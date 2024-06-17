비즈니스 연속성이란 위기가 발생했을 때 중요한 비즈니스 기능을 유지하고, 중단을 최소화하며, 최소한의 다운타임 후에 정상적인 운영을 재개할 수 있는 조직의 능력을 의미합니다. 사이버 공격, 장비 또는 공급망 장애, 자연 재해, 정전 및 기타 예상치 못한 사건이 이러한 위기에 포함될 수 있습니다.
비즈니스 연속성에 대한 계획이 없으면 기업은 수많은 사고에 취약해집니다. 2020년 코로나19 팬데믹이 발생했을 때 전 세계 기업의 51%가 비즈니스 연속성 계획을 수립해두지 않았습니다.1
비즈니스 연속성 관리(BCM)가 부족하면 비용이 많이 들 수 있습니다. IBM 데이터 유출 비용 보고서에 따르면 2023년 데이터 유출의 평균 비용은 USD 445만 달러였습니다.2 기업에 이러한 손실이 발생하면 다시 회복하기 어려울 수 있습니다. 40%가 넘는 기업이 재해를 겪은 후 다시 문을 열지 않을 것입니다.3 비즈니스 연속성 계획에 투자하면 위협이 발생하기 전에 복구 전략을 수립할 수 있으므로 장기적으로 비용을 절감할 수 있습니다.
비즈니스 연속성 계획(BCP)은 재해가 발생했을 때 조직이 정상적인 비즈니스 기능으로 복귀하기 위해 따라야 할 단계를 자세히 설명합니다. BCP는 기업이 광범위한 잠재적 위협에 대비할 수 있도록 광범위한 접근 방식을 취합니다.
비즈니스 연속성 계획과 재해 복구 계획은 모두 비상 계획이라는 점에서 동일하지만, 위기 관리에 접근하는 방식이 각기 다릅니다. 비즈니스 연속성 관리가 보다 광범위한 대비에 중점을 둔다면, 재해 복구 계획(DRP)은 사고가 발생했을 때 데이터와 IT 시스템을 보호하는 데 특히 중점을 둡니다.
BCP는 운영 중단 전, 중단 중, 중단 직후에 비즈니스 기능을 유지하기 위한 사전 예방적 비즈니스 연속성 전략입니다. 반면 DRP는 재해 발생 시 효과적으로 대응하고 복구하기 위한 대응 전략입니다.
이 두 가지 계획은 개별적으로 처리되는 경우가 많지만 비즈니스 연속성 및 재해 복구에 대한 조화로운 접근 방식을 통해 조직의 운영 복원력을 더욱 강화할 수 있습니다.
비즈니스 연속성 계획은 예기치 않은 사고가 발생했을 때 앞으로 나아갈 방향을 제시하고 대응 및 복구 프로세스에 구조를 도입할 수 있습니다.
강력한 BCP에 투자하는 기업이 기대할 수 있는 몇 가지 이점은 다음과 같습니다:
치명적인 사건은 심각한 다운타임으로 이어질 수 있습니다. 혼란이 뒤따르며, 팀은 시스템을 다시 가동하기 위해 동분서주해야 합니다. 비즈니스 연속성 프로그램은 위기 관리 계획과 비상 관리 절차를 마련하여 더 빠른 시간 안에 온라인 상태로 복구함으로써 이러한 중단을 최소화하는 데 도움이 될 수 있습니다.
중요한 비즈니스 기능이 가동되면 팀은 정상적인 비즈니스 프로세스를 재개하는 데 집중할 수 있습니다. BCP는 예기치 못한 인시던트 후 비즈니스 프로세스를 복원하는 데 걸리는 시간인 복구 시간 목표(RTO)를 지정합니다. 엄격하게 테스트된 BCP를 구현하고 합리적인 RTO를 설정하면 비즈니스를 신속하게 복구하여 고객, 투자자 및 이해관계자의 신뢰를 높일 수 있습니다.
비즈니스 중단으로 인해 엄청난 비용이 발생할 수 있으며, 회사 시스템이 가동되지 않는 1분 마다 수익 손실로 이어질 수 있습니다. BCM은 복구 비용을 크게 낮출 수 있습니다. 예를 들어, IBM의 데이터 유출 비용 보고서에 따르면 조직은 비즈니스 연속성 계획의 일부로 보안 AI 및 자동화와 같은 사이버 보안 솔루션에 투자해 평균 176만 달러를 절감할 수 있습니다.2 BCP는 또한 잠재적인 평판 하락의 영향을 줄일 수 있습니다.
의료 및 개인 금융과 같은 산업에서는 비즈니스 연속성이 규제 요건에 포함될 수도 있습니다. 이러한 영역에서 운영되는 기업들은 강력한 BCP를 반드시 구축해야 규정 준수 표준을 충족할 수 있습니다.
비즈니스 연속성 계획과 관련하여 모든 조직은 저마다의 요구 사항이 갖고 있을 것입니다. 모든 기업에 적합한 한 가지 프레임워크는 없지만, 효과적인 BCP를 구축하기 위해 기업은 다음의 4가지 단계를 따를 수 있습니다.
위험 관리의 중요한 부분인 비즈니스 영향 분석(BIA)은 계획 프로세스의 첫 번째 단계입니다. 다양한 비즈니스 기능을 평가하고 발생 가능한 위험, 위협 및 취약성을 파악하는 위험 평가가 이 단계에서 이뤄집니다. BIA는 또한 해당 이벤트의 발생 가능성과 비즈니스 운영에 미치는 잠재적 영향을 예측하여 조직이 그에 따라 우선순위를 정할 수 있도록 합니다.
파악된 각 이벤트에 대해 적절한 대응을 설계해야 합니다. 대응에는 위협을 해결하기 위한 명확한 프로토콜과 세부적인 조치가 포함되어야 합니다.
이벤트마다 다른 수준의 대응이 필요합니다. 예를 들어 정전이나 사이버 공격으로 인해 중단이 발생하면 기업에서는 미션 크리티컬 IT 인프라를 먼저 온라인 상태로 만들고 다른 중요한 애플리케이션을 나중에 가동해야 할 수 있습니다.
이 단계에서는 특히 복구 지점 목표(RPO)를 설정할 때 기술적인 부분을 고려해야 합니다. 조직의 RPO는 재해가 발생했을 때 손실되더라도 복구할 수 있는 데이터의 양을 의미합니다. 기업은 RPO에 따라 데이터 백업 및 복원 도구를 고려할 수 있습니다. 이러한 도구는 데이터 손실 복구, 원격 데이터 센터의 오프사이트에 데이터를 저장하는 백업 및 재해 복구 솔루션, 서비스형 재해 복구(DRaaS)와 같은 타사 서비스를 지원합니다.
이 단계에서는 비즈니스 리더와 이해관계자가 계획을 실행하고 대응 및 복구 노력을 안내할 핵심 팀원을 지정합니다. 효과적인 BCP는 각 팀원의 책임을 명확하게 정의하고, 각 역할을 수행하는 데 필요한 리소스를 간략하게 설명합니다. 또한 해당 팀원의 연락처 정보와 정전으로 인해 연결이 끊어질 경우에 대비한 대체 커뮤니케이션 수단도 포함되어 있습니다.
BCP의 견고성을 입증하기 위해 조직은 주기적인 테스트와 지속적인 수정을 거쳐야 합니다. 직원들에게 잠재적인 위협에 대해 교육하기 위해 트레이닝이 반드시 필요하며, 현실적인 시나리오를 자주 실행하면 문제와 개선 기회를 정확히 파악하는 데 도움이 됩니다. 비즈니스 연속성 계획을 정기적으로 테스트하고 개선함으로써 실제 재해가 발생할 경우에 최대한 대비할 수 있습니다.
1 Business responses to the COVID-19 outbreak: Survey findings, Mercer, 2020년
2 2023년 데이터 유출 비용(CODB) 보고서, IBM, 2023년
3 Stress-Test Your Business Continuity Management, Gartner, 2019년 11월 5일