Offcanvas

CIO / 리더십|조직관리

블랙스완과 회색 코뿔소에 대비하라··· ‘BCP’ 수립법

2022.05.17 Siddharth Ram  |  CIO
위협 지형을 평가하고 대책을 마련하면 지정학적 사건 또는 여타 운영 중단을 초래할 수 있는 사건에 대비하여 운영 탄력성을 구축할 수 있다. 

연일 보도되는 우크라이나 사태로 인해 그곳에 거주하는 직원들의 안전을 우려하는 기업들이 많다. 그리고 더 나아가 이는 비즈니스에 영향을 미칠 수 있는 전 지구적 사건에 대비한 계획 수립의 중요성을 강조한다. 

‘비즈니스 연속성(Business Continuity)’은 CIO 및 CTO의 계획에 필수적인 부분이다. 아무도 예측하지 못한 이례적인 사건을 일컫는 ‘블랙스완(Black Swan)’은 비즈니스에 상당한 영향을 미칠 수 있다. 허나 앞서 말한 것처럼 예측할 수 없는 사건이 있지만 사전에 대비하거나 심지어 예상할 수 있는 것도 있다. 비즈니스 연속성은 위협 지형을 평가하고 계획을 수립하는 것이다. 이를 통해 예측 가능한 위협에 대처하고, 위협에 맞서 운영 탄력성을 구축할 수 있다. 
 
ⓒGetty Images

위협 지형
리더십 팀의 베스트 프랙티스는 지속적으로 위협 지형을 고려하고, 잠재적인 문제를 파악하여 대비하는 것이다. 그렇게 하지 않으면 기업에 상당한 재정적 영향을 초래할 수 있다. 대비가 필요한 사건은 다음과 같다.

• 지정학적 위협(예: 러시아의 우크라이나 침공)
• 자연재해(예: 지진)
• 직접적인 위협(예: 랜섬웨어)
• 규제 변화


이런 위협에는 사전에 구축하고 실행해야 하는 경우가 있고 아니면 핵심 목표가 무엇인지, 위협에 직면했을 때 취해야 할 조치는 무엇인지 확실히 알 수 있도록 계획을 수립해야 하는 경우도 있다. CIO와 CTO는 위협 지형을 모니터링하고, 필요에 따라 업데이트해야 한다. SOC-2 인증(개인정보보호 관련 국제 인증)은 위협 표면을 점검할 수 있는 좋은 기능이다.

지정학적 위협 대비
개인적인 사례를 바탕으로 이야기하자면 소속 기업인 美 빅 데이터 회사 인플렉션(Inflection)에서는 (실제 사건 발생보다 1년 반 앞서) 우크라이나와 관련된 비즈니스 중단 가능성에 대비한 계획을 수립하기 시작했다(편집자 주: 해당 기업은 우크라이나에 지사를 두고 있다). 구체적으로 설명하자면, 일련의 원칙을 정한 후 해당 원칙을 바탕으로 대책을 세웠다. 활용한 핵심 원칙은 아래와 같다.

• 지리적으로 다양한 곳에 팀을 구성한다. 우크라이나 외에도 미국과 브라질에 상당한 인원을 배치했다. 

• 업무 다양성을 구축한다. 지역마다 완전히 다른 업무를 하는 것이 아니라 여러 지역에 있는 팀이 협업할 것을 요청했다. 여기에는 단점(예: 추가적인 커뮤니케이션의 필요성 등)이 있었지만 (결과적으로는) 옳은 선택이었다.

• 직원의 안전을 우선시한다. 지정학적 사건(예: 전쟁, 테러 등)에서 안전을 확보하려면 추가적인 재정 부담이 필요하다는 사실을 인지하고, 안전 확보를 위한 추가 지출에 개의치 않아야 한다. 인플렉션에서는 우크라이나에 있는 직원들에게 다른 지역으로 이동할 수 있도록 급여뿐만 아니라 3개월 치 생활비를 지원했다. 

• 구두 방식보다 서면 방식의 커뮤니케이션을 중요시한다. 이를테면 중요한 모든 엔지니어링 의사결정은 엄격한 아키텍처 의사결정 프로세스를 거친다.


인플렉션에서는 이러한 사전 조치를 통해 비즈니스 연속성을 확보하는 동시에 직원들의 안전을 우선시할 수 있었다. 아울러 원칙 외에도 장기간 근무할 수 없는 직원들의 공백을 메울 세부적인 계획이 있었다.

실제 연속성 계획의 예: 소프트웨어 가용성 계획의 심층 분석
자연재해와 관련된 사전 예방적 계획의 예를 살펴보자. 가령 소속 기업의 데이터센터가 있는 곳에 자연재해(예: 지진)가 발생해 네트워크 장애(network partition)가 발생할 경우 어떻게 할 것인가? 다음의 예시는 퍼블릭 클라우드 업체를 사용한다는 가정하에 작성됐다. 우선 가용성 계획의 출발점은 고객과 약속한 가동 시간이다. 표준 SaaS 가동 시간의 벤치마크는 가용성 99.95%다. 이를 기준으로 매년 허용되는 비가동 시간은 4시간 22분 58초다. 또한 아래의 사항을 고려해야 한다.

• 사건 발생 시 ‘복구 목표 시간(RTO; Recovery Time Objective)’과 ‘복구 목표 시점(RPO; Recovery Point Objective)’이 어떻게 되는가? 이러한 지표가 합의돼야 무엇을 희생하고 무엇을 취할지(trade-off) 의사결정을 내릴 수 있다.

• 유지보수 기간(Maintenance windows; 유지보수를 위한 (계획된) 중단)이 있는가? 만약 있다면 이를 없애야 한다(유지관리 기간이 있는 이유도 자문해야 한다). 

• 현재 사용하고 있는 플랫폼에서 기본적으로 보장하는 것에는 무엇이 있는가? 일반적으로 클라우드 업체들은 가동 시간을 보장하지 않는다.

• 한 가용 영역(데이터센터)이 작동하지 않을 경우 어떻게 할 것인가? 

• 리전(복수의 가용 영역)이 중단될 경우 어떻게 할 것인가?

• 공급업체(여러 리전)를 사용할 수 없는 경우 어떻게 할 것인가? 


이러한 질문에는 비용과 복잡성 중 어느 것을 얼마나 희생할지 다양한 가능성이 존재한다. 소규모 회사라면 복잡성이 커지는 것을 피하겠지만 대기업에서는 그렇지 않을 수도 있다. 계획의 목적은 이러한 질문에 명확한 자세를 취하는 것이다. 

복수의 가동 영역을 통해 고가용성을 지원해야 하는가? 대부분의 기업에서 이는 간단한 결정이다. 이를테면 AWS에서는 복수의 가동 영역을 지원하는 일이 복잡하지 않으며, 비교적 적은 비용과 복잡성으로 수행할 수 있다.

국지적 정전이라는 재해복구(DR) 상황이 발생한다면 어떻게 해야 하는가? 지역 간 동기화(cross-regional synchronization)는 복잡하고 비용이 많이 든다. 이를 선택하는 기업은 상대적으로 적다. 그 대신 데이터를 다른 지역에 백업하고, 간단한 아키텍처로 인해 길어진 복구시간을 감수해야 한다는 점을 RTO/RPO에 반영할 수 있다.

클라우드 업체가 중단되는 경우에는 어떻게 할까? 크로스 벤더 구축은 매우 복잡하고 비용이 많이 든다. 대부분은 데이터를 다른 클라우드 업체에 백업하는 것으로 충분하다. 하지만 대기업이라면 비용적으로나 규모적으로나 복수의 클라우드 업체를 사용하는 게 좋다.

이 모든 점을 감안하여 계획을 수립하고, 회사 경영진의 동의를 받아야 한다. 아울러 실제 사건이 발생했을 때 어떻게 커뮤니케이션할지 계획도 세워야 한다(예: 고객에게 어떻게 알릴 것인가?). 가장 중요한 것은 수립한 계획을 테스트하는 것이다. 또한 테스트까지 거친 계획이라도 정기적으로 실행에 옮기지 않으면 의미가 없다. 한편 인플렉션에서는 다음과 같은 결정을 내렸다.

복수의 가동 영역을 구축하여 고가용성을 지원한다. 데이터센터 한 곳의 운영 중단은 고객이 감지할 수 없다.
지역 재해와 관련해서는 여러 지역 간의 데이터를 동기화하여 24시간 미만의 RPO와 72시간 미만의 RTO를 지원한다.
클라우드 업체의 가동이 완전히 중단되더라도 복구할 수 있도록 제2의 클라우드 업체에 데이터를 동기화한다. 
마지막으로 매년 데이터베이스 복원을 수행하고, 분기별로 DR을 테스트한다. 
 
직접적인 위협 대비
지난 몇 년간 랜섬웨어 등의 위협이 많이 증가했다. 이러한 위협은 정면으로 맞서야 한다. 인플렉션의 계획은 다음과 같다.

• SOC-2 인증을 획득하고, 자사 프로세스가 업계 최고 수준에 필적하는지 비교 및 확인한다. 
• 저장돼 있거나 전송 중인 데이터가 항상 암호화되도록 보장한다. 
• 버그 현상금 프로그램을 실시한다. 
• 외부 기관에 침투 테스트를 의뢰한다. 
• 직원 시스템이 암호화돼 있는지, 맬웨어, 피싱 등의 공격에 대비한 적절한 소프트웨어 보호 기능이 있는지 확인한다.
• 보험에 가입한다. 


실패할 이유 미리 찾기
‘사전 부검(Pre-mortems)’은 리더들이 고려할 만한 유용한 방법이다(편집자 주: 이는 실패를 미리 상상하여 위험을 예측하고 방지하는 기법을 말한다). 비즈니스 연속성은 사후 대응보다는 사전 예방이 최선이다. 

‘사전 부검’은 ‘사후 부검’과 반대말이다. 사후 부검은 무엇이 잘못됐는지 이미 (사건이) 발생한 이후 분석하는 반면, 사전 부검은 ‘무엇이 잘못될 수 있을까? 어떻게 미연에 방지할 수 있는가?’라고 질문한다. 사전 부검을 활용하면 심도 있는 비즈니스 연속성 계획 수립이 가능하다. 또 이미 계획돼 있기 때문에 실제 사건을 ‘생각할 필요 없이(don’t make me think)’ 대응할 수 있다.

결론
비즈니스 연속성 계획은 경영진의 필수 요건이다. 재난이 닥칠 때까지 기다리는 기업들은 신속하게 대응할 수 없다. 경영진은 원칙 그리고 비용과 복잡성 중 무엇을 얼마나 희생할지 합의해야 한다. cio@idg.co.kr

 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.