"비즈니스 연속성"의 두 판 사이의 차이

비즈니스 연속성(BC, Business Continuity)이란 화재나 홍수 같은 자연재해나, 사이버 범죄자의 악의적 공격 등으로 긴급 사태가 발생한 상황에서 비즈니스 기능을 유지하거나, 빨리 재개시키는 것을 의미한다. 비즈니스 연속성 계획은 이런 긴급 사태에 직면해 조직이 따라야 할 절차와 지시 사항 등을 규정하고 있다. 이는 비즈니스 프로세스, 자산, 인적 자원(HR), 비즈니스 파트너 등을 포괄한다.

개요

비즈니스 연속성은 재해, 재난 같은 자연재해로 인해 정상적인 운용이 어려운 데이터 백업과 같은 단순 복구뿐만 아니라 고객 서비스의 지속성 보장, 핵심 업무 기능을 지속하는 환경을 조성해 기업 가치를 극대화하는 것을 말한다. 기업이 운영하고 있는 시스템에 대한 평가 및 비즈니스 프로세스를 파악하고 재해 백업 시스템 운용 체계를 마련하여 재해로 인한 업무 손실을 최소화하는 컨설팅 기능을 포함한 개념으로 컨설팅-시스템 구축-시스템 관리의 3단계로 이뤄진다.^[1]

특징

기능

비즈니스 연속성은 회사가 계속해서 문제를 해결하기 위해 수행하는 계획 또는 일련의 단계를 말한다. 이러한 계획은 회사가 재난으로부터 복구해야 하거나 미래의 비즈니스 운영을 유지하기 위해 새로운 관리를 시행해야 할 때 시행된다. 계획을 세우는 데 필요한 단계는 회의를 시작하고 비즈니스 분석을 수행하며 계획을 개발하는 것이다. 회사가 비즈니스 연속성 계획을 완료해야 하는 정해진 기간은 없다. 그러나 대부분은 실행 가능한 계획을 완전히 설계하는 데 몇 주가 걸릴 수 있다. 회사는 정상적인 비즈니스 운영 중에 발생하는 모든 문제에 대비해야 한다. 자연재해는 경고 없이 여러 번 겪을 수 있는 가장 큰 문제 중 하나다. 회사는 종종 운영에 영향을 줄 수 있는 잠재적인 자연재해 목록을 작성해야 한다. 그런 다음 회사가 자연재해를 겪는 중과 후에 자원의 공급을 유지하고 직원을 보호하며 물리적 시설을 재건축 또는 수리하는 방법을 결정해야 한다. 자연재해마다 다른 계획이 필요하게 된다. 수명은 종종 비즈니스 연속성 계획의 여러 단계에서 비롯된다. 소유주와 경영진은 회사가 현재 관리팀보다 더 오래가는 방법에 대한 계획을 제공 할 수 있어야 한다. 이 계획은 회사가 현재 소유자와 관리자가 회사를 운영 할 다음 개인으로 책임을 전환하는 방법을 간략하게 설명한다. 회사가 여러 비즈니스 환경을 통해 변화함에 따라 비즈니스 프로세스에 대한 계획 및 단계는 지속해서 검토 중이다. 비즈니스 연속성 계획을 시작하려면 현재 소유자, 임원 및 관리자 간의 회의가 필요하다. 이 시작을 통해 연속성 계획에 무엇이 포함되어야 하는지 검토해야 한다. 이 초기 단계는 데이터 수집 및 중요한 검토 수행에 관련된 것이다. 회사는 비즈니스의 각 부서 또는 활동 그룹에 대한 계획을 세분화한다. 따라서 비즈니스의 모든 사람의 요구에 맞는 세부 계획이 마련되어 있어야 한다.^[2]

중요성

중소기업이나 대기업 모두 경쟁력을 유지하기 위해 노력한다. 현재 보유한 고객을 유지하면서, 고객 기반을 확대하는 것은 매우 중요하다. 이때 긴급 상황이 발생한 직후는 이런 역량을 테스트하기 가장 좋을 때다. IT 복구는 대부분 기업에서 아주 중요하기 때문에, 이용할 수 있는 DR 솔루션이 아주 많다. 그리고 IT가 이런 솔루션을 이행할 것이다. 기업의 미래는 사람과 프로세스에 달려 있다. 어떤 사고이든 효과적으로 극복할 수 있는 역량을 갖춰야 한다. 이는 회사의 평판과 시장 가치에 긍정적인 영향을 가져온다. 또 고객 신뢰도를 높일 수 있다. 엑스페리안(Experian)의 글로벌 비즈니스 연속성 책임자인 로렌 오도넬은 "현재 소비자와 규제 당국의 '안전'에 대한 기대가 상승하는 추세다. 기업과 기관은 비즈니스 내부 프로세스, 이런 프로세스를 상실했을 때의 장기적인 영향을 이해해야 한다. 재무, 법무, 평판, 규제 측면에서 이런 상실이 발생할 수 있다. 규제 당국이 조직의 '사업 면허'를 폐지하거나, (사전 또는 나중에) 조건을 부과할 경우 시장 가치와 소비자 신뢰도에 부정적인 영향이 초래될 수 있다. 이런 프로세스가 어느 정도 중단되는 것을 가정한 상태에서 복구(복원) 전략을 수립해야 한다"고 강조했다. ^[3]

구성 요소

비즈니스 연속성을 위해 수립되는 계획을 비즈니스 연속성 계획(BCP)이라고 한다. 또 계획 수립부터 도입, 운용, 검토하는 지속적인 개선을 포함한 포괄적이고 통합적인 관리를 비즈니스 연속성 관리(BCM)라고 한다.

• 비즈니스 연속성 계획

1. 프로젝트 계획: 목표 및 범위 설정
2. 업무 영향 분석(BIA): RTO, RPO, 복구 우선순위 결정
3. 복구 전략 선정: 전략별 비용 분석, 전략 도출
4. 비즈니스 연속성 계획 개발: 비즈니스 연속성 계획 조직 구성 및 조직별 계획 수립
5. 유지보수: 교육, 모의훈련 및 유지보수 수행

비즈니스 연속성 계획 구성 요소

구성	세부 내용
재해 예방	업무 영향 분석 재해/재난 분류, 취약성 발견, 발생 빈도와 예상 손실액 추정 내/외부적, 사회적 요인에 따른 원인 분류 위험성으로 인한 비즈니스 영향력 평가, 우선순위 선정 주요 프로세스의 복구 시간 설정 위험을 최소화할 수 있는 전략 대안 시스템 선정
대응 및 복구	재해/재난으로 인한 인적/물적 자원 긴급 조치와 비즈니스 프로세스 복구 대응 및 복구 시나리오 작성 대응계획: 비상시 행동요령, 연락처, 설비, 조직구성, 조직분류, 체계 구성 복구계획: 피해집계 체계, 구제 계획, 복구업무 우선순위, 표준절차, 보고체계 구축, 대외 협력 체계 구축 등
유지보수	재난 발생에 따른 피해 유형 분석, 지속해서 영속성 있는 계획을 수립하기 위한 평간, 분석, 보완 재해 계획의 지속적인 업데이트
모의훈련	비상계획에 따른 훈련과 학습 내용 평가 및 피드백 시나리오에 따른 훈련 실시, 긴급 사태에 대한 숙련된 대응책 반복

^[4][5]

• 비즈니스 연속성 관리

비즈니스 연속성 관리란 조직을 위협하는 잠재영향을 파악하고, 주요 이해관계자의 이익, 조직의 평판, 브랜드 및 가치 창출 활동을 효과적으로 보호하는 데 필요한 대응 및 복원역량 확보를 가능하게 해주는 체계 제공의 통합 경영 프로세스이다. 비즈니스 연속성 관리 단계는 먼저 비즈니스 영향 분석을 해 자사의 업무 프로세스가 안고 있는 리스크를 파악한다. 다음 손해를 최소한으로 막고, 혹은 사회적 책임을 다하기 위해 최소한 계속해야 할 액션이 뭔지 결정하고 그에 따라 비즈니스 연속성 관리를 책정한다. 비즈니스 연속성 관리가 되면 직원 및 사업 동반자 등에 대한 교육 훈련을 시행한다.

비즈니스 환경은 끊임없이 변화하기 때문에, 비즈니스 연속성의 실효성을 유지하기 위해서는 정기적인 비즈니스 연속성 관리의 검토가 필수적이다. 검토는 다시 비즈니스 영향 분석 외에도 타사의 사례 훈련 피드백이 효과적이다. 일반적으로 비즈니스 연속성 관리는 재난 상황에서도 IT 기반의 업무가 중단없이 제공될 수 있도록 체계를 구축하는 것이다. 화재, 지진, 정전, 테러 등 주요 재난 유형에 대한 대응 절차를 상세 규정한 것이 비즈니스 연속성 계획이며, 각종 재난 상황에 대비한 주기적인 모의훈련을 시행하는 것이 좋다.^[6]

위협 요소

• 사람의 실수

사람의 실수는 시스템에서 논리적 손상을 일으키거나 시스템을 사용 불가 상태로 만드는 경우가 많다. 전원 선에 발이 걸리거나 사소한 사건 하나가 전체 스토리지 시스템 다운으로 이어질 수 있다. 생산성 손실을 방지하기 위해서는 가장 발생할 가능성이 높은 사람의 실수 유형을 예측하고 이를 신속하게 해결하기 위한 절차를 마련하는 것이 중요하다.

• 악의적 공격

우발적인 실수는 흔히 일어나지만 의도적인 행동 역시 점차 확산되고 있다. 예를 들어 불만을 품은 직원 또는 전 직원이 IT 시스템을 공격해 다운시킬 수 있다. 바이러스 역시 마찬가지다. 사이버 테러는 더욱 큰 우려 사항이다. 오늘날 대부분의 조직은 악의적 행동으로부터 재해가 발생할 수 있음을 인지하고 이를 방지하기 위한 예측 비즈니스 연속성을 구현하고 있다. 최신 데이터 보호, 백업 및 복구 솔루션을 사용하면 이러한 공격을 차단하고 시스템의 정상 가동을 유지할 수 있다.

• 데이터 손상

데이터 손상 사고는 손상된 하드웨어 또는 소프트웨어 구성 요소로 인해 데이터베이스에서 손상된 데이터의 읽기, 쓰기가 수행될 때 발생한다. 데이터 손상의 형태는 다양하다. 광범위한 경우도 있고 한 구역에 국한되는 경우도 있다. 그에 따라 데이터 손상 사고의 영향도 달라진다. 단일 데이터베이스 블록 내의 손상은 몇 명의 사용자에게 영향을 미치는 정도지만 데이터베이스의 상당 부분에서 손상이 발생하는 경우 데이터베이스를 아예 사용할 수 없게 되기도 한다. 기업 조직은 데이터 손상 문제를 공개하기를 꺼리지만 IT 전문가라면 대부분 어느 형태로든 데이터 손상을 경험한 적이 있을 것이다. 이러한 데이터 손상은 하드웨어 장애 또는 사람의 실수로 인해 발생할 수 있다. 견고한 데이터 백업 및 복구 계획을 선제적으로 가동하면 데이터 손상을 사전에 방지할 수 있다.

• 스토리지 장애

스토리지 장애 사고는 데이터베이스 콘텐츠의 일부 또는 전체가 저장된 스토리지가 가동 중단되거나 더 이상 접근할 수 없게 되어 사용 불능 상태가 될 때 발생한다. 많은 기업이 완전한 스토리지 장애를 경험했는데, 그 원인은 대부분 의도치 않은 사람의 부주의함이다. 예를 들어 한 조직에서는 어느 직원이 한 무더기의 디스크 드라이브를 벽에 기대 쌓다가 스위치를 건드려 끄는 바람에 시스템 장애가 발생했다. 이러한 문제는 추적하기가 어렵다. 다른 예시로, 산(SAN, storage area network)에 대한 의존도가 높은 또 다른 기업은 소음을 줄이기 위해 데이터 센터에 카펫을 깔기로 했다. 얼핏 별 문제 없어 보이는 결정이었지만 이후 승인을 받은 담당 직원이 데이터 센터를 방문하여 산을 확인하기 위해 랙 베이에 손을 댄 순간 정전기가 발생하면서 컨트롤러 장비 회로가 단락되어 전체 산이 다운되었다. 문제의 원인은 카펫 위를 다니면서 축적된 정전하였지만 이를 몰랐던 회사는 새 컨트롤러를 구입했다. 새 컨트롤러를 가동한 이후 다른 누군가가 또 랙에 손을 댔고 이 컨트롤러 역시 단락으로 고장 났다. 예측 비즈니스 연속성 솔루션은 인프라 최적화와 데이터 보호에 초점을 맞춘다. IT 시스템의 주요 구성 요소에 장애가 발생하여 IT 팀이 시스템 장애의 원인을 조사하고 문제를 해결하는 동안 핵심 애플리케이션과 데이터가 영향을 받지 않고 사용자가 생산성을 유지하도록 해야한다.

• 정전 또는 네트워크 장애

정전은 비즈니스에 큰 타격을 입힐 수 있다. 정전은 시스템 다운타임의 원인 중 최상위권에 속한다. 비즈니스 중심의 재해 복구 계획에는 랜 복구 단계는 물론 예비 랜 네트워크 인프라가 포함되어야 한다. 네트워크 장애 역시 예기치 않은 다운타임의 흔한 원인이다. 네트워크 스위치 하나의 손실이 조직에서 많은 시간을 소비하는 대규모 가동 중단으로 이어질 수 있다.

• 자연재해

비즈니스 연속성을 위협하는 일반적인 재해 유형에는 속하지 않지만 허리케인과 지진 역시 실제로 발생한다. IT 조직은 자연재해의 영향을 최소화하고 비즈니스 연속성을 유지하기 위한 견고한 복구 전략을 미리 수립해 두어야 한다.^[7]

각주

참고자료

• 업무 연속성 계획 네이버 지식백과 - https://terms.naver.com/entry.nhn?docId=859869&cid=42346&categoryId=42346
• 비즈니스 연속성 계획 IT위키- http://itwiki.kr/w/%EC%97%85%EB%AC%B4_%EC%97%B0%EC%86%8D%EC%84%B1_%EA%B3%84%ED%9A%8D
• 〈비즈니스 연속성 계획이란 무엇입니까?〉, 《netinbag.com》
• 바우파파,〈비즈니스 연속성 개념〉, 《티스토리》, 2016-10-31
• 〈'어떠한 재난에도 비즈니스는 계속돼야 한다' BCP 수립 방법〉, 《한국비씨피솔루션즈》, 2017-09-11
• 퀘스트소프트웨어, 〈비즈니스 연속성의 가장 큰 위협 요소 6가지〉, 《네이버 블로그》, 2018-10-22

같이 보기

• 재해복구

이 비즈니스 연속성 문서는 하드웨어에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.