ISMS-P 결함사례 고찰 #2.12. 재해 복구

2.12.1 재해·재난 대비 안전조치

인증기준: 자연재해, 통신·전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고, 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다.

 

결함사례#1

IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한 내용이 누락되어 있는 경우가 있다. 특히나 침해 사고도 아니고, 재해 복구 사고는 더욱 흔치 않기는 하다. 그런데 그렇다고 해서 일어나지 않는 일은 아니다. 당장 최근에 카카오톡의 사태도 있었고 말이다. 그렇기에 이에 대해 제대로 된 대응 절차를 평소 가벼이 여기는 경우가 있을 법 한데, 그럴 경우 카카오톡 같은 사태를 맞이하게 되는 것이다. 대기업임에도 불구하고 제대로 된 복구절차도 밟지 못하는 상황 말이다. 아무리 일반적인 침해사고에 비해 사고 발생 가능성이 적다고는 하지만, 재해 복구 절차도 그에 준하여 중요시 여겨야 한다. 일반적인 침해사고와 달리, 재해의 경우 그 피해 정도가 천차만별이라는 점에서 그렇다. 이에 대해서도 복구 전략을 세우고 훈련하는 과정이 요구될 것이다.

 

결함사례#2

비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위하여 백업센터를 구축하여 운영하고 있으나, 관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가 효과적으로 진행되기 어려운 경우가 있다. 백업센터를 활용한 복구 절차가 수립되어 있지 않다면, 복구 시간은 무기한 길어질 수밖에 없다. 더군다나 담당 직원들은 갑자기 출근하여 계속 회사에 묶여 있는 상황도 발생할 것이고 말이다. 미러 사이트 정도까지 요구하지는 않지만, 핫이나 웜 정도까지는 구축을 하여 사고에 대한 대응 방안을 마련해야 할 것이다.

 

결함사례#3

서비스 운영과 관련된 일부 중요 시스템에 대한 복구 목표시간이 정의되어 있지 않으며, 이에 대한 적절한 복구 대책을 마련하고 있지 않은 경우가 있다. 복구 목표시간은 핵심 IT 서비스 및 시스템 중요도와 특성에 따라 분명히 정의되어야 한다. 목표시간과 더불어 목표시점까지 상세히 말이다. 그것은 가장 기본적인 영역이며, 그것을 토대로 상세적인 전략을 수립할 수 있는 것이라고 생각한다. 아무리 상세 전략을 제대로 짜 놓았다고 한들, 복구시간과 시점에 대해 정의를 하지 않았다면, 향후 복구 절차를 밟았을 때의 검토 과정에서 제대로 된 평가를 할 수 없을 것이다.

 

결함사례#4

재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간, 복구 목표시점 등이 정의되어 있지 않은 경우가 있다. 이것 역시 #3과 비슷한 경우로, 우선순위 같은 개념이 명확하지 않다면 명확하게 복구 절차가 진행되고 있다고 말할 수 없을 것이다. 예를 들어 카카오톡 마비 사태를 떠올리면, 가장 0순위는 서로 메세지를 보내고 받는 기능이 복구되는 것이다. 그런데 만약 그게 가장 늦게 된다고 하면, 사람들은 그 복구 전략을 우수했다고 판단할 수 있을까? 시간이 짧았다고 한들 말이다. 그리고 이것은 물론 편견이지만, 대부분의 경우를 봤을 때 우선순위 조차 제대로 정의하지 않은 조직이 제대로 된 복구를 하는 경우를 보질 못했다.

 

결함사례#5

현실적 대책 없이 복구 목표시간을 과도 또는 과소하게 설정하고 있거나, 복구 목표시점과 백업정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우가 있다. 복구 전략은 현실적으로 수립해야 한다. 결국 이것도 실제 훈련을 하지 않았기 때문에 목표시간이 과도한지 과소한지 판단조차 못하는 경우일 것이라 생각한다. 실제 상황을 가정하여 조직이 세운 지침이 현실적으로 타당한지, 합리적인지 검토할 필요가 있다.

 

2.12.2 재해 복구 시험 및 개선

인증기준: 재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다.

 

결함사례#1

재해 복구 훈련을 계획·시행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우가 있다. 훈련을 하지 않았다면 간단하다. 실제 상황이 발생했을 때 지침만 보면서 '아 어떻게 해야 하는 거지' 하면서 어버버 하다가 복구 시간은 늘어나고, 고객과 파트너의 신뢰를 고스란히 날리면 되는 일이다. 모든 계획에 있어서, 그것의 모의 훈련을 법으로 규정하지 않아도 필수로 여겨야 하는 마인드가 필요하다.

 

결함사례#2

재해 복구 훈련 계획을 수립하였으나, 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않은 경우가 있다. 계획대로 실시하지 않았다는 것은 약식으로 진행했다는 것일 가능성이 높다. 훈련 계획은 실제를 토대로 하는 것이며, 그렇기에 문제를 찾아야 하는 과정이기도 하다. 어느 조직이건 재해 복구 훈련 계획을 현실적으로 그렇게 자주 할 수가 없고, 그렇기에 매번 훈련을 할 때마다 문제나 개선점이 분명 여러 개 생길 수밖에 없다고 생각한다. 그래서 그것을 토대로 실제에선 어떻게 해야할지 답을 찾아야 하는 것이다. 그것이 이뤄지지 않는다면, 그것은 훈련 다운 훈련이라 볼 수 없을 것이다.

 

결함사례#3

재해 복구 훈련을 계획하여 실시하였으나, 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우가 있다. 훈련에 있어서 가장 기본이 되는 것은 결국 지침과 기준이다. 그것이 타당하고 합당한지에 대해 판단이 끝난 후에야 그것을 기준으로 삼을 수 있으니 말이다. 지침이 제대로 되지 않았다면 훈련의 효율이 매우 떨어지는 일이 될 것이다. 겨우 없는 일정 만들어서 훈련을 진행했는데 그것이 효과적이지 않다면 너무 아쉽지 않을까? 이왕 가끔 하는 훈련인데 제대로 신뢰할 수 있는 명확한 지침에 따라 실제적인 훈련을 해야 할 것이다.