서비스형 재해 복구(DRaaS)란 무엇인가요?

DRaaS 솔루션은 재해 발생 시 장애 조치를 제공하는 물리적 및 가상 서버 를 모두 복제 및 호스팅합니다. 즉, 기본 시스템에 장애가 발생하면 IT 작업이 보조 시스템으로 전환됩니다. 효과적인 DRaaS는 재해 발생 시 가동 중단 시간을 제한하고 복구 지점 목표(RPO) 및 복구 시간 목표(RTO)를 단축하는 데 도움이 됩니다.

DR 솔루션은 데이터 보안의 중요성에 대한 비즈니스 커뮤니티의 인식이 높아짐에 따라 최근 몇 년 동안 인기를 얻고 있습니다. DRaaS 접근 방식을 채택하는 기업은 기본적으로 DR 계획을 타사에 아웃소싱합니다. Global Market Insights(GMI)의 최근 보고서에 따르면 DRaaS의 시장 규모는 2022년 115억 달러였으며 올해 22% 성장할 것으로 예상됩니다.

DRaaS 솔루션은 재해 복구 계획(DRP)에 의존합니다. 재해 복구 계획은 예기치 않은 사고가 발생했을 때 조직의 대응 방식의 개요를 세부적으로 다룬 문서입니다. 비즈니스 연속성 계획(BCP)과 함께 DR 계획은 기업이 랜섬웨어 및 멀웨어 공격, 자연 재해 등을 비롯한 다양한 유형의 위협에 대비할 수 있도록 지원합니다.

강력한 DRP는 재해 발생 후 연결을 복구하고 데이터 손실을 복구하는 데 도움이 될 수 있습니다. 예기치 않은 사건이 발생하는 경우 DRaaS 지원을 제공하는 타사 공급업체는 고객과 같은 서비스 중단을 겪을 가능성이 낮으므로 DRaaS 공급업체는 고객보다 더 효과적으로 고객의 DRP를 수립할 수 있습니다.

장애 조치 및 장애 복구는 DRaaS의 핵심 개념으로, 타사 공급업체가 직면한 사고의 심각성에 관계없이 고객을 효과적으로 지원하고 DRP를 구현할 수 있도록 지원합니다. 장애 조치는 정전, 사이버 공격 또는 기타 위협으로 인해 기본 시스템에 장애가 발생했을 때 IT 운영을 보조 시스템으로 이동하는 프로세스입니다.

장애 복구는 모든 기능이 복원된 후 기존 시스템으로 다시 전환하는 프로세스입니다. DRaaS 서비스 모델에서 공급업체는 고객의 데이터 센터에서 보조 사이트로 장애 복구할 수 있으며, 이때 이중화 시스템이 즉시 적용됩니다. 장애 조치 및 장애 복구가 제대로 실행되면 사용자는 보조 시스템으로 이동 중이라는 것조차 인지하지 못하고 원활하게 사용할 수 있습니다.

DRaaS의 첫 번째 단계는 조직에 적합한 공급업체 또는 마스터 서비스 공급자(MSP)를 선택하는 일입니다. 이 회사는 RTO 및 RPO 수립을 포함한 DRaaS 기능을 제공하고 비즈니스 연속성 계획(BCP)을 수립하는 데 도움을 줄 것입니다. 일반적으로 DRaaS MSP는 점점 더 낮은 RTO와 RPO를 제공하기 위해 경쟁하므로, 이는 공급자가 고객의 요구 사항에 적합한지 평가할 때 시작하기에 좋은 지표가 됩니다.

복구 시간 목표(RTO): RTO는 예기치 않은 인시던트 발생 후 비즈니스 운영을 복구하는 데 걸리는 시간을 의미합니다. DRaaS 모델에서 서비스 수준 계약(SLA)은 RTO를 다루고 이를 달성하기 위해 MSP와 조직이 어떻게 협력할 것인지 설명합니다.

복구 지점 목표(RPO): RPO는 재해가 발생하고 복구할 때 조직이 손실을 허용할 수 있는 데이터의 양입니다. 일부 기업은 침해 발생 시 연속성을 보장하기 위해 데이터를 원격 데이터 센터에 지속적으로 복사해야 하지만, 수 분(또는 수 시간)의 RPO를 허용할 수 있는 기업도 있습니다. 조직의 RPO에 대한 명확한 기대치를 설정하는 것은 DRaaS 솔루션 설정을 위한 중요한 단계입니다.

비즈니스 연속성 계획: DRP, RTO, RPO(RPO)와 마찬가지로 비즈니스 연속성 계획(BCP)도 DRaaS 프로세스에 매우 중요합니다. BCP는 일반적으로 DRP보다 다양한 위협과 해결 옵션을 더 폭넓게 살펴보며, 인시던트 발생 후 기본 비즈니스 기능을 복원하기 위해 조직과 DRaaS 제공업체가 수행해야 하는 작업에 중점을 둡니다. DRaaS 모델 하에서 일반적으로 DRaaS 서비스를 제공하는 MSP가 조직의 경영진과 긴밀하게 협의하여 조직의 BCP를 수립합니다.

DRaaS는 중요 시스템의 백업을 기반으로 하므로 예기치 않은 인시던트 발생 후 복구할 수 있습니다. 사용할 백업의 위치와 유형을 선택하는 것은 조직이 DRaaS 프로세스 중에 내리는 가장 중요한 결정 중 하나입니다. 데이터 센터, 클라우드 및 하이브리드 백업의 세 가지 옵션 중에서 선택할 수 있습니다.

데이터 센터

조직이 가장 중요한 데이터를 데이터 센터에 백업하기로 선택하는 경우, 해당 데이터를 오프사이트로 옮겨 자연 재해나 로컬 사이버 공격으로부터 보호합니다. 오프사이트 시설 및 물리적 서버, 시스템 및 직원 등 인프라가 더 많이 필요하기 때문에 데이터 센터 백업은 보통 비용이 가장 많이 드는 옵션입니다. 또한, 오프사이트 데이터 센터에서 데이터를 복원하는 것은 클라우드에서 복원하는 것보다 시간이 더 오래 걸리며, 때로는 며칠 또는 몇 주가 걸릴 수도 있습니다.

클라우드

클라우드 재해 복구 계획은 물리적 인프라와 지원이 필요 없기 때문에 보통 확장성이 가장 뛰어나고 저렴합니다. 클라우드 기반 DR 계획은 중요한 데이터를 클라우드에 저장하므로 조직은 재해 발생 시 몇 분, 심지어 몇 초 안에 켤 수 있는 가상 머신(VM) 인스턴스를 생성할 수 있습니다.

하이브리드 클라우드

하이브리드 DRaaS 계획은 백업 목적으로 퍼블릭 클라우드 환경과 데이터 센터를 모두 사용합니다. 하이브리드 클라우드 서비스는 사용 가능한 세 가지 옵션 중 가장 유연하며, 물리적 인프라에 투자하지 않고도 엔터프라이즈급 DRaaS 기능을 사용하길 원하는 중소기업(SMB)에 적합한 옵션입니다.

DRaaS를 고려하는 많은 조직은 서비스형 백업(BaaS)을 더 저렴한 옵션으로 간주합니다. BaaS는 타사 공급업체가 제공하는 관리형 서비스로, 인시던트 발생 후 기업이 가장 중요한 데이터를 복원할 수 있도록 지원합니다. BaaS 솔루션은 다양한 위협으로부터 안전한 오프사이트 위치(주로 클라우드)에 데이터를 저장합니다. 

BaaS 데이터 백업에는 파일, 레코드, 전체 워크로드 등 조직에 유용한 것이라면 무엇이든 포함될 수 있습니다. DRaaS와 마찬가지로 BaaS는 MSP가 제공하는 서비스로, 양 당사자의 모든 책임과 기대치를 설명하는 SLA가 적용됩니다.

BaaS와 DRaaS 솔루션 사이에는 고려해야 할 주요 차이점이 세 가지 있습니다.

백업 요구 사항: DRaaS는 데이터와 인프라를 모두 백업하지만 BaaS는 데이터만 백업합니다. DRaaS MSP는 일반적으로 서버, 사무실 건물 및 네트워크와 같은 중요한 인프라를 인시던트 발생 중 및 인시던트 직후에 사용자가 사용하고 액세스할 수 있도록 유지할 책임을 집니다. BaaS 제공업체는 이러한 서비스를 제공하지 않습니다.

복원 시간: BaaS 공급자도 데이터를 복원하고 데이터를 복구할 수 있지만 관련된 데이터의 양 때문에 DRaaS 공급자보다 시간이 더 오래 걸립니다. BaaS 배포는 일반적으로 DRaaS 배포보다 더 많은 양의 데이터를 처리하며 RPO와 RTO를 몇 시간 또는 며칠 만에 측정합니다. DRaaS 공급자는 RPO와 RTO를 몇 분, 때로는 몇 초 만에 측정할 수 있습니다.

솔루션 가격: BaaS는 DRaaS보다 훨씬 저렴합니다. 이는 주로 배포되는 리소스 비용 때문입니다. DRaaS 배포에서는 기업이 스토리지 리소스 외에도 복제 소프트웨어 및 컴퓨팅 인프라와 같은 리소스에 대한 비용을 지불하는 반면, BaaS 배포에서 조직은 스토리지 리소스에 대해서만 비용을 지불합니다.

대부분의 조직은 비즈니스 연속성 재해 복구(BCDR) 계획을 비즈니스 연속성과 재해 복구라는 두 가지 개별 프로세스로 나눕니다. 두 프로세스가 여러 단계를 공유하지만 계획을 수립, 구현 및 테스트하는 방식에 주요한 차이점도 있기 때문에 이는 효과적인 접근 방식입니다.

가장 큰 차이점은 BCP는 사전 예방적인 경향이 있는 반면 DRP는 더 사후 대응적인 경향이 있다는 것입니다. 이 점은 두 프로세스가 서로 연관되어 작동하는 방식에 적용되므로 BCDR 계획의 두 부분을 작성할 때 염두에 두는 것이 좋습니다.

강력한 비즈니스 연속성 전략은 재해가 발생하기 전, 재해가 발생하는 중, 재해 직후 비즈니스 운영에 중요한 프로세스, 절차 및 역할에 초점을 맞춥니다. DR 계획은 사고에 대응하고 적절한 복구 조치를 취하는 데 더 적합합니다.

두 프로세스 모두 RTO(복구 시간 목표)와 RPO(복구 시점 목표)라는 두 가지 중요한 구성 요소에 따라 크게 달라집니다.

• 복구 시간 목표(RTO): RTO는 예기치 않은 인시던트가 발생한 후 비즈니스 프로세스를 복구하는 데 걸리는 시간을 의미합니다. 합리적인 RTO를 수립하는 것은 기업이 자신의 DRP를 만들 때 가장 먼저 해야 할 일 중 하나입니다.
• 복구 지점 목표(RPO): 비즈니스의 RPO는 재해가 발생하고 복구할 때 조직이 손실을 허용할 수 있는 데이터의 양입니다. 데이터 보호는 많은 현대 기업의 핵심 기능이므로 일부 기업은 대규모 침해 발생 시 연속성을 보장하기 위해 데이터를 원격 데이터 센터로 지속적으로 복사합니다. 반면 결국 재해 당시 손실된 데이터가 무엇이든 복구가 가능하다는 것을 알고, 비즈니스 데이터를 백업 시스템으로부터 복구하는 데 수 분(또는 수 시간)의 RPO를 허용할 수 있는 기업도 있습니다.

1. 사업 영향 분석(BIA) 수행

효과적인 BCP를 구축하려면 먼저 조직이 직면한 다양한 위험을 이해해야 합니다. 비즈니스 영향 분석(BIA)은 위험 관리 및 비즈니스 복원력에서 중요한 역할을 합니다. BIA는 재해가 정상적인 운영에 미치는 잠재적 영향을 식별하고 평가하는 프로세스입니다.

강력한 BIA에는 내부 및 외부의 모든 잠재적 기존 위협 및 취약성에 대한 개요와 이를 완화하기 위한 자세한 계획이 포함됩니다. 또한 BIA는 이벤트 발생 가능성을 식별하여 조직이 그에 따라 우선 순위를 지정할 수 있도록 해야 합니다.

2. 대응 설계

BIA 완료 후 BCP 구축의 다음 단계는 식별된 각 위협에 대한 효과적인 대응을 계획하는 것입니다. 위협에 따라 당연히 서로 다른 재해 복구 전략이 필요하므로 각 대응에는 조직이 특정 위협을 어떻게 발견하고 해결할지에 대한 자세한 계획이 있어야 합니다.

3. 주요 역할과 책임 파악

이 단계에서는 팀의 핵심 구성원이 위기 또는 장애 이벤트에 직면했을 때 어떻게 대응할지 결정합니다. 각 팀 구성원에 대한 기대치와 역할을 수행하는 데 필요한 리소스를 문서화합니다.

이는 프로세스의 한 부분으로 인시던트 발생 시 직원 개인의 통신 방법을 고려합니다. 일부 위협은 셀룰러 또는 인터넷 연결과 같은 주요 네트워크를 중단시키므로 직원이 신뢰할 수 있는 대체 통신 방법을 갖추는 것이 중요합니다.

4. 계획 테스트 및 업데이트

실행 가능하려면 BCDR 계획을 지속적으로 연습하고 개선해야 합니다. 직원에 대한 지속적인 테스트와 교육은 실제 재해가 발생했을 때 원활한 배포로 이어질 것입니다. 사이버 공격, 화재, 홍수, 인적 오류, 대규모 정전 및 기타 관련 위협과 같은 현실적인 시나리오를 리허설하여 팀 구성원이 자신의 역할과 책임에 대한 자신감을 가질 수 있도록 합니다.

BCP와 마찬가지로 DRP는 역할과 책임을 요약하고 지속적인 테스트 및 개선을 수행하는 비즈니스 영향 분석 수행(BIA)이 필요합니다. 그러나 DRP는 본질적으로 사후 대응에 더 가깝기 때문에 위험 분석과 데이터 백업 및 복구에 더 중점을 둡니다. DRP 개발의 2단계와 3단계, 위험 분석(RA) 수행 및 자산 재고 생성은 BCP 개발 프로세스의 일부가 아닙니다.

DRP를 만드는 데 널리 사용되는 5단계 프로세스는 다음과 같습니다.

1. 비즈니스 영향 분석 수행

BCP 프로세스와 마찬가지로 회사가 직면할 수 있는 각 위협과 영향을 평가하는 것부터 시작합니다. 잠재적 위협이 일상 운영, 정기적인 커뮤니케이션 채널 및 작업자 안전에 어떤 영향을 미칠 수 있는지 고려합니다.

강력한 BIA를 위한 추가 고려 사항에는 매출 손실, 가동 중단 시간에 따른 비용, 평판 회복 비용(홍보), 고객 및 투자자 이탈(단기 및 장기) 및 규정 준수 위반으로 인한 처벌이 포함됩니다.

2. 위험 분석

DRP의 역할은 잠재적 재해로부터 복구하는 노력에 초점을 맞추는 일이므로 일반적으로 BCP보다 더욱 신중한 위험 평가가 필요합니다. 계획의 위험 분석(RA) 부분을 진행할 때는 위험의 발생 가능성과 비즈니스에 미칠 수 있는 잠재적 영향을 고려하세요.

3. 자산 재고 생성

효과적인 DRP를 만들려면 기업이 무엇을 소유하고 있는지, 목적과 기능, 조건을 정확히 알아야 합니다. 자산 재고를 정기적으로 관리하면 하드웨어, 소프트웨어, IT 인프라 및 조직이 소유할 수 있는 기타 비즈니스 운영에 중요한 요소를 식별하는 데 도움이 됩니다. 자산을 식별한 후에는 대단히 중요함, 중요함, 중요하지 않음의 세 카테고리로 그룹화할 수 있습니다.

• 대단히 중요함: 정상적인 비즈니스 운영에 필요한 자산에만 대단히 중요함으로 레이블을 지정합니다.
• 중요함: 하루에 한 번 이상 사용되며 중단될 경우 비즈니스 운영에 영향을 미치되 비즈니스를 완전히 중단시키지는 않는 자산에 이 레이블을 지정합니다.
• 중요하지 않음: 비즈니스에서 자주 사용하지 않는 자산으로, 정상적인 비즈니스 운영에 필수적이지 않습니다.

4. 역할과 책임 설정

BCP 개발과 마찬가지로 책임을 명확하게 설정하고 팀 구성원이 필요한 업무를 수행하는 데 필요한 것을 갖추고 있는지 확인해야 합니다. 이 중요한 단계가 없으면 재해 발생 시 어떻게 대응해야 할지 아무도 알 수 없습니다. DRP를 구축할 때 고려해야 할 역할과 책임은 다음과 같습니다.

• 인시던트 보고: 장애 이벤트가 발생했을 때 관련 당사자의 연락처 정보를 관리하고 비즈니스 리더 및 이해관계자와 소통하는 사람입니다.
• DRP 감독자: DRP 감독자는 팀 구성원이 사고 발생 중에 할당된 작업을 수행하도록 합니다.
• 자산 관리자: 재해가 발생했을 때 중요한 자산을 확보하고 보호하는 업무를 맡은 사람입니다. 
• 타사 연락 담당자: DRP의 일환으로 고용한 타사 공급업체 또는 서비스 공급자와 협력하고 그에 따라 DRP 진행 상황을 이해 관계자에게 업데이트하는 사람입니다.

5. 테스트 및 개선

BCP와 마찬가지로 DRP도 효과적으로 사용하려면 끊임없는 연습과 개선이 필요합니다. 정기적으로 연습하고, 의미 있는 변경 사항에 따라 업데이트하세요. 예를 들어, DRP가 형성된 후에 회사가 새로운 자산을 취득하는 경우, 해당 자산을 계획에 통합시켜 향후에도 보호받을 수 있도록 해야 합니다.

당연하게도 현대 기업이 허용할 수 있는 가동 중단 시간은 점점 짧아지고 있습니다. 
매일 또 다른 사이버 공격이나 예기치 않은 사건이 헤드라인을 장식하고 기업은 그로 인해 수백만 달러의 비용을 사용합니다. DRaaS와 같은 재해 복구 솔루션은 다양한 위협에 대해 효과적인 데이터 보호 및 재해 복구를 제공합니다.

DRP 구현을 아웃소싱하고 조직의 가장 중요한 데이터를 별도의 위치에 백업하는 것은 DRaaS의 두 가지 핵심 요소로, 이는 재해 발생 시 데이터를 신속하고 완벽하게 복구할 수 있도록 보장합니다.

DRaaS 솔루션의 주요 이점은 다음과 같습니다.

서비스형 재해 복구(DRaaS) 솔루션은 셀프 서비스, 지원 및 관리형 DRaaS의 세 가지 종류로 제공됩니다. 조직의 필요와 리소스에 따라 이러한 옵션 간에는 고려해야 할 중요한 차이점이 있습니다.

셀프 서비스 DRaaS는 조직이 자체 DRP를 구축하고 관리하는 데 필요한 비즈니스 도구와 리소스를 제공합니다. 프로세스에 대한 높은 수준의 제어가 필요한 전담 사내 IT 팀이 있는 기술적으로 진보된 조직에 적합합니다.

셀프 서비스 DRaaS는 군더더기가 없어 다른 계획보다 저렴하고 훨씬 유연합니다. 하지만 조직에서 셀프 서비스 DRaaS 솔루션을 사용하면 DRP의 계획, 테스트 및 관리 단계를 자체적으로 수행해야 합니다.

지원형 DRaaS는 제어 필요성과 타사 MSP의 강력한 지원 사이에서 균형을 맞춰야 하는 조직에 적합한 복구 서비스 유형입니다. 지원형 DRaaS에서 MSP는 DRP를 구축, 계획, 구현, 테스트 및 개선하는 데 도움을 주고 프로세스 전반에 걸쳐 귀중한 전문 지식과 지침을 제공합니다.

관리형 DRaaS는 MSP가 조직의 DRP 개발 및 구현을 완전히 제어하고 책임을 지는 완전 아웃소싱 DRaaS 솔루션입니다. 자체 IT 부서가 없는 기업을 위한 강력한 옵션인 관리형 DRaaS는 현존하는 가장 강력한 DRaaS 서비스를 제공합니다. 당연하게도 가격도 보통 가장 비쌉니다.