9.11 美 테러 사건은 IT 기업에겐 재앙이자 축복이었다. 간만에 상승무드를 타던 미 경제에 타격을 입히면서 IT 업계를 뒤흔들었던 반면, 모건 스탠리, 아메리카 은행, 메릴린치 등 세계 유수의 금융 업체들이 재해복구시스템을 가동시켜 즉각 업무를 재개함에 따라 관련 IT 업계가 스포트라이트를 받기도 했다. 이를 계기로 국내에서도 금전적 이유로 주저하던 금융기관을 비롯한 각 업체들이 도입을 적극 검토했고, 지난해 10월 금융감독원의 권고안이 나오면서 적어도 금융권에서는 올해 재해복구시스템 구축이 대세로 자리잡을 전망이다.
지난해 10월 금감원은 IT 부문 비상대응체계 구축의 필요성이 증가하고 있으나 각 기관의 자발적인 구축실적이 저조하다고 보고 기준 제시를 통한 비상사태 대응 체계 구축을 유도하기 위해 ‘금융기관 IT 부문 비상대응 방안’이라는 권고안을 발표했다. 이 권고안에서는 올해 12월까지 각 금융기관으로 하여금 재해복구시스템 구축을 완료하도록 권고하는 한편, 재해복구 구축방법 및 복구시간은 비용, 파급효과 등을 고려해 금융권별로 차등 적용했다. 즉 은행, 증권, 신용카드사, 증권거래소, 선물거래소, 코스닥증권시장, 증권예탁원, 금고연합회 등을 포함한 증권 유관기관 및 통합시스템 운영기간은 3시간 이내, 외국계 보험사를 포함한 보험 기관은 24시간 이내로 규정했다.
컨설팅은 ‘필수’ 사항
동원증권 전산실 침수, 9.11 테러, 금감원 권고안 등 재해복구시스템 관련 분위기는 무르익은 상황이다. 그러나 업계에서는 최근 재해복구에서 한 걸음 더 나가 BCP 개념을 주창하고 있다. BCP는 기존에 전산장애 복구를 칭하던 DRS(Disaster Recovery Service)나 BRS(Business Recovery Service) 개념을 뛰어넘는 방법론이다. 사실 BCP는 어디서 갑자기 뚝 떨어진 개념이 아니다. 이미 미국, 유럽 등의 선진국에서는 몇 년 전부터 IT 관점뿐 아니라 비즈니스 관점에서 접근하는 BCP 개념이 보편화된 상태다.
BCP는 관리적, 기술적, 물리적(환경적)인 요소에서 발생하는 사고 또는 비상 사태로 인해 사업상의 일부 또는 전체체계가 마비, 사업 지속에 장애가 나는 것을 막고 만약 발생했을 경우 프로세서에 따라 효과적으로 비즈니스를 재개할 수 있는 일련의 과정을 말한다. 이를 위해 예방책(Prevention), 억제책(Deterrent), 탐지책(Detect), 복구(Recovery), 재개책(Resumption)과 관련된 관리적, 기술적, 물리적 체계 구축이 필요하다. 가트너가 정의한 BCP는 재해복구 계획에 비즈니스 재개책 계획, 비즈니스 복구 계획, 비상 계획이 합쳐진 것을 의미한다.
SK C&C 재해복구 영업담당 김남욱 과장은 “DR이 전산실 위주의 시스템적 접근이라면 BCP는 회사 전체를 아우르는 개념이다. 쉽게 말해 BCP는 최고경영층에서 말단 직원까지 민방위 체계를 확립해, 비상 사태시 자사의 업무는 물론 고객의 업무까지 영속성을 보장하는 것”이라고 설명했다.
BCP를 수행하기 위해서는 반드시 컨설팅이 필요하다. 주목할 점은 이런 컨설팅이 IT에 한정된 것이 아니라 일반적 업무 프로세스 측면까지 깊숙이 개입된다는 사실이다. 즉 전산관련 담당자, CIO 관할 사항뿐 아니라 일반 사원에서 최고경영층에 이르기까지 평상시, 또는 비상시 대응해야 할 역할과 절차를 하나의 프로세스로 정립하는 것이다. 가령, 회사가 직면하고 있는 위협 및 위험의 정의, 백업을 담당하던 직원이 회사를 그만두었을 때 그 업무를 누가 이어받아야 할 지, 또한 그 공백기 동안 업무의 연속성을 유지할 수 있도록 메뉴얼화 시키는 작업, 재난이 발생했을 경우 각 직원이 취해야 할 행동지침, 모의 훈련 범위 등 세세한 부분까지 규정해 비즈니스 영속성을 최상으로 유지할 수 있도록 하는 것이 BCP 컨설팅의 목적이다. 따라서 매우 포괄적이면서도 전문적인 성격을 띈다. 지금까지 국내 BCP 컨설팅은 ‘하면 좋고, 안 해도 그만’인, 그리고 재해복구시스템 구축 업체가 덤으로 제공하는 서비스 정도로 인식했지만 최근 들어 제 값을 내고, 제대로 된 컨설팅을 받는 경우가 많아지고 있다.
IBM·HP, 컨설팅 방법론 ‘탄탄’
IBM글로벌서비스 조직의 하나인 BCRS(Business Continuity & Recovery Services)는 재해복구 컨설팅 방법론으로 위협요인 분석(RA : Risk Analysis), 비즈니스 영향 분석(Business Impact Analysis), 환경분석(EA : Environment Analysis)을 제시한다. 위험요인 분석은 전산센터, 인프라, 네트워크, 시스템 사용 현황을 분석해 잠재적인 재해 발생 가능성과 발생 가능한 재해의 종류, 재해 유발 가능 요소를 파악하고 재해 예방을 위한 조치를 말한다. 비즈니스 영향 분석은 재해 발생시 각 업무에 미치는 영향 및 피해액을 산정하고 업무별 중요도에 따른 복구 우선 순위를 선정해 재해복구 시스템의 용량 산정 및 복구절차 수립의 기초자료를 개발한다. 환경분석은 현재 사용중인 시스템의 종류, 용량 및 인프라를 분석해 재해복구 시스템 구축을 위한 근거 자료를 개발한다.
HP 컨설팅사업본부는 BCP 방법론을 개발, 비즈니스 영속성을 위해 고려해야 할 주요 항목을 10가지로 설정하고 그 가운데 BIA를 가장 중요한 부분으로 규정하고 있다. HP 컨설팅은 현업 및 IT 실무자를 대상으로 한 설문조사와 현업 담당자와의 인터뷰를 통해 BIA 관련 내용을 아래와 같이 정리했다.
- 재해시 최대 복구 허용시간 분석
- 재해시 데이터 유실 허용 정도 및 대체 수단 파악
- 재해시 정보시스템 의존도 파악
- 재해시 타 업무와의 영향관계 파악
- 재해시 채널에 대한 영향 분석
- 재해시 잠재적 법적 대응에 대한 영향 분석
- 재해시 고객손실 보상비용(범칙금, 위로금)
- 재해로 인한 영업기회 손실 비용 분석
- 재해로 대 고객 신뢰도 상실에 의한 고객이탈 영향 분석
- 재해로 인해 기업 이미지에 미치는 영향 분석
HP 컨설팅은 국내에서 이미 증권, 정부기관 등 4군데와 BCP 컨설팅을 완료했으며 2개 금융사와는 진행중이다.
