9.11 테러 이후 국내에서도 이전에는 찾아보기 어려웠던 재해대응과 복구 관련된 세미나가 여러 차례 개최된 바 있다. 그러나 세미나 주최측의 대부분이 네트워크, 서버, 스토리지를 판매하고 있는 소위 벤더(vendor)들이었다. 따라서, 세미나에서 제공된 내용은 거의 네트워크, 서버, 스토리지의 이중화를 통해 재해발생시 주전산 시스템의 복구를 신속하게 한다는 목표에 초점이 맞춰졌다. 그래서 국내의 BCP는 공급자와 수요자 양측 모두 시스템 복구를 위한 ‘백업센터(Backup center)’ 구축에 집중하고 있는 형편이다.
또한 국내 BCP 관련 다수의 공급업체에서 제공하는 서비스와 제품은 ‘탐지 및 대응’ 기능으로 일관되어 있다. 탐지 및 대응을 이룬다면, 보안체계의 구축을 통해 재해에 대한 ‘사전 예방’을 어느 정도 달성 할 수 있을 것이다. 하지만, 무엇보다도 재해가 발생하지 않도록 막아낼 수 있다면 그보다 더 좋은 해결책은 없을 것이다.
이러한 개념은 재난(disaster)으로부터 복구를 해서 핵심기능을 원래대로 회복시키는 기존의 DRP(Disaster Recovery Planning) 개념과 유사한 것으로서, BCP의 원래 개념을 벗어나고 있는 것이다. BCP는 핵심기능을 영위하기 위한 예방적(preventive) 개념이 강하며, 복구적(recovery) 개념의 DRP와 차이를 나타내고 있다.
BCP/DCP를 둘러싼 혼동
BCP와 DRP를 명확히 구분하지 못함으로써 발생하는 오해에는 3가지가 있다. 먼저, BCP가 백업센터 구축과 동일하다는 것이다. 미국은 1960년대부터 1970년대 중반까지 서버 및 관련 장비의 이중화에 중점을 두었으며, 1970년대 후반부터 1980년대 중반까지는 스토리지, 데이터 복구 등을 중심으로 백업센터 구축에 집중했다. 1980년대 후반부터는 새로운 개념으로서 BCP가 등장했다. BCP가 비즈니스에 대한 복구를 위해 프로세스(process), 기능(function)에 대한 복구를 중요하게 반영하게 된 것이다.
두 번째로는 BCP가 전산담당자의 책임이라는 것이다. 역시, DRP 개념으로서 비즈니스에 대한 복구 의지가 반영되지 않은 오해다. BCP를 성공하기 위해서는 전산 담당자의 역할, 책임과 노력만으로 이룰 수가 없다. BCP는 프로세스, 조직에 대한 변화를 수반하는 것으로서 전사적인 참여가 필요하기 때문이다.
세 번째로는 BCP가 보안과 무관하다는 점이다. 데이터프로(Datapro)의 보고서에 의하면 BCP를 수행해야 하는 필요성을 야기시키는 ‘재해’의 원인 중 70% 이상이 사람의 고의, 악의 또는 실수에 의해 발생한다고 지적하고 있다. 자연재해, 천재지변의 문제점을 보안 체계 구축으로 막을 수는 없지만, 사람이 일으키는 문제의 대부분은 보안체계의 구축을 통해서 사전에 예방할 수 있다고 한다. 하지만, 궁극적인 업무의 지속성을 유지하기 위해서는 보안과 관련이 있다. 사람이 일으키는 재해로 업무의 중단이 발생하기 때문이다.
앞에 언급한 3가지 오해에서 BCP는 백업센터 구축을 전산담당자 혼자만의 생각으로 진행하는 것이 아님을 알 수 있다. 실제 미국에서, 보안은 BCP에 포함되어 동시에 진행하고 있다. CPM/KPMG 연속성 계획 연구에 따르면, 점점 더 많은 BCP 전문가가 IT 전담부서로부터 기업 또는 일반 기업의 경영부서로 이동하고 있다고 한다. 그러나, IT조직 내 BCP 보고는 여전히 관례적(norm)이다. BCP 전문가중 약 40%가 IT 부서에 현재 보고를 하고 있는 반면, 약 30%는 경영부서에 보고를 하고 있는 현실이다.
또한, 업계에서 BCP와 DRP를 혼용해 사용하고 있으며, BCP에 DRP가 포함된다는 것을 인지하고는 있으나, 실제 적용할 때에는 DRP에 BCP를 포함하기도 하는 현상을 쉽게 볼 수 있다. 관련 교재에는 BC/DR 계획, 연속성 계획 등으로 사용하며, 업계에서는 가용성(Availability), 연속성(Continuity) 서비스를 제공한다고 한다. 그래서, 서비스를 설계하고 이용하는 IT담당자들은 BCP와 DRP의 차이점 조차 혼동하고 있다.
BCP 목적에 대한 경영자의 인식과 그 가치를 측정하는 사이에는 불일치하는 점이 있다. 전통적으로, BCP의 효과는 주 전산시스템의 복구 시험상에서 또는 백업/복구 사이트의 인지된 혜택, 성능과 비교된 비용에 중심을 둔 여분의 통신 환경상에서 통과/실패 등급으로 측정되었다. 이런 형식은 단지 BCP와 직접 관련된 비용만을 측정하거나 시험의 효율적인 실행여부에 관한 간접적인 인식부분만을 측정한 것이다. 이러한 것들은 시험이 적절한 기반구조 요소를 입증했는지, 또는 실패 때까지 구성요소를 충분히 테스트 했는지, 그래서 시험에 관한 시나리오의 유용성으로 확장됐는지, 달성했는지를 알려 주지 못한다.
보안·프로세스 요소의 통합방법 제시
BCP가 기술적 요소가 아닌 비즈니스 프로세스 이슈에 중점을 둔다는 것은 의문의 여지가 없다. 기업의 중추적인 각 구성요소는 BCP 프로세스의 개발, 시험, 그리고 운용에 참여하게 된다. 그리고 이러한 요소들이 실제로 실행되게 하기 위한 것이 BIA(Business Impact Assessment)다.
그리고, BIA의 성공요인은 각 핵심업무 프로세스의 정교한 MTD(Maximum Tolerable Downtime), RTO(Recovery Time Objectives)를 구해서 경영진의 동의를 얻는데 기반을 둔다. 그리고 MTD, RTO가 일단 결정되면 각 업무 단위에 실효성을 가지게끔 해야 하며 업무 단위를 지원하는 서비스 조직이 다루어져야 한다.
보안을 위한 가장 효율적인 접근방법은 기술적인 것과 기술적이지 않은 것을 동시에 고려하여 계층적으로 접근을 해야 한다. 기술적이지 않은 기업문화, 성향 등을 제외할 경우에는 재난이 발생할 수 있다. 보안 기술만으로 노출된 모든 위험을 제거할 수 없다. 보안 관리자는 기존의 시스템과 잘 융합이 되어 있어야 한다.
이러한 것들이 올바르게 섞여 있을 때 올바른 정책과 가이드라인을 구성할 수 있다. 올바르게 융합되지 않으면, 올바른 정책을 정의할 수 없으며, 모든 보안내용이 따로 분리되어 운용되게 된다. 올바르게 정의되지 않으면, 보안요소를 추가해도 보안등급이 오르지 않게 된다.
