데이터 백업과 복구는 IT 부서 입장에서 일상적으로 당연히 해야 하는 관리 업무 중 하나다. 이런 일상적 작업을 함에 있어 앞으로는 규제 부문까지 챙겨야 할 것으로 보인다.
백업과 복구에 왠 규제냐고 반문할 수도 있겠지만 이미 규제 대응에 대한 움직임을 시작한 곳들이 하나 둘 늘고 있다. 여기서 말하고자 하는 규제는 바로 '개인정보 보호'이다.
개인정보 보호라고 하면 흔히 데이터베이스 암호화와 접근 제어 정도를 떠올린다. 하지만 이게 다가 아니다. 데이터는 기본적으로 움직이는 속성을 가지고 있다. 운영 환경에서 쓰이다 1차, 2차 백업 위치로 옮겨진 후 최종적으로 장기 보관을 위해 테이프 상에 아카이빙 할 때까지 꾸준히 위치가 바뀐다. 이는 역으로 말하면 보호해야 할 개인정보가 담긴 데이터는 어느 위치에 있건 암호화를 전제로 보호해야 한다는 것을 뜻한다. 즉 백업 및 아카이빙까지 암호화 대상이 넓어질 수 있다는 소리다.
이와 다른 관점에서의 규제 대응도 최근 관심사로 떠오르고 있다. 바로 침해 사고 관리와 IT 재해복구(DR)에 대한 부분이다. 개인정보 보호와 이 두 주제는 언뜻 보면 연관성이 없어 보인다. 하지만 정보보호관리체계(ISMS) 인증제 대상 기업 입장에서 보면 사정이 달라진다. 2013년 현재 ISMS 의무 대상 기업 수는 148개 사업자이다. 기간통신사업 허가를 받은 사업자, IDC 사업자, 정보통신 서비스 부문 기업으로 전년 도 매출 100억 이상 기업 등이 의무 대상 기업이다.
이들 기업은 개인정보 보호 수준에 대한 평가와 인증을 받아야 하는데 심사 내용 중 '침해 사고 관리'와 'IT 재해복구'가 중요 항목으로 들어가 있다. 이 항목을 평가 받는 데 있어 기업들이 곤란해 하는 것은 바로 시험 및 유지 관리이다. 흔히 말하는 재해복구 모의훈련에 대한 것인데 상당수 기업이 그 중요성을 인지하지만 실제 운영 환경을 대상으로 잦은 훈련을 하지 못한다. 간단한 테스트 환경 정도에서 모의 훈련을 하는 경우가 대부분이다.
그렇다면 개인정보보호를 수행함에 있어 모의 훈련이 중요한 이유는 무엇일까? 간단히 그 배경을 찾자면 개인 정보 손실과 위변조라는 잠재적 위험에 대응하기 위함이다. 모의 훈련을 효과적으로 하는 조직은 개인정보가 담긴 복제물이 제대로 생성되어 안전하게 보관되어 있는지를 수시로 점검할 수 있다. 또한 사이버테러와 같이 외부 침임에 의해 개인정보가 위변조 되거나 손망실 되었을 때 즉각적인 복구 수행도 신속히 처리할 수 있는 역량이 생긴다.
소개한 바와 같이 데이터 보호 관련해 2014년 규제 대응 이슈가 시장의 화두로 등장할 전망이다. 그렇다면 이들 규제에 효과적인 대응을 위해 어떤 전략적 방향 수립이 필요할까? 자동화 기반의 멀티 사이트 재해복구 전략을 고민해 볼 때가 되었다고 필자는 생각한다.
여기서 말하는 멀티 사이트의 개념은 주센터와 백업센터 외에 공용 클라우드 등 제3의 지점까지 고려해 재해복구 체제를 가져가는 것이다. 이는 중요 업무만 대상으로 이루어지는 재해복구를 한 순간에 더 많은 업무까지 포괄하는 수준으로 끌어올리는 현실적 방안이 아닐까 생각한다.
관련기사
- [기고]의료서비스, 재해복구 전략 수립 필요2013.12.29
- [기고]여름철 전산실 전력대란 또 온다면?2013.12.29
- [기고]IT통합 시대, 데이터보호 아키텍처 다양성 반영할 때2013.12.29
- 팔콘스토어, "데이터보호 자동화 우리가 킹"2013.12.29
즉 초기 투자 부담 없이 재해복구 대상을 확대해 나아가는 데 있어 멀티 사이트 전략이 유효하다는 것인데, 이를 위해서는 서비스 지향적인(Service Oriented) 아키텍처와 재해복구 자동화 도구가 전제되어 있어야 한다.
위치와 관계 없이 하나의 관점과 구조 속에서 데이터가 복제되어야 하고, 장애 발생 시 복구 작업이 자동으로 이루어질 수 있어야 한다는 것이다. 이런 방향성을 갖추게 되면 앞서 언급한 백업과 아카이빙까지 고려한 암호화 및 재해복구 체제 정립부터 운영 환경을 대상으로 한 지속적인 모의 훈련이 가능해질 수 있을 것이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
