(temporal subgraph)입니다.

시계열 서브그래프란?

시계열 서브그래프는 시간에 따른 이벤트와 의존관계를 그래프로 표현한 것입니다.

  • 노드(Node): 컴포넌트, 서비스, 인프라 요소
  • 엣지(Edge): 인과 또는 상관 관계 (예: A의 장애 후 5분 내 B의 성능 저하가 자주 발생)
  • 시간(Time): 이벤트 발생 순서와 타이밍

이를 위해 과거 인시던트들을 분석하면:

  • 보통 어떤 컴포넌트가 가장 먼저 문제를 내는지,
  • 대형 장애에 앞서 나타나는 **조기 경고 신호(early warning sign)**가 무엇인지,
  • 첫 번째 증상이 나타난 후, 실제로 광범위한 영향이 나타나기까지 얼마나 시간적 여유가 있는지

를 파악할 수 있습니다.

기차역 비유로 풀어 보면:

  • A노선의 작은 지연이 보통 4번 승강장 혼잡에 선행하고,
  • 그로부터 10분 뒤에는 B·C 노선의 출발이 줄줄이 지연되며,
  • 15분쯤 지나면 역 전체가 얼어붙는 패턴을 찾아내는 것입니다.

이 인사이트를 어떻게 활용할까

  • 조기 개입(Early Intervention): 연쇄 장애에서 항상 먼저 깨지는 컴포넌트 X가 있다면, X에 대해 특별 알람과 초고속 완화 절차를 정의합니다.
  • 전략적 스로틀링: 연쇄의 정점에 도달하기 전에, 레이트 리밋(rate limit)이나 기능 플래그(feature flag)를 활용해 부하를 줄입니다.
  • 인시던트 드릴: 이 연쇄 흐름을 시뮬레이션하며, 팀이 이 패턴을 인지하고 중간에 ‘도미노’를 끊어낼 수 있도록 훈련합니다.

목표는 "다운됐다, 이제 어쩌지?" 에서 *"첫 도미노가 넘어졌다, 나머지는 미리 막자"*로 옮겨가는 것입니다.

NOC를 신호 박스이자 관제탑으로 만들기

**NOC(Network Operations Center)**는 기차역의 관제실이자 신호 박스입니다. 모든 신호, 화면, 시각표가 한 데 모이는 곳이지요.

복잡하게 얽힌 위험을 관리하려면, NOC는 단순히 대시보드가 모여 있는 방 이상이어야 합니다. 지속적으로 최적화되는 운영 시스템이어야 합니다.

핵심 실천 사항은 다음과 같습니다.

  • 단일 상황 인식 뷰(Single Pane of Glass): 메트릭, 로그, 트레이스, 알람을 의존성 그래프에 맞게 일관된 뷰로 통합합니다.
  • 패턴 인식: 로컬 공발생 서브그래프와 시계열 서브그래프 분석 결과를 토대로 NOC 런북과 온스크린 워크플로를 설계합니다.
  • 명확한 역할과 에스컬레이션 경로: 디스패처(관제), SME(도메인 전문가), 인시던트 커맨더 등, 러시아워에 누가 어떤 역할을 맡는지 모두가 알고 있어야 합니다.
  • 지속적인 개선 루프: 모든 대형 인시던트는 대시보드, 알람, 절차 업데이트로 이어져야 합니다.

NOC는 아날로그 계획과 디지털 실행이 만나는 곳입니다. 종이 시각표는 이곳에서 설계·개선되고, 실제 장애 상황에서는 사람과 도구가 함께 이를 실행합니다.

나만의 "종이 시각표" 인시던트 플레이북 만들기

이제 오늘 이야기의 주인공, **종이 시각표(paper timetable)**를 살펴볼 차례입니다.

철도는 운행을 즉흥으로 하지 않습니다. 공식 시각표를 발행합니다. 누구나 참고할 수 있는, 명확하고 고정된 기준입니다. 인시던트 대응도 마찬가지로 해야 합니다.

인시던트 계획을 **혼돈을 위한 시각표(timetable for chaos)**라고 생각해 보세요. 압박이 극심한 상황에서도 참고할 수 있는, 구조화되고 인쇄 가능하며, 한눈에 이해되는 단계별 가이드입니다.

시각표(플레이북)에 포함해야 할 것들

  1. 인시던트 분류와 트리거 조건

    • 인시던트를 어떻게 분류하나요? (SEV-1, SEV-2 등)
    • 명확한 기준: "X와 Y 알람이 Z분 이내에 함께 발생하면 SEV-1 선언" 같은 형태로 정의합니다.

  2. 역할과 책임

    • 인시던트 커맨더, 커뮤니케이션 리드, 각 기술 리드 등
    • 누가 의사결정을 내리고, 누가 공지를 담당하며, 누가 실제로 키보드를 잡는지 명확히 합니다.

  3. 첫 5–15분 체크리스트

    • 인시던트를 선언하고 전용 채널/브리지를 개설합니다.
    • 역할을 즉시 할당합니다.
    • 의심되는 공발생 클러스터나 시계열 패턴에 맞춰 미리 준비된 대시보드를 띄웁니다.

  4. 알려진 패턴 기반 의사결정 트리

    • 특정 공발생 클러스터 패턴이 보이면, 해당 서브 플레이북을 따릅니다.
    • 지금이 연쇄 장애의 어느 단계인지(시계열 서브그래프 상에서) 파악하고, 그 단계에 맞는 완화 조치를 즉시 적용합니다.

  5. 커뮤니케이션 시각표

    • 내부: 어떤 심각도에서 누구에게, 어떤 주기로 알릴지 정의합니다.
    • 외부: 고객, 상태 페이지(Status Page), 경영진 보고 일정과 포맷을 명확히 정해둡니다.

  6. 디에스컬레이션(완화) 및 종료 기준

    • SEV-1에서 SEV-2로 내리는 조건은 무엇인지,
    • 인시던트를 종료하기 전에 반드시 수집해야 할 로그·데이터, 작성해야 할 기록은 무엇인지 정의합니다.

  7. 사후 리뷰(Post-Incident Review) 일정

    • 시간 박스를 두고, 비난 없는(Blame-aware, Blameless) 학습 중심 리뷰를 진행합니다.
    • 여기서 나온 인사이트를 그래프 모델, 알람, 플레이북에 다시 반영합니다.

왜 "종이"가 중요한가

"종이 시각표"가 실제로 프린트를 해야 한다는 뜻은 아닙니다. 다만 다음을 의미합니다.

  • 계획이 명시적이어야 하며, 특정 사람 머릿속에만 있지 않아야 합니다.
  • 스트레스 상황에서도 읽고 따라갈 수 있을 정도로 간결해야 합니다.
  • 버전 관리가 되고, 시간이 지날수록 계속 개선되어야 합니다.

인시던트 대응 방식이 전부 사람 머릿속이나 여기저기 흩어진 위키 페이지에만 있다면, 당신은 역을 운영하는 게 아니라, 플랫폼에서 즉흥 공연을 하고 있는 셈입니다.

모든 것을 하나로 엮기

아날로그 비유와 그래프 이론은 언뜻 보기엔 어울리지 않아 보일 수 있지만, 두 가지를 결합하면 강력한 신뢰성 접근법이 탄생합니다.

  • 선제적 준비는 실패는 필연이지만, 혼돈은 그렇지 않다는 걸 인정하는 태도입니다.
  • 러시아워를 기준으로 설계하면, 가장 필요한 순간에도 시스템과 프로세스가 버틸 수 있게 됩니다.
  • 로컬 공발생 서브그래프는 작은 위험들이 모여 큰 장애가 되는 지점을 드러냅니다.
  • 시계열 서브그래프는 오늘의 작은 이상 징후가 내일의 대형 인시던트로 이어지는 경로를 보여줍니다.
  • 지속적으로 최적화되는 NOC는 이 모든 것을 지휘하는 관제탑 역할을 합니다.
  • 구조화된 종이 시각표형 인시던트 플레이북은 이런 인사이트를 실제 장애 상황에서 빠르고 예측 가능한 행동으로 전환시켜 줍니다.

다음 대형 장애는 일어나느냐 마느냐의 문제가 아니라, 언제 일어나느냐의 문제입니다. 그리고 그 "언제"는 상당히 높은 확률로 러시아워와 비슷한 모습일 것입니다.

열차가 선로 위에서 멈춰 서 있고, 승강장에 승객이 가득 찬 그 순간이 되어서야 시각표를 설계하기 시작해서는 안 됩니다. 지금, 비교적 한가한 시간대에, 여유 있는 정신으로 **그래프를 정리하고, NOC를 다듬고, 그 비유적 시각표를 ‘출력’**해야 합니다.

이제 스스로에게 물어보세요. 당신의 인시던트 시각표는 어떤 모습인가요? 그리고 다음 러시아워에 실제로 그 시각표를 따라야 한다면, 정시에 갈아타기에 충분할까요?

아날로그 신뢰성 스토리 기차역: 다음 장애 러시아워를 예측하는 종이 시각표 만들기 | Rain Lag