◆ 김정덕 중앙대 정보시스템학과 교수 jdkim@cau.ac.kr
9·11 테러사건 이후 재난이나 자연재해에 대비한 복구 솔루션에 대한 관심이 높아지고 있으며, 올해 IT 경기 회복의 동인으로 작용할 것이라고 예측되고 있다. 정보시스템에 대한 의존도가 높아질수록 정보 서비스가 중단돼 업무에 심각한 피해를 주는 상황을 의미하는 재난 복구 및 대비를 위한 조치는 아무리 강조해도 지나치지 않을 것이다. 재난 발생시 재난복구계획과 기업의 생존과의 관계에 대한 KPMG컨설팅 보고서에 의하면 공식적 재난복구 계획이 없는 회사의 경우 75%가 파산했고, 특히 금융기관의 경우 재난 발생 후 신속히 대응하지 못했을 경우 수익 감소율이 25∼50%에 이른다는 보고가 있었다.
재난에 따른 피해의 심각성을 인식한 각국 정부는 재난복구와 관련된 규정을 제정하고 있다. 미국의 경우에는 미국 연방법 BC-177에서 전산재난 발생시 금융기관의 대응계획 마련을 규정하고 있다. 영국은 정보보안관리시스템 표준안인 BS7799에서 전산재난 발생시 업무지속성(business continuity)을 유지할 수 있는 계획 마련을 요구하고 있다. 국내에서도 금감원의 재해복구센터 구축 의무화(권고) 방침 이후 금융권·통신사업자·공공기관에서 재해복구 솔루션에 대한 관심이 높아지고 있다. 정부도 최근 기간정보시스템의 백업센터를 구축하기로 하는 등 각종 산업의 재난복구계획과 이에 따른 백업 시스템의 구축은 법적 요구사항뿐 아니라 자율적 측면에서 점점 구체화되고 있다.
재난복구에 관한 발전과정을 살펴보면 다음과 같다. 60년대에는 재난복구의 주 대상이 메인프레임·주변장비와 같은 하드웨어 복구에 초점이 맞춰졌다. 70년대 이후에는 전산센터의 역할이 커지면서 자연스럽게 재난복구의 대상도 전산센터의 복구에 초점을 맞추었고 이때 재난복구 수단들이 상당 부분 개발됐다. 핫사이트(hot site)나 상호 협정과 같은 재난복구 수단이 유행되기 시작했다. 80년대 후반 이후 궁극적인 재난복구 목적은 전산센터의 복구가 아니라 비즈니스의 중단 없는 운영, 즉 지속성을 유지하는 것이라는 인식이 대두되기 시작했다. 중요 복구 대상이 하드웨어에서 중요 응용시스템으로 옮겨짐에 따라 최종 사용자의 관점에서의 복구라는 패러다임의 변화가 요구됐다. 이와 같이 복구계획이 전산센터의 복구뿐만 아니라 고객 서비스에 초점을 두기 시작하면서 ‘업무지속성계획(BCP:Business Continuity Plan)’이라는 용어가 90년대 초반부터 출현하기 시작했다.
이렇게 재난복구에 대한 패러다임이 변화하고 있는데도 아직 국내에서는 전산센터 복구 차원에서 벗어나지 못하고 있는 실정인 것 같다. 재난복구에 관심있는 조직은 여전히 기술적인 재난복구 솔루션의 기능과 서비스 수준 파악에 더 많은 노력을 기울이고 있는 것 같다. 재난에 대한 조직의 대비는 단지 재난복구뿐 아니라 재난 예방, 피해 감소 등 해야 할 작업이 많다. 효과적 재난대비를 위해서는 조직의 중요 업무프로세스와 핵심 정보시스템을 식별하고, 재난 위협에 대한 업무영향평가와 위험분석 등의 분석 및 의사결정 과정을 요구한다. 결론적으로 단순히 전산센터를 중심으로 한 기술적 문제가 아닌 모든 조직 구성원과 업무와 관련된 비즈니스 관점에서의 관리문제인 것이다.
과거 경험에서 보았듯이 보안 솔루션 위주의 보안시스템 구축 접근방식은 자원 낭비나 실효성 없는 보안대책만 구축하는 결과를 초래할 수 있다. 보다 면밀한 위험분석 과정을 통해 보안계획을 수립하고 이를 구현하는 체계적 접근방법이 오히려 시간과 비용을 감소시킬 수 있는 방법일 것이다. 마찬가지로 재난에 대한 효과적이고 효율적인 대비를 위해서는 지금과 같은 기술적 솔루션 위주 발상으로부터의 전환이 필요하다. 즉 BCP 개발 및 유지보수를 일련의 관리 과정(management processes)으로 보고, 조직이 재난으로 인한 위험에도 불구하고 조직의 업무를 사전에 결정된 최소한의 수준으로 영위하기 위한 일련의 통제 행위라고 정의할 수 있는 업무지속성관리(BCM:Business Continuity Management)라는 패러다임으로 변화하지 않으면 과거의 실패 경험이 되풀이되지 않을 것이라는 보장이 없다.