각종 재난이 빈도나 강도 모든 면에서 심상치 않은 증가세를 보이고 있다. 2024년도 재난이 넘쳐나는 해가 될 것이 거의 분명해 보이는데, 그렇기 때문에 기업들이 재난에 대비해 각종 계획을 세워두는 것이 필수가 되고 있다.

[보안뉴스=신시아 하비 IT 칼럼니스트] 2023년 한 해 동안 발생한 재난 상황들을 목록으로 만든다면 제목만 적어도 A4 종이로 여러 장 나오기에 충분할 것이다. 미국 국립해양대기국(National Oceanic and Atmospheric Administration, NOAA)에 의하면 2023년 1월부터 10월까지 미국에서만 발생한 각종 기후 관련 재난 사건 중 피해액이 10억 달러를 넘는것을 꼽으면 25건이라고 한다. 10억 달러 이상 규모의 재난 사건의 빈도는 연평균 8.1건이었다. 지구가 심상치 않은 상황이라는 건 분명한 사실이다.


미국만의 일이라면 차라리 다행일지도 모르겠다. 하지만 우리는 세계 곳곳에서 비슷한 현상이 일어나고 있음을 알고 있다. 중국과 리비아에서 대홍수가 일어나고, 멕시코는 각종 허리케인들에 강타를 당했고, 모로코와 튀르키예, 시리아의 지진은 끔찍한 공포를 선사했다. 여기에 더해 유럽과 중동, 수단, 에티오피아에서는 지금 전쟁이 한창 진행 중에 있다.

이런 복잡한 상황에서 사이버 공격자들은 끊임없이 피해를 누적시키고 있으며, 이 때문에 모든 종류의 기업과 조직들은 사이버 공격으로 인해 입을 피해들까지 항상 염려하면서 하루하루 사업 행위를 영위해야 한다. IT 기술을 다루는 누군가가 실수를 해서 예상 밖의 상황이 벌어지기도 하며, 실수와 악의가 복합적으로 작용하여 큰 사건이 되기도 한다.

이 때문에 많은 기업들이 ‘재난 복구 대책’을 새롭게 마련하는 중이다. 재난이란 것이 어쩌다 한 번 일어나는 천재지변이 아니라 상수처럼 존재하는 것이 되어버렸다는 걸 기업들이 느끼기 시작한 것이다. 특히 지난 3년 동안 팬데믹을 거치면서 재난에 대한 기업들의 태도가 180도 바뀌었다. 어떠한 상황에서도 사업과 서비스는 중단되지 말아야 하는데, 그게 생각보다 어렵고, 생각보다 자주 있어야 하는 일이라는 걸 뼈저리게 경험했다.

하지만 그 재난 복구 대책이라는 것을 언제, 어디서부터, 어떻게 시작해야 할까? 이런 계획을 세워보지 않은 기업이라면 대부분 시작부터 난감할 것이다. 그래서 여러 전문가들의 의견을 모아 효과적인 재난 대비 계획을 세울 때 필요한 것들이 무엇인지 정리해 보았다.

1. 재난 발생시의 리스크를 평가한다
효과적인 재난 복구 계획을 수립하려면 제일 먼저 재난으로 인해 입을 피해를 가늠해야 한다. 어떤 재난이 발생했을 때 사업 연속성에 어떤 식의 문제가 발생할 것이며 그로 인해 어떤 피해가 발생할 수 있는지 최대한 구체적으로 평가하고 분석하는 단계가 필요하다. 갑자기 IT 시스템들이 마비된다든지, 전력 공급이 중단된다든지, 데이터 침해 사고가 발생한다든지, 공급망이 붕괴된다든지, 팬데믹이 다시 시작된다든지, 자연 재해로 IT 인프라가 지도에서 사라진다든지 등 여러 가지 경우가 있을 수 있다.

이런 재난들 하나하나가 ‘큰일’인 건 맞지만 예상되는 피해의 정도는 기업마다 달라진다. 데이터 침해 사고가 결정적으로 작용해 회사 전체가 휘청거리는 경우도 있지만, 약간의 피해로 그치는 경우도 있다. 어떤 기업은 홍수에 다른 회사보다 취약하고, 어떤 기업은 산불에 더 취약하다. 그러므로 기업들이 자신들의 상황에 맞춰서 재난과 피해를 평가하는 게 중요하다. 여기에는 일어날 가능성이 높은 재난의 종류가 무엇인지를 파악하는 것도 포함된다.

2. 자산들을 파악하고 사업적으로 핵심이 되는 기능들을 분류한다
리스크에 대한 평가를 마쳤다면 이제 그 리스크로부터 무엇을 보호해야 하는지를 구체적으로 파악해야 할 차례다. 당연하지만 회사의 자산들을 보호해야 하는 건데, 어떤 재난이 발생할 때 어떤 자산이 특히 위험해지는 지를 이해하는 게 중요하다. 한 마디로 피해를 최소화 하는 작업을 이 단계에서 구상해야 한다는 건데, 사업이라는 커다란 맥락 안에서 특히 중요한 자산에서부터 보호 대책을 마련하는 게 이상적인 순서가 된다. 재난 발생 시 사업이 멈추지 않도록 하는 게 재난 복구 계획의 핵심이니까.

어디서부터 시작해야 할 지 모르겠다면 회사가 보유하고 있는 모든 하드웨어와 소프트웨어를 목록으로 만드는 것을 추천한다. 상세하게, 모든 것을 파악하여 목록에 포함시켜야 한다. 새롭게 추가되는 하드웨어와 소프트웨어가 있을 때마다 이 목록을 최신화 하는 것도 잊지 말아야 한다. 회사 자산이 한 눈에 보이게 되는 것만으로도 피해와 리스크를 어느 정도는 예상할 수 있다. 그러므로 대책 수립도 가능하게 된다.

3. 시스템 혹은 사업 복구의 목적도 분명히 해야 한다
재난이 덮쳐 와 피해를 입었을 때 복구를 한다는 건 너무나 당연한 일이다. 그렇기에 ‘복구에도 목적이 있다’는 표현 자체가 어색하게 들릴 수 있다. 하지만 어떤 자산을 어떤 피해로부터 복구하느냐에 따라 복구라는 행위에도 여러 가지 목적이 있을 수 있다. 어떤 경우에는 자산을 복구하는 데 걸리는 시간이 길어질 때 피해가 증폭될 수 있어 차라리 비슷한 자산을 구매하는 게 나을 수 있다. 이 경우 복구의 목적은 ‘시간을 아낀다’는 것이다. 어떤 경우는 하드웨어 장비 내에 저장된 데이터가 더 중요한 자산이라, 하드웨어보다 데이터 복구에 더 많은 돈과 인력과 시간을 투자해야 할 수도 있다. 하드웨어에 더 많은 자원을 투자하면 낭비가 된다. 이 때 복구의 목적은 ‘데이터’가 될 것이다.

그 외에도 규정 준수가 1순위 목적이 될 수도 있고, 고객과의 관계 회복이나 브랜드 신뢰도 회복이 더 먼저가 될 수도 있다. 어떤 재난이 닥쳤을 때, 그래서 어떤 피해가 어떤 과정을 통해 발생했을 때, 어떤 자산을 위주로 복구를 진행해야 하는지, 어떤 목적을 가지고 복구 작업을 서둘러야 하는지 미리 계획해 두면 실제 사건이 발생했을 때 효율적으로, 빠르게 대처할 가능성이 높아진다.

4. 예방할 수 있다면 예방하라
‘복구’ 대책이기 때문에 사건이 발생한 후의 대처 방법이 다뤄질 때가 많은데, 사실 재난이나 사고는 미리 예방하는 게 최고다. 예방이 사후 대처보다 훨씬 저렴하다. 돈, 시간, 인력, 모든 것이 적게 든다. 또한 피해도 크게 줄어든다. 브랜드 신뢰도가 낮아질 일도 없다. 예방이 더 낫다고 하지만, 그 나은 정도가 어마어마하다. 하늘과 땅 차이다. 그러니 모든 복구 계획은 사실 예방 계획을 포함하는 게 논리적이고 현명하다.

물론 홍수를 미리 계획하여 막을 수 있는 사람은 없다. 산불도 그렇고 지진도 그렇고 태풍도 그렇다. 하지만 홍수나 산불이나 지진으로 인해 발생할 수 있는 우리 회사의 다운타임 시간은 계획하여 줄일 수 있다. 예를 들어 데이터센터에 예비 발전기를 마련해 둔다면 발전소에서 큰 사고가 나 도시 전체가 암흑에 빠져도 서비스를 이어갈 수 있다. 홍수에 대비해 높은 지대에 데이터센터가 있어도 홍수로 인한 피해를 줄이는 게 가능하다.

5. 데이터는 항상 백업한다
어떤 종류의 재난에 대비하든 데이터가 백업되어 있으면 피해 복구에 큰 힘이 된다. 사이버 공격이든 자연 재해든 마찬가지다. 데이터 백업 없이도 무사히 복구되는 경우도 물론 있겠지만 그렇지 않은 경우가 훨씬 많다. 데이터를 가장 효과적으로, 가장 쉽게 백업하는 방법은 공공 클라우드 서비스를 이용하는 것이다. 전문가들은 3-2-1 데이터 백업 전략을 추천하는데, 이는 다음과 같은 의미를 가지고 있다.

1) 최소 3개의 복사본을 만든다.
2) 복사본을 최소 2개의 저장소에 저장해 둔다
3) 최소 1개의 복사본은 부지 밖 별도의 장소에 보관한다
물론 이 전략이 모든 기업들에 최고는 아닐 것이다. 하지만 가장 보편적이고 가장 추천할 만하다. 이 데이터 백업 전략이 여의치 않다면 조직에 가장 알맞는 백업 전략을 새롭게 짜서 도입하면 된다.

글 : 신시아 하비(Cynthia Harvey), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>