글 | 김정일 現 IBM 글로벌테크놀로지서비스 상무 現 소방방재청 기업재난관리정책 자문위원 煎 미국 메릴린치증권 Global Contingency Program 총괄부사장

위기관리와 BCP에 대한 사례는 많지만 실무자들이 실전에 적용할 수 있는 실무지침이나 체계적인 교재와 교육이 미흡한 것이 현실이다. 이에 따라 본지는 지난 8월부터 4회에 걸쳐 ‘기업위기관리와 BCP’를 주제로 독자들을 위한 연재를 기획했다. 이번 호에는 그동안 기획연재 한 주제에서 다루지 못했던 IT부분에 대한 조언을 주고자 한다. 피할 수 없는 위기 상황에도 끄떡없이 비즈니스 활동을 영위할 수 있도록 기업들이 사전에 철저히 대비하고 적절한 IT 환경을 구축하는 것은 당연한 일이다.

비즈니스에 기우(杞憂)란 있을 수 없기 때문이다. 이처럼 재난재해나 테러 상황에서도 회사의 핵심 업무가 재개될 수 있는 기업의 위기관리 능력의 기준과 지표로서 국내에 소개된 것이 BCP/BCM(Business Continuity Planning/ Management, 비즈니스연속성관리)이다. BCP/BCM은 “조직(기업)을 위협하는 잠재영향을 파악하고, 주요 이해 관계자의 이익, 조직의 평판, 브랜드 및 가치창출활동을 효과적으로 보호하기 위해 필요한 대응 및 복원역량 확보를 가능케 해주는 체계 제공의 통합 경영 프로세스”로 정의될 수 있다.

21세기 기업환경은 IT없이 비즈니스 운영을 논하는 것이 절대 불가능할 정도로 기업 내에서 IT가 차지하는 비중과 의존도가 매우 높다. 앞에서 정의한 BCP/BCM 프로그램에서 IT DR(Disaster Recovery, 주로 정보시스템 재해복구를 의미)이 차지하는 중요성은 매우 높지만 이에 비해 실제로는 상세한 지침이나 내용을 가이드하고 있지 못하다. 이는 IT DR 계획수립과 DR시스템 구축 등에 관련된 내용이 상당히 기술적이기에 이 주제 자체만으로도 언급하고 다뤄야 할 요소가 상당히 방대하기 때문이기도 하다.

고무적인 것은 현재 BCP/BCM 프로그램 테두리 내에서 IT 시스템의 연속성을 특화한 내용에 대한 표준화작업이 계속 이뤄지고 있으며, 올해 안에 BS 25777로 명명된 IT 시스템에 대한 연속성 관리 규격이 발표될 예정이라는 것이다. 한편, 정보보안(Information Security) 영역에서 세분화돼 BS 24762라고 하는 ‘Guidelines for Information and Communications Technology Disaster Recovery Services’ 규격도 올 2월에 발표된 바 있다.

IT 재해복구계획수립 시 고려해야 하는 사항(분석, 테스트 및 유지보수, 시스템구축 활동 등은 제외)들을 추려보았다. 이를 통해 IT DR 계획과 체계수립 및 기술적용에 있어서 고려해야 할 사항들을 정리해 볼 수 있을 것이다.

1) 비즈니스기능과 정보시스템의 매핑(Mapping Business Functions to Infrastructure)
◎ 하드웨어자산(hardware asset), 소프트웨어(software), 응용프로그램(business applications) 에 대한 현황파악(inventory)
◎ 데이터흐름(data flow)과 스토리지(storage) 및 인프라환경에 대한 상위수준 아키텍처 (high-level architecture) 파악
◎ 시스템간의 의존도(dependencies between systems) 파악- 시스템, 네트워크 서비스, 보안, 응용프로그램 등에 대한 시스템 간(inter-system) 의존도 및 응용프로그램, 서비스의 대외(external) 의존도

2) 사용자 복구 계획수립(Planning User Recovery)
◎ (최종)사용자 컴퓨터(end-user computing) 용도파악(단순 웹 브라우저, 주요시스템 접근을 위한 터미널, OS 운영시스템 등) 및 이에 따른 대응방안 마련
◎ 사용자 의사소통채널(end-user communications) 요건(음성통신/사서함, 이메일, 팩스, 문자 메시지전송 등) 파악 및 대응방안 마련

3) 시설(주로 전산실/센터) 보호 및 복구계획수립(Planning Facilities Protection and Recovery)
◎ 전산실 관련 시설(processing facilities) 보호 (물리적인 접근통제, 전력공급, 소방, 화학/유해물질 관리, 침수 대응) 방안 마련
◎ 대체장소 마련(alternate processing site)- 핫, 콜드, 웜사이트에 대한 의사결정 및 주 전산시설과의 위치, 백업방식 등 선정 및 구현

4) 시스템과 네트워크 복구 계획수립(Planning System and Network Recovery)
◎ 시스템(server computing) 운영/복구- 목표복구수준(RTO, RPO 등) 결정, 시스템아키텍처/구성(H/W, OS, 리소스, 네트워크, 보안, 권한/접근관리 등) 결정, 신규시스템 구축역량 고려/확보, 분산시스템환경 고려, 응용프로그램 아키텍처 고려, 시스템통합 이슈
◎ 네트워크(Network Infrastructure) 운영/복구- 응용프로그램 인터페이스 업그레이드, 클러스터(server clustering- active/active, active/passive, geographically distributed clusters) 구현 및 클러스터/스토리지 아키텍처 고려, 음성통신(voice communications) 네트워크 고려

5) 데이터 복구 계획수립(Planning Data Recovery)
◎ 응용프로그램 데이터 복구 방법(백업, 스토리지, 복제/미러링(replication and mirroring), 전자금고(electronic vaulting) 등) 및 보관위치(원격지(off-site) 보관 등) 결정
◎ 어플리케이션(비즈니스 데이터로서, applications as another form of business data) 복구- 계획수립 시 고려사항(version, patches/fixes, configuration, users and roles, interfaces, customizations, pairing with OS and database versions, client systems, network considerations, change management, configuration management)

기업은 취약한 노출 리스크수준과 충족해야 하는 규제요건(compliance) 및 감내, 용인할 수 있는 업무중단에 따른 손실 정보, 처리량 및 기존 IT 인프라의 특성을 면밀히 고려해 합리적인 재해복구전략을 수립해야 한다. 다시 강조하지만 임수수행에 있어 핵심이 되는(Mission Critical) 기업 내 정보와 데이터는 기업의 이익과 직결되는 중요한 자산이며, 이런 자산이 보관, 운영되고 있는 IT 시스템의 중단 없는 가용성(High Availability)을 확보하는 것이 비즈니스연속성 구현의 핵심이다. 가상화(virtualization)와 클라우드 컴퓨팅(cloud computing)과 같은 최신 기술로 인한 업무와 전산환경 변화 등을 고려한 IT DR의 최근 동향에 대해서는 다음 호에서 소개하고자 한다.  

< 재난포커스  www.di-focus.com >

 참고자료
● The Next Level of Disaster Recovery, John, Lindeman, Disaster Recovery Journal, 2007년
● BS 25777: Code of Practice for Information and Communications Technology Continuity, Draft for Public Comment (DPC version) 2008년8월
● BS 24762: Information Technology - Security Guideline - Guidelines for Information and Communications Technology Disaster Recovery Services, 2008년2월
● Using Virtualization for Disaster Recovery, Gartner Research Report, 2008년10월
● What Your Business Can Learn About DR from Financial Institutions, Forrester Research, 2008년7월
● Business continuity and resiliency services - Helping business stay in business, IBM Global Technology Services, 2008년 발표자료
● IBM - Virtualization on the IBM Family of Servers, Software and Storage, http://www.redbooks.ibm.com/redpieces/pdfs/redp4396.pdf
● BCM, 비즈니스연속성관리(Business Continuity Management): A Practical Guide, FKI미디어, 2008년