[칼럼]비즈니스 연속성으로 본 IT재해복구의 한계

국내 IT조직이 본격적으로 재해복구시스템을 도입하기 시작한 것은 90년대 후반 무렵인 걸로 기억한다. 10년이 넘는 세월이 흐른 셈이다.

그러나 지금 IT조직이 보유하고 있는 재해복구시스템은 10년 전의 모습과 전혀 달라지지 않고 그 전통(?)을 줄기차게 유지하고 있다.

대다수의 IT조직들은 재해복구시스템을 솔루션으로만 이해하고 있어, 도무지 솔루션공급업체와 IT조직간의 차이를 분별하기 어렵다. 또 재해에 대비한 모의 훈련을 잘 하고 있다고 주장하지만 실제로는 솔루션이 잘 작동되는 여부만 딸랑 점검하는 경우가 허다하다. 이번에는 이러한 전통에 머물러 있는 IT조직의 재해복구에 대해 이야기 해보겠다.

■비즈니스 연속성의 급격한 변화 추세

작년 3월 11일 발생한 일본대지진의 여파는 전세계 모든 기업들이 비즈니스연속성이란 것을 다시 한번 심각하게 검토하게 만든 계기가 됐다.

대지진의 직접적인 영향을 받은 일본 기업뿐만 아니라 전 세계 모든 글로벌 기업들은 사고를 예측하고 예방하고 통제할 수 있다는 자신감을 잃었다.

글로벌 기업들은 사고에 대한 자신감을 잃은 대신 겸손함을 얻었고, 그 겸손함의 결과로 비즈니스 연속성을 선택하게 됐다.

예측 불가능한 사고는 받아들일 수 밖에 없으며, 사고로 인해 발생하게 되는 이해관계자들의 피해를 어떻게 줄일 것인가에 초점을 맞추는 비즈니스 연속성의 접근방법에 관심을 가지게 된 것이다.

글로벌 기업들은 비즈니스 연속성을 통해서, 제품이나 서비스를 제공하지 못하게 될 경우 피해 또는 영향을 받게 되는 이해관계자를 뽑아봤다. 그리고 비즈니스의 내부의 업무 방식과 업무 방식이 기대고 있는 IT와 협력망(supply chain)과 같은 의존항목들을 들여다 보기 시작했다.

이 과정에서 이해관계자 중 하나인 고객들은 기업에게 불어 닥친 재해에 사실상 관심이 없다는 사실을 깨달았다. 고객들은 오로지 제품이나 서비스가 언제 다시 공급될 것인가에 관심을 가지고 있다는 것이다.

이것은 지진, 홍수와 같은 사고에 대한 대응능력을 갖추는 것도 중요하지만, 제품이나 서비스를 약속한 시간 내에 다시 공급해낼 수 있는 능력을 갖추는 것이 이해관계자의 이익을 보호해주는 데 더 중요하다는 것을 의미한다.

비즈니스 연속성은 어떤 사건 사고가 발생하더라도 약속한 제품이나 서비스를 공급해낼 수 있는 비즈니스 탄력성을 높이는 것이라고 이해하면 된다.

■비즈니스 연속성이 IT조직에 요구하는 것들

비즈니스 연속성을 검토하고 있는 기업들은 IT를 매우 중요한 유틸리티이자 의존항목으로 인식하고 있다. IT를 공급하는 IT조직은 중요한 협력회사 중의 하나로 보고 있고 IT중단이 본인들 비즈니스 연속성에 미치는 영향을 신중하게 평가하고 있다.

이들은 IT재해복구시스템의 존재 여부에 관심이 있는 게 아니라, 기업 내부의 업무 방식이 IT에 얼마나 의존하고 있는가에 초점을 맞추고 있다. 기업 내부의 업무 방식은 IT의존도가 서로 다르기 때문에 의존도에 맞게 IT서비스의 탄력성을 다르게 가져가기 위해서다.

이들은 비즈니스 연속성 관점에서 내부의 다양한 업무 방식에 맞게 IT가 공급되기를 기대하고 있다. 따라서 IT조직에 가해진 재해의 심각함에는 관심이 없으며, IT서비스가 약속한 시간 내에 다시 공급될 것인지에 관심을 가지고 있다.

■전통적인 IT재해복구시스템의 경직성

IT조직이 보유하고 있는 전통적인 재해복구시스템은 글로벌 기업의 비즈니스 연속성을 대응하기에 한계가 있다.

재해복구시스템을 도입하는 당시에는 IT를 사용하는 기업들이 지금과 같은 비즈니스 연속성 요구사항을 먼저 제시하지 못했다. 그래서 거대한 한 통의 재해복구시스템을 묶어서 도입할 수 밖에 없었다.

한 통의 재해복구시스템은 단일한 복구목표시간을 제공하다 보니, 글로벌 기업이 최근 요구하는 있는 비즈니스 개별 업무의 IT의존도에 연계된 유연한 IT재해복구 요구사항을 들어줄 수가 없다.

유연하지 못한 재해복구시스템으로도 충분히 잘 하고 있다고 주장하는 IT조직들을 만나게 되면 어디서부터 이야기를 꺼내야 할지 난감할 때가 있다.

■비즈니스 연속성에 부합하는 IT서비스 연속성

비즈니스 연속성을 도입한 글로벌 고객들은 IT조직에 비즈니스 연속성 요구사항을 구체적으로 전달해준다. 이 경우 IT조직은 이 요구사항에 맞는 유연한 IT서비스 연속성 방법을 제공하면 된다.

비즈니스 연속성 요구사항을 구체적으로 제공하지 못하는 고객들에 대해서는 IT조직이 이를 직접 파악해내야 한다. 고객 업무별로 어떤 IT시스템에 어떤 정도의 의존도를 가지는지를 확인하고, 고객 업무가 IT 중단을 얼마나 참아낼 수 있는지를 파악해서 이것을 고객의 비즈니스 연속성 요구사항으로 정한다. 그리고 이를 만족하는 유연한 IT서비스 연속성 방법을 준비한다.

■연속성에 대한 오해

비즈니스 연속성이나 IT서비스 연속성에서 말하고 있는 ‘연속성(continuity)’은 제품 및 서비스가 중단 없이 제공되는 것을 의미하는 것이 아니다. 이는 중단이 되더라도 약속한 시간 내에 다시 공급을 해준다는 의미다.

IT서비스 영역에서는 장애나 재해로 인해 IT중단이 발생할 수 있다. IT서비스 연속성은 IT중단이 발생하지 않도록 하는 무결점 또는 무중단을 의미하는 것이 아니다. 중단이 되더라도 IT를 사용하는 고객이나 고객의 업무 방식에게 약속한 시간 내에 IT를 다시 사용할 수 있도록 보장해주는 것이다.

따라서 IT조직들은 장애나 재해가 지금까지 발생하지 않는 것을 자랑할 것이 아니라 장애나 재해가 발생했을 때를 대비해서 평소에 얼마나 잘 준비했고, 또 실제 발생했을 때 준비된 것들을 활용해서 잘 대응할 수 있는 능력을 갖추고 있다는 것을 자랑해야 한다.

■비즈니스연속성을 이끌어가는 IT조직의 모습

IT조직은 IT재해복구시스템을 수동적으로 제공하는 데서 벗어나 IT를 잘 모르는 비즈니스의 내부를 잘 살펴보고, 그들의 비즈니스 연속성에 도움이 되는 유연한 IT 서비스 연속성을 제공해야 한다.

또 IT가 공급이 되지 않을 때 어떤 결과가 발생할 것인지를 끊임없이 IT 고객들에게 상기시켜줘야 한다. IT가 끊기지 않고 늘 공급이 될 것이라고 비즈니스가 착각하지 않도록 해야 한다. 한 걸음 더 나아가 IT가 없이도 한 동안 견뎌야 한다는 사실을 알려주고 IT 없이도 견딜 수 있는 특별한 방법까지 마련해줘야 한다.

■최악을 항상 대비하는 IT 경영진의 태도

IT조직은 장애나 재해로 인해 외부의 관심을 받게 되는 것 자체를 두려워한다. 그러나 이제는 시대가 바뀌고 있다. 불가항력의 사건이 발생하는 것에 부끄러워할 필요가 없다. 오히려 이런 사건들이 발생했을 때 잘 대응하지 못한 것을 부끄러워해야 한다.

난세에 영웅이 난다고 했다. 훌륭한 IT 경영진은 어려움에 미리 대비하고 어려움이 발생했을 때 준비했던 것을 활용해서 침착하게 대응하는 모습을 보인다.