Risk Management

만약 자연재해로 IT시스템이 다운된다면

122호 (2013년 2월 Issue 1)

 

 

본문

지난해 10월 미국 동부를 강타한 초대형 허리케인샌디는 강력한 바람과 해일을 동반한 복합재난으로 인해 피해가 커졌으며 맨해튼과 뉴저지주는 완전히 정상화될 때까지 몇 달이 걸리는 등 큰 어려움을 겪었다. ‘알지만 대비하기 어려운 사태(a known surprise)’였던 허리케인 샌디에 대해 태풍 피해 발생 사전에 재해복구체제를 가동해 데이터센터 대체시스템을 가동하는1  등 성공적으로 대응하는 기업들도 있었다. 하지만 다른 한편으로는 많은 기업들의 업무가 며칠에서 심각하게는 몇 주간 마비되는 등 수많은 사고와 피해가 따르기도 했다.

 

 

허리케인 상륙 당시, 맨해튼 지역 내 위치한 많은 기업들이 데이터센터 전력공급 중단에 대비해 UPS(무정전전원장치·Uninterruptable Power Supply) 및 비상발전기를 보유하고는 있었다. 하지만 속수무책이었다. 비상 장비들이 놓여져 있던 지하층이 침수되며 가동이 전면 중단됐기 때문이다. 또 지하층에 위치한 기계실과 케이블실(cable vault) 및 네트워크 케이블 침수로 건물 전체 네트워크가 중단돼 업무를 처리할 수 없게 된, 비즈니스 연속성 확보에 실패한 기업들이 속속 보고됐다. IBM은 고객들이 이런 피해를 겪을 수 있다고 예상하고 허리케인 도착 전부터 비상대책센터(EOC·Emergency Operation Center)를 가동하고 비상상황을 뜻하는적색단계를 발령했다. 허리케인 상륙 후에는 고객들로부터 재해복구 요청을 접수했고 이를 처리하기 위해 미국 동부에 소재하고 있는 3개의 데이터센터를 추가 가동했다. 또 미국 본사 전역으로부터 인력을 동원해 복구 및 대응 자원을 운영했다.

 

 

이처럼 치밀한 훈련과 준비만이 어떤 상황에도 유연하고 탄력적으로 대응할 수 있는 복원력을 갖게 해준다는 점이 이번 허리케인 샌디 사태에서 다시 증명됐다. 사전에 위기를 대비하고 준비하는 일을 행동으로 옮기는 실행 능력의 확보가 명암을 갈랐다. 한국 언론들은 허리케인 샌디의 위력과 피해에 대해 크게 다루지 않았고 이 사건에 대한 대중의 체감도가 낮았던 것이 사실이다. 그러나 미국을 포함해 전 세계 글로벌 시장에서 비즈니스를 하고 있는 주요 대기업들은 이번 사태를 통해 기업 전체 IT 시스템의 안정성과 전사적인 재해대응체계를 전면 재점검하는 계기로 삼자는 분위기가 형성됐다.

 

 

한국도 이런 재해에서 자유로울 수 없다. 유난히도 더웠던 지난 여름을 떠올려보자. 이상기후로 가장 큰 피해를 입은 산업은 역시 농수산업이겠지만 그에 못지않게 바빴던 산업이 바로 IT 분야였다. 여름 전력 수급 비상 및 전력 계통 장애로 각종 IT 재해가 발생해 업무가 중단됐는가 하면 모바일 메신저 서비스인 카카오톡도 동일한 문제로 4시간 동안 서비스가 중단되는 사태에 이르렀다. 서울지역의 집중호우는 수출입업무를 담당하는 IT기기에 이상을 일으켜 UPS 다운으로 이어졌고 갑작스런 정전은 군부대 시스템 및 전산망이 5시간 동안 마비되는 결과를 초래했다. 올겨울도 전력 부족 상황은 이어지고 있다. 강추위로 인해 난방전력수요가 올라가면서 언제든 대규모 정전사태가 발생할 수 있는 개연성이 커졌다. 전력부족 때문만은 아니었던 것으로 밝혀졌지만 실제로 얼마 전에는 강남역 일대 대형 오피스빌딩 4개에 동시 정전이 일어나 입주기업들이 피해를 입기도 했다.

 

 

 

 

기업의 IT 시스템을 위협하는 것은 자연재해뿐만이 아니다. 전 세계적으로 지난해 IT 산업은 다양한 위협으로 몸살을 앓았다. 지난 6월 이란의 국가석유시설에 대한 공격을 한 것으로 악명을 떨친 악성코드플레이머(Flamer)’는 이란 정부 외에도 수년간 다른 나라 정부 부처 및 산업계에도 공격을 감행했던 것으로 드러나 충격을 줬다. 또 다른 컴퓨터 바이러스인스턱스넷(Stuxnet)’은 이란 핵시설 내 원심분리기를 파괴했을 정도다.

 

첨단 기술이 필요한 반도체나 전자기기 제조업체가 아니더라도 기업 경영 및 비즈니스 활동에 있어 IT 시스템은 기업의 비즈니스를 유지, 성장, 발전시키는 가장 기본적이고도 핵심적인 요소다. 예를 들어 핸드폰으로 쏟아져 들어오는 화장품 판촉, 백화점 세일 안내 문자메시지 같은 것에도 수많은 IT 자원들이 동원되고 있다. 이와 같은 IT시스템의 중단은 기업의 비즈니스와 브랜드에 치명적인 타격을 입히는 중대한 문제다. 이제는 대부분의 기업들이 안정적인 IT 지원 없이는 비즈니스 수행 자체가 불가능하다.

 

급증하고 있는 자연재해나 해킹, 바이러스 공격 등 IT 시스템에 대한 위협은 우리가 전혀 예측할 수 없는 요소일까? 예측하기 어려운 건 사실이다. 하지만 일어날 개연성이 충분하다는 것은 누구나 알고 있다. 따라서 그에 대한 예방도 분명 가능하다.

 

 

 

 

 

 

IT 리스크, 기업 생존의 문제

최근 실시된 2012 IBM 글로벌 평판 리스크와 IT 리서치(IBM Global Reputational risk and IT Study) 결과에 따르면 글로벌 기업들은 조직규모에 상관없이 기업의 평판에 위협이 될 수 있는 IT 리스크 관리에 더욱 집중하고 있는 것으로 나타났으며, 특히 IT 리스크 관리를 IT 담당자에게만 맡기는 것이 아니라 최고위급 임원진이 직접 주도하면서 전사적 관점에서 통합적으로 접근하고 있는 추세임이 드러났다. 이들은 IT 자원의 중단이 고객 만족도, 컴플라이언스(compliance), 브랜드 평판에 가장 많은 영향을 끼친다고 응답했으며 이를 방지하기 위해서는 보안(84%), 비즈니스 연속성(77%), 기술 지원(68%)을 강화하는 것이 가장 중요하다고 말했다.

 

 

한 가지 주목할 만한 부분은 특히 보안에 대한 관심이 부각되고 있다는 것이다.2  리서치 응답자의 61%는 기업의 평판에 가장 큰 위협이 되는 IT 리스크로 데이터 유출과 도난을 꼽았으며 뒤를 이어 사이버 범죄(data breaches/data theft/cybercrime), 시스템 정지(system failures), 데이터 손실/백업 또는 복구 실패(data loss/failed backup or restore)순으로 많이 언급됐다.

 

 

IT 리스크를 효과적으로 관리하기 위해서는 단편적인 대응이 아닌, 종합적이고도 유기적인 리스크 대응체제를 마련하는 것이 중요하다. 더불어 재해 관련 리스크와 보안 관련 리스크에 대한 대응 전략을 분리해 설계하는 것이 복잡한 IT 리스크에 효과적으로 대응할 수 있다.

 

 

비즈니스 탄력성을 갖춰라

대규모 자연재해에 있어서는 과거에는 재해 발생 시 단순히 IT 시스템을 복구하는 것을 목표로 했지만 요즘은 비즈니스 업무 영역별 상대적 중요도를 고려한 비즈니스 연속성을 확보하는 방향으로 발전되는 추세다. 점차 융합된 정보 위험 관리와 재해에 대한 선제적 대응을 강조하는비즈니스 탄력성(business resilience)’으로 진화하고 있다.

 

 

우선, 기업의 위험 요인 분석과 업무 분석을 통해 비즈니스 중심의 재해 대응 전략 및 체계를 수립할 필요가 있다. 업무별 중요도나 업무별 상관 관계에 대한 고려 없이 IT 시스템 단위로 재해복구시스템을 구성해서는 안 된다. , 비즈니스를 위한 재해복구를 해야지 재해복구를 위한 재해복구가 돼서는 안 된다. 개별 업무가 중단됐을 경우 영향을 받을 수 있는 재무, 기업 이미지, 고객 만족 등 기업의 전략에 맞춰 업무를 분석하고 업무별 상관관계 분석을 통해 복구우선 순위를 도출해 비즈니스 중단 영향을 최소화할 수 있는 재해 대응 체계를 마련해야 한다.

 

 

둘째, 재해 대응 솔루션을 선택하고 적용하는 과정에서 업무 중요도에 따라 차별화된 솔루션을 적용해야 한다. 데이터 백업, 스토리지 복제 등 획일적인 솔루션을 적용하면 복구 목표치를 달성하지 못하거나 고비용을 지출할 수도 있다. 업무 중요도에 따라 복구 목표 시간을 설정하고, 이에 따른 재해복구 솔루션을 차별 적용해 비용 효율적인 재해 대응 체계를 갖춰야 한다.

 

 

마지막으로, 재해복구 시스템의 활용성을 고려한 평상시 활용 방안을 마련해야 한다. 재해복구용으로 쓰이는 시스템들은 일종의 보험 성격으로 재해복구 전용 자원을 구성하다 보니 용량을 낮게 산정해 다른 용도로의 활용성이 떨어지는 경우가 많다. 재해복구 용도 이외의 주 센터 업무 분산, 개발/테스트 자원으로 활용 등을 고려한 재해복구시스템 구축 및 운영 전략을 개발해 자원의 활용성을 높여야 한다.

 

 

획기적 방법 아닌 최선책 마련이

IT 리스크 관리 핵심

글로벌 통합 시대에 효과적인 IT 리스크 관리는 충분히 발생 가능한 치명적인 위협을 대비하기 위한 최선의 방법이다. 이를 위해 기업들이 준비해야 하는 전략은 사실 획기적일 필요는 없다. 그보다는 오히려 체계적이고 종합적인 판단에 따라 추진되는 것이 중요하다.

 

 

가장 먼저, 문제가 발생한 이후 방안을 마련하려 하지 말고 선제적 대응을 해야 한다. 자연재해에 따른 업무연속성 확보는 물론, 보안 위협 등 기업이 당면한 전체 IT 리스크에 대해 철저히 분석한 뒤 이를 종합적으로 대응할 수 있는 관리 전략을 수립하는 것이 중요하다.

 

둘째, IT 리스크를 통합적으로 관리할 조직을 신설/운영하는 것이 좋다. 전사 차원의 IT 리스크 관리 조직을 신설해 IT 관리자와 부문별 리스크 관리 전문가들의 협업체제를 구성하고 포괄적인 리스크 프로파일을 개발해 경영진/고위관리자와 공유할 것을 추천한다.

 

 

셋째, 시나리오의 사전 분석을 통해 리스크를 미리 대비해야 한다. 기술 적용, 특히 신기술 및 시장에서 주목받고 있는 기술을 적용할 경우 미리 발생 가능한 리스크에 대한 예방 계획을 시나리오 기반으로 준비하는 것은 필수다.

 

 

마지막으로 전체 공급망(Supply Chain)3  관점에서 IT 리스크 관리를 고려할 것을 권장한다. 예를 들어 외부 비즈니스 파트너의 리스크 관리 실패로 발생될 수 있는 이슈는 기업 내부 문제보다 더 파괴적일 수 있다. 따라서 전체 공급망에서 핵심 역할을 하는 모든 관련자들의 조화를 고려한 리스크 관리가 중요하다.

 

 

 

참고문헌

2012 IBM Global Reputational Risk and IT Study, IBM Global Technology Services with EIU (Economist Intelligence Unit)

www-935.ibm.com/services/us/gbs/bus/html/risk_study.html

Smarter Security and Resilience - An intelligent approach to risk management reveals opportunities for innovation

www.ibm.com/smarterplanet/kr/ko/business_resilience_management/overview/index.html

Resilient Enterprise Blueprint(REB), IBM

A comprehensive, best-practices approach to business resilience and risk mitigation, IBM Governance and Risk Management

[Corporate resilience] BCP 방법론 - 리스크와 비용의 균형이 스마트 탄력성 비결, DBR 78(2011.04.01)

[Strategy+] Developing Resilience - 반사적 위기대응 리질리언스, 기업을 살린다, DBR 79(2011.04.15)

[MIT Sloan Management Review] 예측 불가의 세상, 코코넛 위기에 대비하라 DBR 55(2010.04.15)

Why Enterprise Resilience Matters, Debbie van Opstal, Council on Competitiveness, 2010

 

 

 

김남규 한국IBM 글로벌 테크놀로지 서비스(GTS) 전무 nkkim@kr.ibm.com

김남규 전무는 홍익대 경영학과를 졸업했다. 1986년 공공기관 시스템 엔지니어로 IBM에 입사하여 아웃소싱 서비스 딜리버리 매니저, 통신/항공 산업본부 상무를 역임하며 다수의 프로젝트를 주도하였다. 2006 IBM 조인트벤처인 국제컴퓨터 대표이사직을 거쳐 현재 한국 IBM 글로벌 테크놀로지 서비스(GTS: Global Technology Services)에서 ITS(Integrated Technology Services) 총괄 전무로 재직 중이다.

 

동아비즈니스리뷰 345호 Fake Data for AI 2022년 05월 Issue 2 목차보기