삼성생명, 기업은행 등 민간기업에 이어 공공기관인 금융결제원에서도 업무연속성관리(BCM, Business Continuity Management) 표준을 도입했다. 금융결제원(원장 김수명)은 지난 4월30일 IT서비스 부문에 대해 업무연속성관리 영국 표준인 ‘BS25999’ 인증을 획득했다. BS25999는 표준 제정·인증기관인 영국표준협회(한국지사 대표 천정기)에서 제정한 업무연속성관리 표준으로 삼성생명, 기업은행, 금융결제원(이하 금결원)이 도입했다. 금결원은 2006년부터 자체적으로 구축해서 사용하고 있던 IT 업무연속성계획(BCP, Business Continuity Planning, 이하 IT BCP)을 개선해 ‘BS25999’ 인증을 획득한 것이다. 이는 ‘IT 업무연속성계획 고도화 사업’이라는 이름으로 LIG엔설팅(대표 최승기)에 연구용역을 줘 작년 12월9일부터 올해 5월8일까지 6개월간 진행된 결과물이다. 

< 재난포커스 - 김수한 기자  ins@di-focus.com >

금융공동망을 구축·운영해 자금결제와 정보유통을 원활하게 하는 업무를 주로 하는 금결원은 업무 특성상 IT에 대한 의존도가 높다. 이에 금결원은 재해복구센터(DRC, Disaster Recovery Center)의 안정성을 높이고자 2006년부터 IT가 수반되는 핵심 업무 중심으로 BCP를 자체 수립해 운영해왔다. 또 금결원의 주요업무와 원내업무를 담당하는 주 백업시스템을 IT BCP에서 정의된 재해복구등급에 따라 서울시 강남구 역삼동에서 경기도 분당센터 간 분산 구축해 상호운용형 백업시스템으로 운영해왔다.

연구용역, 기존 IT BCP 감리부터 시작
금결원은 자체 수립해서 사용하던 IT BCP를 외부 감리 전문가의 객관적인 관점에서 진단 받고 개선점을 보완해 위기대응능력과 업무연속성 확보 수준을 높이고자 했다. 또 전산시스템과 IT BCP에 대한 객관적인 신뢰도 및 공신력을 확보하고 대외 신인도를 제고키 위해 영국표준협회(BSI, British Standards Institution) BCP 표준 ‘BS25999’ 인증을 획득하는 연구용역을 발주했다.

연구용역에 프로젝트 매니저로 참여했던 LIG엔설팅 김석환 부장은 “금결원의 기존 IT BCP는 ‘IT 재난복구시스템(DRS, Disaster Recovery System)’ 차원에서나 ‘중단 없는 시스템운영’ 측면에서는 어떤 기관의 센터보다도 잘 돼있었다”며 “하지만 재난·재해 시 기본적으로 수반돼야할 인명보호와 복지측면이 약해 이 문제를 보완, BS25999 인증을 획득하게 됐다”고 말했다.

연구용역에 프로젝트 매니저로 참여했던 금결원 임구락 팀장은 “금결원의 업무 자체가 90%이상 IT업무라 사고가 나면 시급한 서비스를 이어가기 위한 전산시스템에 집중된다”라며 “가장 중요한 부분 때문에 생각지 못했던 인명보호나 복지측면을 이번 BS25999 인증을 통해 돌아볼 수 있게 됐다”고 말했다. 연구용역은 크게 ‘IT BCP 감리’, ‘BS25999 인증 획득’, ‘기타 지원’ 순서로 진행됐다.

먼저 금결원에서 사용 중이던 기존의 IT BCP를 BCI(Business Continuity Institute) 벤치마크 (Benchmark) 및 가트너 성숙 모델(Gatner Maturity Model) 등 객관성을 담보 할 수 있는 평가 방법론을 활용해 이미 구축된 BCP에 대한 성숙도 수준을 평가하고 BSI의 BS25999, 금융감독원의 BCP 모범규준, 국내 BCP구축 사례를 활용한 갭 분석(Gap Analysis)을 실시했다. 또 금결원의 업무연속성확보에 대한 위협요인을 파악, 분석하고 이에 대한 대응수준을 평가하는 위험평가(Risk Assessment)와 재난·재해에 따른 업무 중단 시 피해 정도를 분석하고 피해 상황에 대한 대응 가능 수준을 평가하는 업무영향분석(Business Impact Analysis)도 진행됐다.

금결원의 경영진 및 이사회의 BCP에 대한 책임, BCP 정책 및 계획 관리상태, 위험평가 및 업무영향분석 수행 현황, BCP 유지관리 상태, BCP 테스트 결과 등을 분석해 LIG 엔설팅은 IT BCP 감리보고서를 작성했다. 또 LIG엔설팅은 현황분석 및 평가결과를 토대로 금결원의 기존 BCP에 대한 개선, 보완, 고도화 방향을 설정했다. 이에 실질적인 업무연속성 확보를 위한 전략을 수립했고, 수립된 전략의 변경관리와 모니터링을 위한 유지관리 방안을 마련했다.

첫 사후심사, 내년 초 예정

	금융결제원은 지난 4월30일 IT서비스 부문에 대해 업무연속성관리 국제 표준인 ‘BS25999’ 인증을 획득했다. 사진은 천정기 BSI 한국지사 대표(좌)와 김영택 금결원 IT 본부장(우)

‘IT BCP 감리’ 작업이 끝나고 ‘BS25999 인증 획득’을 위한 절차가 이어졌다. 인증절차는 ▲BS25999 인증심사를 위한 문서작성 ▲심사 인터뷰 대상자 내부교육 실시 ▲심사 수행 시 단계별 대응방안 수립 ▲심사 종료 후 이행보고서 작성 지원 ▲인증 취득 후 유지를 위한 사후심사 및 인증갱신 가이드라인 수립으로 진행됐다. 인증 후에도 ▲새로운 BIS협약의 운영리스크 관리체제 마련 권고에 대한 IT 부문 대응방안 수립 ▲위기상황 발생 및 대응 시나리오 작성 ▲IT BCP 운영 능력 향상을 위한 사내교육 지원 같은 ‘기타 지원’ 부분도 이뤄진다.

BS25999의 인증심사 기준은 중부적합사항(Major Nonconformities), 경부적합(Minor Nonconformities), 개선권고사항(Opportunities for Improvement) 이렇게 세 가지로 나뉜다. 이중 인증요건에 대한 중부적합 판정이 3개 이상이면 인증이 취소되고 경부적합 판정을 받은 부분은 문제 해결에 대한 ‘이행계획서’를 작성해야 한다. 개선권고사항은 특별한 제재나 조치가 필요한 사항은 아니고 BCP 개선을 위해 필요한 사항을 권고하는 것이다. BSI의 강민정 연구원은 “BS25999 인증은 3년에 한 번씩 갱신해야하고 1년마다 사후심사를 갖는다”며 “금결원의 첫 번째 사후심사는 내년 초에 계획돼 있다”고 밝혔다.

BCP, 프로세스로 관리해야
LIG엔설팅 김석환 부장은 BCP 인증을 준비하는 기업들에게 “표준에서 요구하는 문서를 잘 갖춰야 하고 BCP 담당자들은 그 내용을 숙지해야 한다”며 “특히 인증 획득을 위해서는 반드시 전체적인 BCP 모의훈련 테스트를 해야 하고 이 테스트에서 드러난 문제점들을 수정·보완 후 인증을 받아야 한다”고 말했다. 김부장은 또 “기업은 BCP를 프로젝트가 아닌 프로세스로 관리해야 한다”며 “BCP를 프로젝트로 관리하면 1회성으로 끝나버리지만 경영을 유지하는 프로세스의 하나로 관리한다면 BCP가 조직문화에 녹아들어 좀 더 완벽한 BCP체계를 가진 기업으로 거듭날 수 있다”고 강조했다.