백업 주기는 어떻게 정해야 할까요

"백업주기를 어떻게 정해야 할까요?"

실제로 전산담당자에게 이와 같은 질문을 하면, "보안책임자의 의지에 따라" 혹은 "특별한 이유가 없이.." 와 같은 많은 답변을 받을 수 있습니다. 

백업주기는 이렇게 추상적인 개념으로 정해지는 것이 아닙니다. 백업은 전산적인 측면에서 봤을때 반드시 수행해야 할, 그리고 가장 중요한 업무 중 하나 입니다. 그렇기 때문에 이러한 백업의 주기는 반드시 정확한 분석으로 정해져야 합니다. 또한 이러한 분석은 해당 데이터의 비즈니스 측면의 가치에 기반하여야 합니다. 

그러면 백업 주기를 정하는 계산법은 무엇일까요?

우선 그전에 아래의 개념을 이해해야 합니다. 

• 복구 지점 목표 ( RPO ; Recovery Point Objective ) / 최대 데이터 손실 ( Maximum Data Loss ) 
• 비즈니스 영향 분석 ( BIA ; Business Impact Analysis )

** 비즈니스 연속성에 관련한 국제 표준인 ISO 22301에서는 ‘복구지점목표(RPO)'와 ‘최대 데이터 손실' 은 같은 의미라고 표현하고 있습니다.

1. BPO / Maximum Data Loss / BIA

1) 복구 지점 목표(RPO)

'복구 지점 목표’ 는 각종 재해상황에서 수용할 수 있는 최대 허용 데이터 손실을 의미합니다. 기본적으로 다음의 질문을 통해 복구 지점 목표’를 구할 수 있습니다.

• “얼마정도의 데이터를 손실하여도 (사업적으로) 감당할 수 있는가?
• “즉, 수용할 수 있는 데이터 손실이 어느정도 인가?"

2) 업무 연속성 평가 (Business Impact Analysis)

위의 ‘복구지점목표(RPO)’를 분석하는 가장 쉬운 방법이 바로 '비즈니스 영향 분석(BIA)’ 입니다.’비즈니스 영향분석(BIA)’를 간단하게 정의하면 ‘장애나 재해로 인한 운영상의 주요 손실을 가정하여, 시간흐름에 따른 영향도 및 손실평가를 조사하여 BCP를 구축하기 위한 핵심 절차 입니다.(여기서 BCP란, Business Impact Analysis의 약자로서 업무 영향 분석을 의미합니다)

'비즈니스 영향 분석’은 조직내 모든 대상 (데이터베이스, 어플리케이션, 파일 또는 서비스, etc) 를 대상으로 진행 될 수 있습니다. 각각의 담당자들은 인터뷰 혹은 질문서를 통해서 ‘수용할 수 있는 수준의 최대 데이터 손실’ 수치화 하여 값을 도출하게 됩니다. 보통 시간을 기준으로 하지만, 트랜잭션, 레코드로도 도출될 수 있습니다.

BIA 분석에 대한 핵심 명제는 ‘회사 입장에서의 잠재적인 데이터 손실’ 입니다. 이것은 금적적인 손실도 될 수 있고, 범법, 명성 등과 같은 영향도 포함됩니다. 이 기준을 수행할때는 기존에 수행하고 있던 백업주기를 고려하면 안되며, 오직 지금 수행하고 있는 백업이 깨지게 되었을때, 얼마동안의 손실을 수용할 수 있는가 입니다. 도출된 ‘복구지점목표(RPO)는 24시간이 될 수도 있고, 2시간이 될 수도 있습니다. 

2. 그러면 백업 주기는 어떻게 정해야 할까요?

다시 처음으로 돌아와서, 백업 주기 수립 방법에 대해 이야기 해보도록 합니다. 은행을 예로 들어서 설명하도록 하겠습니다. 은행의 핵심 업무 활동이 '대출 프로세스' 와 '지불 프로세스’라고 가정해 보고, 각각의 '복구지점목표(RPO)'를 추측해보도록 하겠습니다. 

'대출 프로세스'는 아마 24시간 동안의 손실을 감수할 수 있을 것입니다. 이유는, 사고 발생 후 고객이 자신의 정보를 다시 요청하였을때 해당 데이터를 재생성하기가 매우 어렵기 때문입니다. 하지만 '지불 프로세스'의 경우 아주 작은 단일 트랜잭션의 손실 조차도 감수할 수 없을 것 입니다. 이유는 보통 지불프로세스는 트랜잭션으로 이루어진 하나의 큰 볼륨이기 때문입니다.

결론은 아주 간단합니다. 이러한 업무영향분석(BIA)를 통해 ‘복구목표시간(RPO)’을 24시간으로 정한다면, 백업은 하루에 한번은 수행되어야 합니다. ‘복구목표시간(RPO)’이 두시간 이면, 백업을 두시간마다 한번씩 수행해야 한다는 것이고, RPO가 제로라면, 흔히 말하는 미러사이트를 구축해서 실시간으로 데이터를 복제해야 할 것입니다. 

하지만 언제나 가격이 문제가 될 수 있습니다. 혹은 두시간 마다 한번씩 백업을 하는 것은 불가능하다고 반문할 수도 있습니다. 하지만 명심해야 하는 기본적인 사실은 조직내 중요 데이터를 모두 잃었을 경우, 비즈니스 전체에 회복할 수 없을 만큼의 큰 손실이 발생한다는 것이 분명하다는 것입니다.