AWS 엔지니어들은 이 문제가 패킷 처리 서브시스템(Packet Processing Subsystem) 과 관련되어 있으며, 설정 데이터를 로드하는 시스템이 제대로 작동하지 않았다고 설명했다 .
"VPC Origins 연결을 관리하는 플릿(Fleet)에 내부 제약이 발생했습니다. 이 제약에 도달하자 라우팅 구성을 네트워크 프로세서에 올바르게 로드하는 시스템이 실패했습니다." — AWS 사후 보고서 인용
이 장애는 CloudFront 전체의 붕괴가 아니었다. S3 오리진, 인터넷을 통한 ALB 오리진 등 다른 유형의 오리진을 사용하는 서비스는 영향을 받지 않았다 . 따라서 '정적 자산(S3 제공)은 살아있지만, 동적 API 호출(VPC Origins 경유)만 5xx 오류가 발생하는' 부분 장애 패턴이 나타난 서비스도 많았다
.
참고: 이 장애는 주로 CloudFront + 내부 ALB(Application Load Balancer) 조합으로 '보안 강화' 아키텍처를 채택한 서비스에 집중되었다. 이러한 구성은 널리 사용되는 '모범 사례'였기에, 단일 기능의 한계가 광범위한 피해를 낳은 것이다
.
이번 장애는 2025년 이후 AWS에서 발생한 세 번째 대규모 장애로, 인터넷 인프라가 소수의 하이퍼스케일 클라우드 제공업체에 지나치게 집중되어 있다는 '클라우드 집중 위험(Cloud Concentration Risk)'에 대한 우려를 다시 불러일으켰다.
현재 인터넷은 컴퓨팅, 스토리지, 네트워킹, DNS, 인증, CDN, 보안 등 거의 모든 핵심 인프라가 AWS, Microsoft Azure, Google Cloud라는 세 기업에 집중되어 있다. AWS는 글로벌 클라우드 시장의 약 30%를 차지하고 있으며, Azure와 Google이 각각 20%, 13%를 점유하고 있다 .
아이오와 주립대학(Iowa State University)의 연구진은 과거 10년 동안 DNS, 인증, 이메일, 보안 인프라라는 네 가지 핵심 인터넷 서비스가 소수의 글로벌 플랫폼으로 통합되었다고 지적한다. 이로 인해 한 공급자의 장애가 순식간에 여러 산업으로 '폭포수(cascade)'처럼 전파되는 구조가 만들어졌다는 것이다 .
2026년 7월의 클라우드 집중 위험 분석 보고서는 "하나의 서비스가 세 개의 가용 영역(AZ)에서 실행되더라도, 하나의 리전 제어 플레인 또는 하나의 네트워크 중개자에 의존한다면 여전히 실패할 수 있다"고 경고한다 .
이번 CloudFront 장애는 이러한 현상의 전형적인 사례다. 광범위한 인프라 붕괴가 아니라 단일 기능(VPC Origins)의 제어 평면 용량 한계가 금융, AI, 게임, 정부 등 전혀 다른 분야의 수십 개 서비스를 동시에 마비시켰다. 그 이유는 이 모든 서비스가 프라이빗 오리진 전달을 위해 동일한 AWS 경로를 공유하고 있었기 때문이다.
업계 한 분석은 "3개월 만에 두 번의 AWS 장애는 대부분의 CTO가 인정하기 두려워했던 사실을 입증했다: 단일 클라우드 의존성은 실존적 위험(Existential Risk)이다"라고 평가했다 .
이번 장애는 '보안'을 위한 아키텍처 선택(CloudFront + 내부 ALB)이 오히려 취약점이 될 수 있음을 보여주었다. 전문가들은 클라우드 의존성을 완전히 제거하는 것은 현실적으로 어렵지만, 최소한 다음과 같은 대비는 필요하다고 조언한다:
AWS는 이번 장애에 대해 "VPC Origins에 의존하지 않는 다른 오리진 유형으로 변경하면 오류를 해결할 수 있다"고 안내했지만 , 사후 대응보다는 근본적인 제어 평면의 내결함성(Fault Tolerance) 확보가 더 시급한 과제로 남았다.