BCP 방법론

리스크와 비용의 균형이 스마트 탄력성 비결

78호 (2011년 4월 Issue 1)

 

2011년 3월 11일 일본 동북부에서 발생한 강력한 지진과 지진 해일로 1만 명 이상의 사상자가 발생했다. 강력한 자연의 힘 앞에 세계 3대 경제대국인 일본 국가와 경제 시스템도 속수무책이었다. 도로, 전력, 수도 등 사회간접자본이 파괴됐고 공장 가동도 중단됐다. 일반 시민의 삶은 물론 기업 활동도 크게 위축됐다.
 
최근에 일어난 이 같은 대형 재해는 오늘날 우리가 얼마나 불확실한 시대에 살고 있는지 실감케 한다. 급속도로 발전한 산업화, 과학기술 및 정보기술(IT)의 발달로 훨씬 더 예측가능하고 풍요로운 삶의 질을 누리며 살 수 있을 것이라는 기대와는 달리 우리는 자연 재해 앞에서는 여전히 한없이 초라하고 무능하다. 기업도 마찬가지다. 이러한 불확실성이 기업의 존폐까지 좌지우지할 수 있다. 이는 한 기업만의 문제가 아니다. 기업은 결국 특정 산업의 복잡다단한 가치사슬(Value Chain) 속에 존재하는데, 그 가치사슬 속의 어느 한 역할 담당자의 불확실성이 그 특정 산업 전체에 영향을 미친다. 일본 대지진으로 일본 부품 제조업체들이 생산을 중단하자 일본제 부품을 수입해야 하는 한국 기업도 피해를 보는 일이 바로 이러한 예에 해당된다.
 
세계 금융의 심장이라고 할 수 있는 미국 뉴욕에서 발생한 2001년 세계무역센터의 폭탄테러를 계기로 기업차원(Enterprise-wide)의 업무연속성계획(BCP·Business Continuity Planning )이 잘 갖춰진 회사와 그렇지 못한 회사의 손실이 극명한 대조를 보였다. 이후 우리나라에서도 금융감독원이 금융서비스업을 대상으로 재해복구 지침을 발표하고 업계에 전사 차원의 업무연속성계획 수립을 권고했다. 하지만 10년이 지난 지금도 한국의 비즈니스 연속성 계획의 성숙도는 선진국과 비교하면 갓 걸음마를 뗀 수준이다. 그나마 전사 차원의 BCP가 가동되고 있는 곳도 금융권 정도를 꼽을 수 있다. 일부 제조업, 유통업체는 IT를 중심으로 한 재해복구계획(DRP) 정도만 갖추고 있다.
 
그렇다면 우리 기업은 무엇을 준비해야 하는가? 기업의 목표는 이윤 추구다. 기업 내의 모든 조직 구성원의 운명은 기업의 운명과 함께 한다. 비즈니스 연속성 계획은 재해 대응이나 인재 관리 측면을 모두 아우르는 것이라야 한다. 전사 조직의 위험 인식 수준을 높이고, 이를 조직 문화에 이식시켜야 한다. 동시에 조직 개개인이 안전 및 기업의 지속성 추구에 대한 책임감을 확실히 갖도록 만들어야 한다. 불확실성 시대에 기업의 목적을 연속적으로 영위하기 위해 갖춰야 할 탄력성(Resiliency) 확보 전략을 살펴보자.
 

1.전사적 비즈니스 연속성 계획(Enterprise Business Continuity Planning) 프레임워크
전사적 비즈니스 연속성 계획 체계를 구성하는 주요 요소로는 비전과 전략, 조직/인력, 프로세스, 애플리케이션/데이터, 기술, 시설을 꼽을 수 있다. 이는 기업이 비즈니스를 수행하는 데 필요한 구성 요소와 크게 다르지 않다.
 

1)비전과 전략(Vision and Strategy)
예기치 못한 상황에 대한 기업의 비즈니스 연속성 범위, 목표를 비전과 전략으로 설정한다. 이러한 비전과 전략은 조직 문화를 결정하고 최고 경영진의 의지를 담아내야 한다. Top-down의 비전과 전략 없이 Bottom-up으로 수립한 비즈니스 연속성 계획은 재해 상황에서 성공을 보장할 수 없다.
 
2)조직/ 인력(People/ Organization)
비상 상황이 벌어졌을 때 비상조직 편성 및 조직별 역할 부여가 매우 중요하다. 현재의 조직을 기초로 재해 유형별로 유동적이고 탄력적인 조직을 구성하고 비상 조직 운영 효과를 극대화해야 한다. 유동적인 조직 구성에 따른 구성원의 직무 변경, 복구에 필요한 각종 장비 동원 능력도 고려해야 할 사항이다.
 
3)프로세스(Process)
조직의 핵심 비즈니스 프로세스들이 먼저 정리돼야 하고, 각 핵심 프로세스들에 대한 적절한 백업 프로세스 방법을 결정하는 것도 필요하다. 이 작업을 수행하기 위해 업무 영향 분석(BIA)이 필수적이다. 핵심 업무에 대한 비즈니스 프로세스의 변경은 반드시 매뉴얼로 만들어놔야 한다. 비상 상황에서 효과를 극대화할 수 있는 최소한의 업무 처리 인력에 대해서도 정의해야 한다.
 
4)애플리케이션/ 데이터(Application/ Data)
IT 시스템에 대한 복구 및 백업 전략은 중요 정보와 문서에 대한 정의에서 시작한다. 정상적인 업무 수행을 위한 애플리케이션, 정보, 데이터 및 문서 리스트를 정리하고, 이러한 정보 사용의 잠재적 중단에 따른 영향을 정의해야 한다. 정보와 데이터의 상호 연관관계, 정보와 데이터가 유지되고 처리되는 애플리케이션 시스템의 유효성도 고려해야 하며 현재의 백업 범위 및 대체 업무 수행 방법에 대한 적합성을 평가해야 한다.
 
5)기술(Technology)
정보시스템, 재해복구시스템, 재해복구센터의 현황 및 요구사항을 파악하고 갭(Gap) 분석을 통해 사업지원(Business Support), 정보기술 인프라(IT Infrastructure), 핵심 기록(Vital Record)/ 대체 장소 및 운영(Alternate Site 및 Operation) 사항들을 파악해야 한다. 현황 파악을 토대로 재해복구시스템 기본 전략, 구성 방안, 구성 방안별 장단점 비교를 하고 재해복구시스템 구축 방안, 재해복구센터 기준을 마련한다. 이때 재해복구 시스템이 전사 비즈니스 연속성 계획과 상호 밀접하게 통합 및 유지되도록 해야 한다.
 
6)시설(Facilities)
물리적 위치에 따라 노출된 위험이 다르므로 현재 비즈니스/ IT를 운영하는 물리적 위치 및 기반 설비에 대한 정의가 필요하다. 이는 복구 전략 수립을 위해 중요하다. 재해 시 비상운영센터를 운영하기 위한 후보지 및 집결지를 사전에 정의해 놓아야 한다. IT 센터도 시설을 구성하는 주요 항목이며 IT 센터의 경우 전기, 냉각, 네트워크 등의 인프라 요건을 사전 정의해 놓아야 한다.
 

전사적 비즈니스 연속성 계획의 구성요소는 <그림2>의 전사적 비즈니스 연속성 관리 프레임워크 내에서 관리 개선돼야 한다. 이는 ‘분석(Assess)-계획(Plan)-구축(Implement)-관리(Manage)’의 4단계를 말한다. 분석 단계에서는 현재 그리고 잠재적인 리스크를 분석하고 완화하기 위한 조직 역량을 평가한다. 이어 계획 단계에서는 완화하거나 강화해야 할 리스크 목표를 설정한다. 구축 단계에서는 운영 탄력성 확보를 위해 필요한 개념설계나 상세설계를 포함한 솔루션을 실행한다. 마지막 유지관리는 재해 발생 전, 발생 중, 발생 후의 모든 사항을 철저하게 준비하고 조직의 대응 역량을 향상시키도록 꾸준히 관리하는 것을 말한다. 대내외 커뮤니케이션, 조직 내 비상 상황에 대한 인식 고취, 교육 및 훈련 등이 여기에 포함된다.
 

2.리스크와 비용의 균형, 스마트 위기 관리
기업마다 정의할 수 있는 비즈니스 중단을 야기하는 위협 요인이 다르다.(그림 3) 어떤 기업은 지리적인 위치 때문에 자연재해 발생 가능성을 더 많이 고려해야 하는 반면 어떤 기업은 IT 의존도가 높아 전산센터 설비나 네트워크 다운에 따른 위협에 더 철저히 대비해야 한다. 위험분석(Risk Assessment)이란 이와 같이 기업이 처한 위협(Threat) 요소를 정의하고, 발생 가능성과 발생 시 기업의 예상 손실을 분석해 위험을 제거 또는 완화할 수 있는 방안을 도출하는 일련의 과정이다.
 

위협 요소를 정의하고 잠재적인 위험을 분석해낸다고 해도 기업 내외부에 존재하는 모든 위협 요소를 제거·차단하고 위험을 분산하는 것은 불가능한 일이다. 중요한 것은 발생 가능성을 예측하고 이로 인한 피해를 정량적·정성적으로 분석해 어떤 위험에 기업이 노출돼 있으며, 이 위험을 제거하는 데 얼마나 많은 비용이 드는지 계산하는 일이다. 이를 토대로 실용적이고도 효과적인, 즉 ‘똑똑한’ 탄력성 확보 전략을 수립할 수 있다. 기업이 직면한 리스크의 종류는 아주 다양하다.
 
전사 기업 리스크(Core Enterprise Risk)전사 레벨에서 사업의 운영과 관련된 리스크
 
재무 위험(Financial Risk)자금 조달, 현금 흐름에 관련된 의사 결정 및 보고 체계 속에서 기업의 재무적 변수와 관련된 리스크
 
운영 리스크(Operational Risk)사람, 장소, 프로세스, 장비 등과 관련된 의사결정 및 기업의 운영 역량 수행 과정에 따른 리스크
 
정보 및 IT 리스크(Information and IT Risk)시스템 통제, 정보의 흐름, 정보의 본질적 가치 및 권리를 보호하는 과정에서 발생한 절도, 사기 등으로 인한 리스크
 
규정 준수 리스크(Regulatory Compliance Risk)정부 또는 산업 규제를 준수하지 못할 때 따르는 리스크
 
경제 위험(Economic Risk) 외부 경제 상황 변동에 따른 리스크
 
소송 위험(Litigation Risk) 경영 의사결정, 기업 운영, 직원의 그릇된 행동, 제품 및 서비스 불량에 따른 법률적 다툼의 리스크
 
재앙적인 위험(Catastrophic Risk)내외부 요소에 의해 발생할 수 있는 통제 및 예측 불가능한 상황으로 인한 리스크
 
‘스마트한’ 탄력성 확보 전략은 이러한 리스크와 리스크를 완화하는 데 드는 비용의 균형 잡힌 운영 모델을 정량적으로 제공할 수 있어야 한다.(그림4) 이는 특정 수준의 위험을 제거·완화하는 데 드는 비용, 예상되는 위험에 따른 잠재적 피해에 대한 이해가 필요하다. 잠재적 피해를 없애거나 완화하기 위한 솔루션 및 아키텍처를 선정하고 이에 들어가는 비용을 계산해 최소의 비용으로 최적의 탄력성을 확보해야 한다.
 

3.교육과 훈련, 유연한 탄력성의 원천
최근 일본 동북부 지진에서 일본인들이 보여준 재해 대처 능력과 침착함은 오랫동안 반복된 교육과 훈련이 있었기 때문에 가능한 일이었다. 하지만 많은 기업들은 위험 분석(Risk Assessment), 업무 영향 분석(Business Impact Analysis), 대체 사이트(Alternate Site) 구축, 위기 대응 계획서, 업무 복구 계획서 등의 철저한 전사적인 비즈니스 연속성 계획을 갖추고도 모의 훈련은 등한시한다. 완벽한 비즈니스 연속성 계획을 갖췄더라도 실제 재해 상황에서 어떻게 대응하느냐에 따라 업무의 연속성, 조직 구성원의 안전, 대고객 서비스의 결과가 달라진다. 이는 기업의 존폐가 달린 문제다. 실제 상황에서의 피해를 최소화할 수 있도록 담보할 수 있는 방법은 평상시 다양한 상황에 대비하는 모의 훈련(연습)이다. 교육의 목표는 조직 및 조직 구성이 재해 상황에서 자신에게 부여된 역할 및 행동 강령을 정확하게 이해하도록 하는 데 있다. 훈련은 상황이 벌어졌을 때 민첩하고 침착하게 행동해 인명과 자산의 보호, 비즈니스 영향 최소화를 가능하게 하는 데 주안점을 둔다. 비즈니스 연속성이 높은 기업에서는 훈련 기획자가 훈련 도중 예상치 못한 상황을 일으켜 조직의 민첩성을 검증하고 순발력을 확인할 수 있다. 단, 훈련의 양이 충분치 않거나 성숙도가 낮은 기업에서는 이러한 방법이 훈련의 질을 떨어뜨리고 혼란을 초래할 수 있다는 점에 주의해야 한다. 모의 훈련을 설계할 때는 다음의 주안점을 체크해 볼 것을 권장한다.
 
- 훈련의 주기는 어떤가?
- 재해 상황별 별도의 훈련 시나리오가 있는가?
- 훈련의 참석 대상은 누구인가?
- 훈련은 누가 주도하는가?
- 훈련의 결과를 기록하는가?
- 훈련 시 부족한 점에 대한 개선책은 수립하는가? 다음 번 훈련에서 이를 어떻게 확인하는가? 훈련의 과정의 책임은 누가 가지고 있는가?
 
모든 조직원이 참가하는 전사적 훈련(Full Scale Exercise)은 1년에 1회 이상 하는 게 바람직하다. 이와 별도로 IT 재해 복구 훈련을 1년에 2회 정도 수행할 필요가 있다.
 
기술 혁신 시대의 IT연속성 확보
빠르게 발전하고 있는 IT 덕분에 우리는 언제 어디서나 ‘연결된’ 세상 속에 살고 있다. 원하는 정보를 원하는 때 얻을 수 있는 것이다. 스마트폰 열풍은 통신업이나 스마트폰 제조업과 같은 직접적인 이해관계가 있는 분야뿐 아니라 전 산업 영역에서 모바일 전략을 수립하게 하는 촉진제가 됐다. 또 소셜 네트워크, 모바일 광고, 결제 등과 같은 새로운 비즈니스 모델을 만들어냈다. 비즈니스의 관점에서 볼 때도 이 IT 인프라는 기업의 주요 자산을 지원하고 보호하며 비즈니스 성장에 핵심적인 역할을 한다.
 
우리의 삶과 비즈니스에 깊숙이 자리잡은 IT는 양날의 칼과 같다. IT에 대한 의존도가 높아질수록 대비해야 하는 리스크도 커진다. IT 위험 관리는 기술 부서만의 업무가 아니라 전사 차원에서 살펴야 하는 문제가 됐다.
 
2010년 IBM이 수행한 글로벌 IT Risk Study1 에 따르면 최근 기업 내에 도입되고 있는 신기술 중 소셜 네트워킹 도구, 모바일 플랫폼, 클라우드 컴퓨팅은 IT 위험관리 측면에서 상당히 취약한 것으로 나타났다. 이는 소셜 네트워킹 및 모바일 플랫폼 사용 등을 통해 접근 권한이 없는 비인가 사용자가 기업의 정보, 조직 구성원의 개인정보에 접근하는 정보보안의 문제가 있는 데다 이러한 신기술 인프라 등이 기존 기업이 보유하고 있던 재해복구 전략 수립의 범주 속에 들어와 있지 않기 때문이다.(그림 5)
 
따라서 신기술 아키텍처 및 전략의 도입, 새로운 애플리케이션 개발, 기존 시스템 통합을 고려할 때는 매출에 기여하는 측면만 봐서는 안 된다. 이에 못지 않게 IT 위험에 대한 고려가 필요하고, 신기술 도입 투자 안에 노출된 위험을 완화하기 위한 비용도 반드시 고려해야 한다.
 
금융감독원은 현재 은행을 중심으로 입·출금 등 핵심 업무에 대해 재해 선언 후 3시간 이내에 업무를 복구해야 한다는 가이드라인을 제시했다. 최근에는 인터넷뱅킹, 모바일뱅킹 등의 새로운 비즈니스 채널들이 금융서비스의 핵심으로 속속 편입되고 있기 때문에 이들에 대해 어떤 복구 전략을 수립하고 있는지 돌아봐야 한다. 지난해 한국은행 발표에 따르면 인터넷뱅킹의 하루 평균 이용건수는 3370만 건, 금액으로는 29조6886억 원으로 전년 대비 27.0%, 16.6% 각각 증가했다. 인터넷뱅킹 이용자는 2006년의 약 2배 가까이로 증가했다. 또한 스마트폰의 보급 등에 따라 지난해 모바일뱅킹 등록고객 수는 1575만 명으로 늘었다. 이는 전년 말(1117만 명)보다 41%(458만 명) 증가한 것이다. 이에 따라 모바일 뱅킹 이용건수 및 금액도 각각 65.4%, 53.5% 증가했다. 인터넷뱅킹과 모바일뱅킹 서비스를 제공하는 데 핵심 기능을 제공하는 IT의 역할과 재해복구 능력에 따라 고객을 빼앗길 수도 있고, 기업 브랜드를 하루 아침에 망가뜨릴 수도 있다.
 
신기술, 새로운 비즈니스 모델에 따른 업무 중요도에 따라 적절한 재해복구 전략을 수립할 때 CIO(Chief Information Officer)나 IT 관리자의 역할이 상당히 중요하다. 과거처럼 현업의 요구에 따라 사후 조치하는 시대는 지났다. 발생 가능한 위험을 미리 예측하고 IT 재해복구 솔루션의 필요성에 대한 공감대를 이끌어내야 한다.
 
CIO가 효과적인 위험 관리를 하기 위해서는 기업의 IT 위험 성숙도를 점검하고 평가하는 것이 중요하다. 객관적인 평가를 통해 기업의 IT 위험 성숙도를 판단하고 데이터, 보안, 재해 복구, 신기술 등 전 영역별 재해복구 전략을 수립해야 한다. IT 위험을 올바르게 인식하고 규정을 준수하는 전사적 문화를 조성하기 위해서는 모든 직원의 행동 변화가 필요하다. 이를 위해서는 체계적이고 정기적인 교육 및 훈련을 수행해야 한다. 많은 기업들에서 CIO가 CRO(Chief Risk Officer) 역할을 수행하는 것도 이러한 변화가 반영된 결과다.
 




4.사례로 통해 본 위기관리 4단계: 2P2R
비즈니스 연속성 계획에서 말하는 4단계 위기관리 방법은 예방(Prevention) - 준비(Preparedness) - 대응(Response) - 복구(Recovery), 즉 2P2R로 나눌 수 있다. 이는 재해 발생 시점에 따라 전과 후로 나눠 별도 관리가 필요하다는 뜻이다. 사전에 정의된 위협 종류에 따라 영향을 최소화하기 위해 발생요인을 사전에 제거, 억제, 완화하기 위한 조치 단계가 1) 예방(Prevention) 단계다. 아무리 예방조치를 철저히 했더라도 예기치 않는 사건은 항상 발생하게 마련이다. 이러한 상황을 위해 대비해 놓는 조치들이 2) 준비(Preparedness) 단계에서 해야 할 일이다. 재해가 발생했을 때는 기업의 주요한 자산과 인력을 보호하고 재해로 인한 비즈니스의 영향을 최소화하기 위해 빠른 재해 선언, 인력 대피, 대외 커뮤니케이션 등 신속하고 적극적인 3) 대응(Response)이 필요하다. 이어 재해가 일단락되고 재발 방지를 위한 후속조치를 취하는 등 모든 상황을 원래 대로 복구하는 4) 복구(Recovery) 단계에 들어간다. 재해의 종류에 따란 이 4단계의 조치들은 달라질 수 있다. 종류별 4단계를 구분하고 적절한 조치를 계획하는 게 중요하다.(그림6)
 

<표2>는 최근 국내에서 발생한 A 금융기관의 재해 복구 사례를 4단계의 위기 관리 단계에 따라 살펴본 것이다.
 

이 사례는 예방 조치가 잘 돼 있었더라면 일어나지 않을 재해였다는 점, 재해 상황을 대비해 복구 매뉴얼, 재해복구 센터의 용량을 충분히 마련하는 준비가 부족했다는 점, 복구센터의 복구 솔루션이 RTO(복구목표시간)를 보장하지 못했기 때문에 복구까지 예상치 못한 시간이 걸렸다는 점이 아쉬움으로 남았다. 특히 모든 상황을 정상화하기까지 대응과 복구 작업에 가장 많은 시간이 걸렸다. 재해복구 매뉴얼의 유지관리와 모의 훈련이 얼마나 중요한지는 아무리 강조해도 지나치지 않다는 것을 여실히 보여준다.
 
어느 국내 제조유통업 CEO는 2008년 숭례문 방화사건이 일어나자 CIO에게 전산실에 예기치 못한 화재가 발생했을 때 회사의 대응전략이 무엇인지를 물었다고 한다. 그리고 이에 대비한 재해복구 시스템 구축을 지시했다고 한다. 하지만 일각에서는 ‘일어나지도 않을 일에 돈을 쏟아 붓는 게 옳은 일인가’라는 문제를 제기한다. 그럴 수도 있다. ‘일어나지 않을 일’이라는 가정을 100% 확신할 수 있다면 말이다. 만일의 사태가 벌어진다면, 최악의 경우 기업을 폐업이라는 극단까지 몰고 갈 수 있다는 점에도 유념해야 한다. 소 잃고 외양간 고치는 게 아니라 외양간이 있던 흔적조차 사라질 수도 있으니 말이다. 게다가 글로벌 시대에는 국지적인 재해/재난의 영향이 그 나라나 지역사회에만 그치는 게 아니다. 일본의 대지진과 지진 해일로 일본은 물론 우리나라 203개 중소기업이 수출/수입 차질을 빚었고 미국의 자동차회사가 감산을 결정하기도 했다.
 
최근 일본에 직원을 파견한 많은 글로벌 기업들이 자국민의 안전을 위해 일본을 떠나 대체 업무 장소로 한국을 택하고 있다. 신속한 전사적 사업 연속성 계획이 실제로 가동된 것이다.
 
김주희 한국IBM GTS 전략마케팅팀 실장 joohkim@kr.ibm.com
필자는 이화여대 전자계산학과와 서울대 경영대학원 Global MBA를 졸업했다. IT 전략 컨설팅을 주로 담당했으며, 국내 대형은행을 대상으로 BCP 컨설팅 프로젝트를 수행했다. 현재 한국IBM GTS(Global Technology Services) 전략마케팅팀 실장을 맡고 있다. 저서로 <BCP(Business Continuity Planning) 구축전략(공저)>이 있다.
 
 
참고 문헌                                                                      
Measuring Resilience Program Maturity, Business Resilience and Continuity Services
2010 IBM Global IT Risk Study
Resiliency consulting services - Manage risks, regulations and opportunities more effectively for a more flexible business, IBM
Smarter Security & Resilience - An intelligent approach to risk management reveals opportunities for innovation, IBM
BCP 구축전략 - 비즈니스 상시 운영체제 구축을 위한 실무 가이드라인(재해, 재난 등 총체적 위기시 기업의 대응방안) 김정일, 김주희, 유종기, FKI미디어
동아비즈니스리뷰 345호 Fake Data for AI 2022년 05월 Issue 2 목차보기