Rain Lag

골판지 사건 플라네타리움 트램웨이: 거대한 장애를 도는 작은 실패와 종이 은하계

장난스러운 ‘골판지 플라네타리움’ 은유를 통해, 어떻게 작은 국지적 실패가 거대한 장애로 연쇄 붕괴하는지, 왜 시뮬레이션과 모델이 자주 거짓말을 하는지, 그리고 실패 물리학 관점, 의존성 시각화, 더 나은 알림 설계가 시스템을 종이로 만든 트램웨이처럼 무너지는 것에서 어떻게 지켜줄 수 있는지를 살펴본다.

골판지 사건 플라네타리움 트램웨이: 작은 실패들이 거대한 장애를 도는 종이 은하계를 굴려 보기

골판지로 아주 작은 플라네타리움을 만든다고 상상해 보자. 종이 행성을 실로 매달고, 별들 사이로 장난감 트램웨이를 지나가게 하고, 손전등 태양을 비춰 벽에 그림자를 드리운다. 친구들을 불러 놓고 스위치를 켜는 순간… 작은 종이 클립 하나가 툭 끊어진다. 행성 하나가 떨어져 트램웨이에 걸리고, 줄을 잡아당기고, 결국 은하계의 절반이 바닥으로 곤두박질친다.

이게 바로 골판지 사건 플라네타리움 트램웨이다. 실제 프로덕션 시스템이 어떻게 동작하는지를 보여 주는 장난스러운 은유다. 깔끔한 아키텍처 다이어그램처럼이 아니라, 마치 급조된 우주처럼 이렇게 동작한다.

  • 작은 실패가 거대한 장애를 공전한다.
  • 의존성은 눈에 보이지 않는 별자리(별무리)를 이룬다.
  • 우리가 보는 모델과 대시보드는, 잘해야 실제 우주의 정교하게 만들어진 골판지 복제품일 뿐이다.

이 글에서는 몇 개의 종이 은하계를 굴려 보면서 이야기해 보자.

  • 왜 미세한 실패가 전체 시스템을 전도(顚倒)시킬 수 있는가
  • 현실과 맞지 않는 시뮬레이션과 예측이 왜 우리를 속이는가
  • 소프트웨어와 인프라에서 말하는 “실패 물리학(physics‑of‑failure)”은 무엇인가
  • 왜 입력 데이터의 정밀도와 경계 조건이 전부라고 할 수 있는가
  • 의존성을 시각화하면 어디가 취약한 핫스팟인지 어떻게 드러나는가
  • 좋은 인시던트 알림이 종이 우주가 전소되는 것을 어떻게 막는가

1. 종이 클립 하나가 플라네타리움을 죽일 때: 작은 실패, 큰 장애

가장 위험한 인시던트는 종종 거대하고 눈에 띄는 실패가 아니다. 작고 국지적인 문제가 촘촘한 의존성 그물망을 타고 조용히 연쇄 붕괴를 일으킬 때가 더 치명적이다.

우리의 골판지 플라네타리움에서, 종이 클립 하나가 행성 하나를 매달고 있다. 이게 망가지면:

  • 행성이 떨어져 트램웨이에 끼이고,
  • 트램웨이가 멈추면서 모터 과부하를 일으키고,
  • 멀티탭(전원분배기)의 차단기가 떨어지며,
  • 광원인 손전등이 꺼져 버리고,
  • 결국 전체 "우주"가 암흑으로 빠져든다.

이 연쇄 과정 하나하나만 떼어 놓고 보면 그리 대단해 보이지 않는다. 하지만 이 조합이 모여 시스템 전체 장애를 만들어 낸다.

실제 시스템도 똑같다.

  • 특정 서비스의 사소한 설정 오류가 공용 데이터베이스를 포화 상태로 만든다.
  • 국지적인 네트워크 지터(jitter)가 재시도를 촉발해 여러 마이크로서비스 전반에 부하를 폭증시킨다.
  • 눈에 잘 띄지 않는 라이브러리 버그가 특정 피처 플래그 조합에서만 발현되지만, 한 번 트리거되면 실패를 연쇄적으로 전파한다.

이게 중요한 이유는, 촘촘하거나 잘 이해되지 않은 의존성이 사실상 눈에 보이지 않는 중력장처럼 작용하기 때문이다. 우리는 작은 위성 하나만 살짝 민다고 생각하지만, 실제로는 전체 궤도를 불안정하게 만들고 있다.

핵심 교훈: 의존성 그래프를 볼 수 없고, 그 위에서 제대로 추론할 수 없다면, 작은 것이 큰 것을 어떻게 박살 내는지 매번 놀라게 될 것이다.

2. 당신의 모델은 그저 골판지일 뿐이다: 예측은 현실과 맞을 때만 통한다

우리의 골판지 플라네타리움은 밤하늘을 모델링한 것이다. 유용하지만 범위와 한계 안에서만 그렇다.

인시던트 예측, 용량 모델링, 신뢰성 시뮬레이션도 마찬가지다. 이들은 모델과 현실의 일치 정도에 비례해 유효하다.

예를 들어, 이런 식이라면:

  • 모놀리식 아키텍처 시절의 인시던트 히스토리 데이터로 모델을 학습해 놓고, 그것을 마이크로서비스 아키텍처에 그대로 적용한다.
  • 실제 사용자 행동, 트래픽 스파이크, 통합 패턴을 반영하지 못하는 합성 부하 테스트만 한다.
  • 실제와는 다른 깔끔한 토폴로지, 정제된 데이터, 실험실 같은 스테이징 환경에만 의존한다.

…이 경우, 예측은 마치 완전히 고요한 골판지 방 안에서 궤도 역학을 공부해 놓고, 실제 프로덕션에서의 바람, 습도, 흔들리는 책상 다리를 보고 놀라는 것과 같다.

정확한 인시던트 예측과 모델링은 세 가지 축이 맞아떨어질 때만 의미가 있다.

  1. 입력 데이터 – 현실적인 트래픽 패턴, 실제 에러 분포, 진짜 토폴로지, 실제 설정 상태.
  2. 프로덕트(시스템) – 프로덕션과 같은 아키텍처, 기능, 코드 경로 (이상한 엣지 케이스 흐름과 피처 플래그 조합까지 포함).
  3. 컨텍스트(맥락) – 유사한 환경 조건: 지연 시간, 자원 경합, 상·하류 시스템의 행동, 운영 제약사항 등.

이 중 하나라도 크게 빗나가면, 시뮬레이션이 흥미로울 수는 있어도 프로덕션 안전 장치라기보다는 과학 경진대회 출품작에 가까워진다.

3. 실패 물리학(Physics‑of‑Failure): 소프트웨어와 시스템을 위한 균열 전파 이론

하드웨어 및 재료 공학에서 실패 물리학(physics‑of‑failure)사물이 근본적으로 어떻게 망가지는지를 이해하는 학문이다.

  • 금속에서의 균열 전파(crack propagation)
  • 반복 하중에 따른 재료 피로(material fatigue)
  • 온도 사이클에 따른 열 팽창·수축(thermal expansion)

신뢰성 설계는 단순한 추측이 아니라, 실제 실패 메커니즘을 모델링해 이뤄진다.

소프트웨어와 시스템에서도 비슷하게 생각해 볼 수 있다.

  • 리소스 피로(Resource fatigue) – 메모리 릭, 핸들 고갈, 파일 디스크립터가 조금씩 늘어나는 문제.
  • 상태 균열 전파(State crack propagation) – 손상된 데이터가 캐시, 큐, 데이터베이스를 타고 복제·전파되는 현상.
  • 제어 피로(Control fatigue) – 재시도 폭풍(retry storm), 떼지어 몰리는 요청(thundering herd), 연쇄 타임아웃으로 부하가 기하급수적으로 커지는 현상.

“안 깨졌으면 좋겠다”가 아니라, 실패 물리학적 관점은 이렇게 묻는다.

  • 이 스택에서 알려진 실패 메커니즘은 무엇인가?
  • 어떤 조건에서 최초 균열(초기 실패)이 시작되는가?
  • 그 균열은 컴포넌트와 의존성을 따라 어떻게 전파되는가?

다리 설계 엔지니어가 "언젠가 어딘가 피로가 쌓여 끊어질 것"을 전제로 위치와 메커니즘을 계산하듯, 우리도 "어디서, 어떻게 깨질 것인가"를 전제로 설계하기 시작해야 한다.

4. 디지털 시뮬레이션: 인시던트의 CAD 모델 만들기

기계 공학에서는 언제나 실물 프로토타입을 먼저 만들진 않는다. 대신:

  • 형상을 나타내는 CAD 모델을 만들고,
  • 재료와 그 특성을 정의하고,
  • 경계 조건(boundary conditions)—하중, 지지 조건, 온도—을 설정한 뒤,
  • 실제 물리 시험 대신 유한 요소 해석(FEA), 유체 해석(CFD) 같은 시뮬레이션을 돌린다.

인시던트 모델링도, 제대로 하면 이 패턴을 따른다.

  • 시스템 아키텍처 다이어그램은 CAD 모델에 해당한다.
  • 서비스 계약, SLA, 레이트 리밋은 재료 특성에 해당한다.
  • 트래픽, 실패 모드, 리소스 제약은 경계 조건이다.
  • 카오스 실험과 부하 테스트는 디지털 풍동(wind tunnel) 테스트와 같다.

이는 단순한 “스테이징에 트래픽 좀 때려 보자” 수준이 아니다. 의도적으로 다음을 시도하는 것이다.

  • 현실적인 실패 메커니즘을 도발하고,
  • 어디서 최초로 실패가 시작되고 어떻게 전파되는지를 관찰하며,
  • 프로덕션에서 정말 끊어지기 전에 설계와 제어 장치를 조정하는 것.

물리 시뮬레이션에서와 마찬가지로, 이 접근도 입력 데이터와 제약이 현실을 얼마나 잘 반영하느냐에 따라 성패가 갈린다.

5. 쓰레기를 넣으면 쓰레기가 나온다: 입력 데이터와 경계 조건의 품질

물리·디지털 시뮬레이션 모두에서, 입력 값의 정밀도와 신뢰도가 결과의 유용성을 좌우한다.

구조 해석 시뮬레이션을 생각해 보자. 필요 조건은 다음과 같다.

  • 정확한 재료 특성 (탄성 계수, 항복 강도, 피로 한계 등)
  • 부품의 상세한 형상 정보(geometry)
  • 현실적인 하중과 구속 조건

시스템 인시던트 시뮬레이션에서도 거의 동일한 요소가 필요하다.

  • 재료 특성 → 서비스 특성
    지연 시간 분포, 처리량 한계, 서킷 브레이커 설정, 재시도 정책, 캐시 동작 방식.
  • 형상 → 토폴로지와 데이터 흐름
    어떤 서비스가 어디를 호출하는지, 데이터가 어떻게 이동하는지, 큐와 캐시는 어디 있고, 무엇이 동기·비동기인지.
  • 경계 조건 → 운영 환경
    트래픽의 모양과 버스트 특성, 장애 시 의존성의 행동, 배포 주기, 정기 유지보수 창 등.

그런데도 다음과 같이 테스트한다면:

  • 실제와 전혀 다른 균일한 트래픽만 흘려보낸다.
  • 실제 의존성 대신 고립된 서비스만 부하 테스트한다.
  • 프로덕션과 전혀 다른 작고 깨끗한 데이터셋만 사용한다.

…우리는 완벽하게 안정된 책상 위의 이상적인 골판지 트램웨이만 시뮬레이션하는 셈이다. 실제 천장에 대충 볼트로 박아 놓은, 진동하고 과부하 걸린 괴물 같은 장치를 전혀 반영하지 못한다.

고품질 시뮬레이션은 좋은 공학 실험과 같은 엄격함을 요구한다.

  • 입력을 정확히 알고,
  • 어떤 가정을 뒀는지 이해하고,
  • 어떤 제약 안에서만 유효한지 문서화해야 한다.

6. 별자리 그리기: 의존성과 취약한 핫스팟 시각화하기

우리 골판지 플라네타리움에서 눈에 보이는 것은 행성뿐이다. 줄, 매듭, 종이 클립은 그림자 속에 숨어 있다. 하지만 실제로 시스템의 실패 양상을 결정하는 건 바로 이 보이지 않는 것들이다.

소프트웨어 시스템에서 이 줄과 매듭은 다음과 같다.

  • 서비스 간 호출
  • 공유 데이터베이스와 캐시
  • 메시지 버스, 큐, 공용 인프라

의존성을 시각화—그래프, 서비스 맵, 서비스 카탈로그 등—하면 다음이 가능해진다.

  • 다수의 서비스가 하나에 의존하는 팬인(fan‑in) 핫스팟을 찾는다.
  • 하나의 서비스가 요청 하나마다 여러 의존성으로 뻗어 나가는 팬아웃(fan‑out) 리스크를 본다.
  • 블라스트 레디우스(blast radius) 를 이해한다: 이 노드가 실패하면 누가, 어느 정도로 영향을 받는가?

지도가 생기면 곧바로 영향도 분석(impact analysis) 을 할 수 있다.

  • “이 서비스가 10분 동안 500을 내기 시작하면, 어떤 사용자 플로우가 깨지는가?”
  • “이 공유 Redis 클러스터가 느려지면, 어떤 API가 열화되는가?”
  • “표면적으로는 안 그래 보이지만, 실제로는 단일 장애 지점(SPOF)인 컴포넌트는 무엇인가?”

이런 시각화된 별자리는 작은 문제가 연쇄 폭발을 일으킬 수 있는 취약 지점을 드러낸다. 여기가 바로 다음을 적용할 후보들이다.

  • 더 강한 격리와 벌크헤드(bulkhead) 패턴
  • 더 나은 캐싱 전략
  • 서킷 브레이커와 백프레셔(backpressure)
  • 혹은 아주 간단히: 중요한 다섯 서비스를 같은 허약한 종이 클립에 모두 매달지 말 것.

7. 올바른 신호, 올바른 사람, 올바른 타이밍: 궤도 보정을 위한 인시던트 알림

아무리 잘 설계해도 언젠가는 반드시 깨진다. 중요한 건, 얼마나 빨리 감지하고 궤도를 수정하느냐다.

신뢰할 수 있는 인시던트 알림은 위성에 달린 작은 자세 제어 스러스터와 비슷하다.

  • 궤도 이탈을 일찍 감지하고,
  • 충돌이 나기 전에 조정할 수 있게 해 준다.

효과적인 알림 체계는 다음 세 가지를 만족해야 한다.

  1. 올바른 신호(Right signal)
    모든 메트릭의 미세한 흔들림이 아니라, 실제 사용자 영향과 핵심 건강 상태에 연결된 알림.

  2. 올바른 사람(Right people)
    맥락과 소유권을 가진 팀에게 인시던트를 라우팅하고, 무작위 온콜에게 떠넘기지 않는 것.

  3. 올바른 타이밍(Right time)
    사태가 악화되기 전에 충분히 이른 시점에 알리되, 너무 이른 노이즈로 진짜 문제를 묻어버리지 않는 균형.

작은 이상 징후를 빠르게 감지·전달할 수 있으면:

  • 장애 지속 시간을 단축시키고,
  • 국지적 문제의 전파를 막으며,
  • “행성 하나 떨어진 일”이 전체 트램웨이를 끌어내리지 않도록 막을 수 있다.

목표는 인시던트를 0으로 만드는 것이 아니라, 우주 규모로 커지기 전에 가둬 두는 것이다.

결론: 더 탄탄한 골판지 우주 만들기

당신의 프로덕션 환경은 사실상 골판지 플라네타리움에 엔터프라이즈 배지를 단 것에 가깝다. 영리하고 복잡하지만, 인정하기 싫을 만큼 허약하다.

이걸 무너지지 않게 지키려면, 진짜 공학 시스템처럼 다뤄야 한다.

  • 작은 국지적 실패도 의존성이 촘촘하거나 불투명하면 큰 시스템을 전도시킬 수 있음을 받아들여라.
  • 모델과 예측은 입력, 시스템, 맥락이 현실과 정렬될 때만 의미가 있다는 사실을 인식하라.
  • 자신의 스택에 대해 실패 물리학적 관점을 갖고, 시스템이 어떤 메커니즘으로 깨지는지 이해하라.
  • 디지털 시뮬레이션(부하 테스트, 카오스 실험) 을 할 때, 정확한 입력 데이터, 현실적인 토폴로지, 올바른 경계 조건을 사용하라.
  • 의존성을 시각화하고 영향도 분석을 통해 취약한 핫스팟과 잠재적 대재앙 단일 장애 지점을 찾아라.
  • 신뢰할 수 있는 인시던트 알림 체계에 투자해, 올바른 신호를 올바른 사람에게 올바른 시점에 전달하라.

요약하면 이렇다. 당신의 우주에서:

  • 종이 클립이 어디에 있고,
  • 줄이 어떻게 묶였으며,
  • 골판지 구조물 중 어떤 부분이 사소한 실패 하나에 전체 정전을 부를 만큼 위태로운지 알아야 한다.

그리고 그걸 아는 순간부터, 한 조각씩, 한 줄씩, 트램웨이를 단순한 공예품에서 실제로 궤도를 유지할 수 있는 구조물로 진화시킬 수 있다. 다음 작은 인시던트가 당신의 은하계를 바닥으로 쏟아 버리기 전에 말이다.

골판지 사건 플라네타리움 트램웨이: 거대한 장애를 도는 작은 실패와 종이 은하계 | Rain Lag