이 페이지에서는 아키텍처의 회복탄력성 태세를 설명해요. 여러 메커니즘은 아직 활발히 개발 중이지만, 설계는 확정되었고 위협은 실제 존재해요. 항목별 구현 상태가 궁금하다면 문의해 주세요. 비밀유지계약 하에 현재 진행 상황을 공유해 드려요.
인프라
무언가 작동하지 않을 때도 계속 작동하도록 설계했어요.
Clavitor 인프라의 모든 부분은 각 종속성, 각 공급업체, 각 계층에 대해 동일한 질문을 던지며 설계되었어요. 이것이 실패하면 어떻게 될까? 전체 스택에 걸쳐 이 질문을 고민했고, 아키텍처를 설계하여 항상 동일한 답변이 나오도록 했어요. 볼트가 계속 서비스를 제공해요.
이 페이지에는 우리가 고민한 내용을 나열했어요. 구체적인 메커니즘, 즉 각 문제를 어떻게 해결하는지는 비공개로 유지하며, 전문 고객사에는 비밀유지계약 하에 해당 세부 정보를 제공해요. 위협 목록을 공개하는 것은 엔지니어링에 대한 솔직함이지만, 방어 수단을 공개하는 것은 공격자에게 무료 설계도를 제공하는 것과 같아요.
우리가 설계한 대상
하이퍼스케일 클라우드 장애
주요 클라우드 공급업체도 장애가 발생해요. 자주 일어나지는 않지만 눈에 띄게 발생하며, 그럴 때면 인터넷의 많은 부분도 함께 마비돼요. 우리는 어떤 하이퍼스케일러든 결국 전 세계적으로 심각한 장애를 겪을 수 있다는 가정 하에 설계했어요. 그런 상황이 발생해도 Clavitor는 계속 자격 증명을 제공해요.
지역 재난 및 물리적 사건
데이터 센터에 대한 드론 공격, 해저 케이블 절단, 자연재해, 지역 전쟁과 같은 지역적 사건은 전체 클라우드 리전을 오프라인으로 만들 수 있어요. 2026년 3월 1일, AWS 중동 리전 두 곳이 동일한 사건으로 동시에 마비되었어요. 우리는 이를 가정이 아닌 교훈으로 삼았어요. 아키텍처는 지역적 사건을 고객이 인지하지 못하는 일상적인 장애 모드로 처리해요.
DNS 공급업체 장애
DNS를 호스팅하는 회사에 장애가 발생하면, 스택의 다른 모든 부분이 정상이라도 서비스가 마비돼요. 이는 Cloudflare, Route 53 등 모든 주요 DNS 공급업체에 해당하는 사실이에요. 우리는 DNS 공급업체에 심각한 장애가 발생했을 때의 상황을 고려했어요.
인증 기관 장애
인증서 갱신이 필요할 때 인증 기관에 연결할 수 없으면 TLS가 마비돼요. 인증 기관이 침해당하면 해당 기관이 발급한 모든 인증서가 무효화돼요. 우리는 CA 인프라에 문제가 생겼을 때 TLS에 어떤 일이 일어나는지 고려했어요.
도메인 등록 기관 문제
등록 기관이 계정을 정지시키거나 침해당하면, DNS가 어디에 호스팅되든 도메인이 사라지거나 리디렉션돼요. 우리는 등록 기관에 장애가 발생했을 때의 상황을 고려했어요.
TLD 운영 기관 문제
최상위 도메인(.com, .ai, .io)을 운영하는 기관 자체가 단일 장애 지점이에요. 소규모 TLD는 운영 역량이 부족한 소규모 기관에서 운영해요. 우리는 TLD 운영 기관에 심각한 문제가 생겼을 때의 상황을 고려했어요.
이메일 공급업체 장애
이메일 공급업체에 장애가 발생하면 계정 복구 코드가 도착하지 않고, 가입 확인 이메일도 오지 않으며, 고객 지원 수신함이 마비돼요. 우리는 이메일 공급업체에 연결할 수 없을 때 인증과 복구에 어떤 일이 일어나는지, 그리고 더 중요하게는 이메일이 마비된 동안 제품의 나머지 부분에 어떤 일이 일어나는지 고려했어요.
SMS / 전화번호 의존성
많은 서비스가 이메일 장애 시 SMS로 인증을 대체해요. 우리는 이를 검토했지만 그렇게 하지 않기로 결정했어요. 전화번호를 요구하면 수집하고 싶지 않은 개인정보 항목이 추가되고, 고객이 SIM 스와핑 공격에 노출되며, 또 다른 공급업체 종속성이 생겨요. 우리는 더 나은 경로를 선택했어요.
운영 컨트롤 플레인 장애
자체 인프라를 관리하는 데 사용하는 도구들도 장애가 발생할 수 있어요. 오케스트레이션 메시, 조정 계층, 배포 파이프라인 등이 그렇죠. 각각은 장애가 발생할 수 있는 공급업체 관계예요. 우리는 각 장애의 결과를 고려하고 공급업체가 운영하는 컨트롤 플레인에 대한 의존도를 점진적으로 줄였어요.
소프트웨어 버그
전면적 장애의 가장 유력한 단일 원인은 모든 곳에 한 번에 배포된 자체 소프트웨어의 버그예요. 실행 중인 모든 복사본이 동일한 방식으로 충돌할 때는 지리적 분산이 아무리 많아도 소용없어요. 우리는 이를 고려하여 카나리 배포, 빠른 롤백, 킬 스위치 등 배포 방식을 설계했어요.
계정 수준의 공급업체 조치
계정 정지, 결제 분쟁, 규제 보류, 이용약관 집행은 단 하나의 공급업체 관계를 한 번에 무력화할 수 있어요. 우리는 모든 핵심 공급업체 관계가 일방적으로 종료될 때의 결과를 고려하고, 모든 계층에서 단일 공급업체 종속을 방지하도록 설계했어요.
연관 장애
어떤 사건은 여러 대상을 한꺼번에 마비시켜요. 여러 경로에 영향을 미치는 대규모 케이블 절단, 서비스에 걸친 조정된 공격, 주 시스템과 백업 시스템으로 간주되던 곳을 동시에 강타한 자연재해 등이 있죠. 우리는 구체적으로 연관 장애 모드를 고려했어요. 주 시스템이 다운된 바로 그 시점에 '백업'도 실패하는 상황이에요. 아키텍처는 단일 사건으로 주 시스템과 페일오버 시스템이 동시에 마비되지 않도록 설계되었어요.
치명적인 개인정보 종속성
볼트 고객은 보안과 자체 데이터의 복구 가능성 중 하나를 선택할 필요가 없어야 해요. 우리는 사용자의 볼트가 잃어버릴 수 있는 다른 무언가에 의존하는 모든 부분을 고려했어요. 전화번호, 이메일 계정, 단일 기기, 단일 비밀번호 등이 있죠. 이러한 각 요소는 제거되거나 이를 우회하도록 설계되었어요.
운영팀 연락 가능성
볼트 기업은 사고 발생 시 자체 팀이 연락할 수 있어야 해요. 우리는 자체 운영자 주변의 인터넷 환경이 저하될 때 대응 능력에 어떤 영향이 미치는지 고려했어요.
암호화 전망
암호화는 고정되어 있지 않아요. 우리는 양자 내성을 포함하여 의존하는 모든 암호화 기본 요소에 대한 장기적인 마이그레이션 경로를 고려했어요.
보호한다고 주장하지 않는 대상
우리는 인프라 엔지니어링으로 달성할 수 있는 한계에 대해 명확히 해요.
며칠 동안 전 세계 인터넷을 마비시킬 수 있어요. 인프라가 할 수 있는 어떤 일도 도움이 되지 않아요. 어차피 고객은 아무것에도 접근할 수 없으니까요.
어떤 상용 인프라도 단독으로 방어할 수 없는 부류의 사건이에요.
우리는 이러한 사항에 대해 솔직하며, 이러한 일이 발생하지 않을 것이라는 가정 하에 다른 모든 것이 회복탄력성을 갖추도록 설계해요.
비밀유지계약 하의 아키텍처 세부 정보.
위의 목록은 우리가 고려한 내용이에요. 각 방어 수단이 어떻게 설계되었는지에 대한 세부 정보(구체적인 토폴로지, 공급업체 선택, 전환 절차, 암호화 프로토콜)는 조달 과정에서 Enterprise 고객의 보안팀과 비밀유지계약 하에 공유해요.