금융감독원의 영업연속성 모범 규준(안)에서는 대체업무장소와 관련하여 은행은 입지조건, 목표복구시간 등을 감안하여 핵심영업/업무와 기술복구를 위한 대체사업장소를 마련하여야 한다.
 ① 대체사업장은 주 사업장과 동일한 재해/재난에 노출되지 않도록 주 사업장과 다른 기반시설(전력, 통신 등)을 사용하는 지역에 위치하여야 한다.
② 대체사업장은 동 사업장에 대한 교통수단의 접근성, 태풍, 홍수 등 재해/재난에의 동일 영향권 여부, 통신망 사용 및 자원 조달의 용이성 등 입지조건과 대체사업장 주변의 도로, 터널 등의 폐쇄 상황 등을 충분히 감안하여 마련하여야 하며, 핵심영업/업무에 대해 BCP에 정해진 목표복구수준(RTO, RPO 등)내에서 업무복구/재개가 이뤄질 수 있어야 한다.
③대체사업장에 대해서는 은행의 보안정책에 따라 보안 경비 등 적절한 물리적 접근 통제가 이행되어야 한다.” 라고 정하고 있다.

최고의 대체사업장의 구축전략은 금융기관의 BCP구축전략 ①에서 소개한 바와 같이 사업장이나 IT시스템을 초기 구축단계에서부터 Dual로 구축하는 것이다. 2개의 다른 생산라인에서 동일 제품을 생산하는 것이라 할 수 있겠다. 스탠다드차타드제일은행(SC제일은행)의 구축사례에서와 같이 소매영업 오퍼레이션 센터를 서울과 부산 2곳에 구축하여 어떠한 상황에서도 관련업무가 지속 가능하도록 설계, 구축하였다.

다음은 대체업무장소 구축 시 고려해야 할 사항을 요약하였다. 첫째, 대체사업장의 구축은 철저하게 BIA(Business Impact Analysis, 업무영향분석)과 RA(Risk Assessment, 위험분석)을 기초로 하여야 한다. 둘째, 동일 사건으로 동시에 영향을 받는 것을 피할 수 있는 충분한 거리를 두어야 하며, 별도의 전력 및 통신을 공급받아야 한다.

 셋째, 외부 서비스 공급자(특히 단일/독점공급자)의 지원에 대한 과도하게 의존하지 않도록 주의하여야 한다. 공급자(벤더)의 지원을 받는 경우, 재해/재난발생시 동 서비스 공급자의 실제 서비스 제공 능력 보유 여부, 서비스 제공 계약서의 조건 및 내용 등을 충분히 검토하여야 한다. 은행 또는 기업 간 상호 협정에 의한 대체사업장의 상호 이용 하는 경우에는 장기간의 영업/업무중단 등의 경우 이용 가능성 등을 충분히 고려하여야 한다.

넷째, 단계별로 구축을 고려할 수 있다. 1단계(Tier1)는 복구가 매우 중요한 비즈니스(또는 데이터 센터)를 Hot Site로 구축하고, 2단계(Tier2)는 복구가 조금 덜 중요한 비즈니스를 웜(Warm)사이트로 구축하고, On-line 업무가 가능한 지점은 3단계(Tier3)로 구축한다. 마지막으로 경비, 보안 등의 적절한 접근기준이 마련되고 운영절차(규정 또는 준칙)가 마련되어야 한다.

SC제일은행의 경우 상기 요건을 충족하는 BCP사이트를 구축, 운영하기 위하여 중요 비즈니스(Tier1)는 제1BCP센터에서 1시간 이내 복구할 수 있도록 하고 있으며, Tier2에 해당하는 비즈니스는 평상시에는 텔레세일즈팀(Outbound), 여신사후관리팀(Collection)으로 운영하다 비상사태가 1주일 이상 지속이 예상될 때에는 해당부서의 기능을 멈추고 BCP센터(이하‘제2BCP센터’)로 전환하여 본점의 기능을 지속 할 수 있도록 하고 있다.

Tier3인 지점은 화재와 같은 인적 재난에 대비하여 최근거리 소재지점을 대체업무지점으로 지정하고, 태풍. 홍수와 같은 자연재해에 대비하여 동일 재해권역이 아닌 원거리 소재 지점을 지정하여 운영하고 있다. (금융기관의 BCP구축 전략①, 2010년 10월호 참조) 비상사태에 성공적으로 대처하기 위하여는 모든 계획들이 정기적으로 테스트가 이루어져야 한다.

BS25999 Part1에서 ① 훈련은 현실적이며, 치밀하게 사전에 계획 되어야 하며, 관련자들과 사전합의가 된 것으로, 업무 프로세스에 대한 중단을 최소화해야 한다. 훈련계획을 수립할 때에는 훈련의 결과가 직접적인 원인이 되어 사고가 발생할 수 있는 위험을 최소화해야 한다. ② 모든 훈련의 목표와 목적을 명확하게 정의해야 한다. 훈련 종료 이후에는 상황설명 및 분석 시간을 갖고, 훈련 목표와 목적의 성취여부를 분석해야 한다. 훈련보고서를 작성하고 이행과 관련된 권고사항 및 일정을 보고서에 포함시킨다. ③ 훈련 규모 및 복잡성 정도는 조직의 복구목표와 일관되도록 적절히 결정한다. ④ 업무연속성계획 및 사건관리계획에 대한 훈련을 실시하여 계획이 정확하게 이행되고 적절한 내용 및 지시내용이 포함될 수 있도록 해야 한다. ⑤ 훈련 프로그램은 제3자 서비스제공업체, 외주업체, 복구작업에 참여할 것으로 기대되는 기타 모든 당사자들의 역할을 고려해야 한다.

조직은 BCP 훈련에 이러한 모든 당사자를 참여시킬 수 있다. 훈련 실시주기는 조직의 필요성, 사업운영환경, 관계당사자들의 요구사항에 따라 조정되어야 한다. 훈련프로그램은 조직 내 변경내용을 반영하고, 기존의 훈련결과를 반영할 수 있도록 유연하게 조직되어야 한다. 상기 명시된 훈련방법은 개별적인 계획요소에 대하여 단일 및 다수 계획에 이용될 수 있다.

BS25999 Part 2 BCP인증 심사규격에서 조직은 훈련을 통하여 비즈니스 연속성이 입증되어야 하며, 사고 발생 시 발생 할 리스크를 최소화 하기 위하여 훈련들을 계획해야 한다. 또한 훈련의 목적과 목표를 정의해야 하며, 훈련 후 재 검토를 통하여 훈련성과를 평가하고 결과와 피드백 그리고 문서화된 보고서 생산을 요구하고 있다. 훈련계획서에는 훈련의 범위와 목적, 사용될 시나리오, 복구계획(업무), 참여하는 직원명단, 구체적인 훈련일정, 실패 시 대체방법 등이 포함되어야 한다.

훈련프로그램이 성공하기 위해서는 시작은 복잡하지 않게 하되 점진적으로 구체화시키고 복잡성을 더해가도록 한다. (*SC제일은행의 훈련사례 참조) 훈련시스템은 예상되는 위기상황에 대한 가상 시나리오를 개발하여 모의훈련을 실시함으로써 학습효과뿐 아니라 업무연속성계획을 보다 효과적으로 현행화 할 수 있으며 훈련시스템은 아래와 같은 기능을 제공해야 한다.

김대진 부장
	SC제일은행 CRES부 BCP팀 부장 재난관리지도사

[참고자료/출처]
1. 업무연속성계획(Business Continuity Planning) 모범규준(안) 금융감독원 신 BIS실, 2006 2. BS 25999_1:2006, (9.3, Exercising BCM arrangement)
3. BS 25999_2:2007, (4.4.2 BCM Exercising)
4. BCP입문, 디지털타임즈, 이영재/윤정원, 2004
5. 리질리언트 엔터프라이즈(p. 335), 요시 쉐피(딜로이트 안진회계법인 역), 2006
6. 위기관리전략 실무과정, BCP협회, 2009
7. SC제일은행 BCP사례 (BCP Toolkit에서 발췌)