업무 연속성 vs 재해 복구는 무엇이 다른가요?

업무 연속성(Business continuity)은 무언가 잘못되었을 때 회사가 고객에게 계속 서비스를 제공하는 방법에 대한 계획입니다. 예를 들어 전화 회선이 다운되는 경우, 핵심 앱이 더 이상 작동하지 않는 경우, 사무실에 정전이 나는 경우, 또는 직원이 파일에 접근할 수 없는 경우일 수 있습니다. 여기에는 사람, 프로세스, 커뮤니케이션, 기술이 모두 포함됩니다.

재해 복구(Disaster recovery)는 큰 장애(중단) 이후 기술이 복원되는 방법에 대한 계획입니다. 보통 시스템, 기기, 데이터, 인터넷, 그리고 중요 비즈니스 소프트웨어에 초점을 둡니다. 간단히 말해 업무 연속성은 비즈니스를 계속 돌리는 것이고, 재해 복구는 기술을 다시 되돌리는 것입니다.

이를 이렇게 생각하면 도움이 됩니다. 업무 연속성은 “어떻게 계속 일할 수 있지?”에 답합니다. 재해 복구는 “무너진 것을 어떻게 복구하지?”에 답합니다. 계획이 단순하더라도 대부분의 소규모 비즈니스에는 둘 다 필요합니다.

지원 옵션을 비교하고 있다면, 독립적인 관리형 IT 서비스 제공업체를 MSP(Managed Service Provider)라고도 하는데, 두 영역을 함께 평가하는 데 도움이 될 수 있습니다. 아직 기본을 배우는 중이라면 저희 answers 페이지가 시작하기에 좋은 곳입니다.

많은 사업주들은 백업만 하면 문제가 해결된다고 생각합니다. 백업은 중요하지만 재해 복구의 일부일 뿐 전부는 아닙니다. 백업은 잃어버린 파일을 복원하는 데 도움이 될 수는 있어도, 팀이 주문을 처리하는 방법, 고객 응대 방법, 결제 처리 방법, 또는 다른 장소에서 업무를 수행하는 방법을 자동으로 알려주지는 않습니다.

예를 들어 인터넷이 하루 동안 중단되면, 업무 연속성 계획에는 직원이 모바일 핫스팟으로 전환하는 방법, 고객에게 누가 공지하는지, 종이로 처리하거나 집에서 계속할 수 있는 업무가 무엇인지가 포함될 수 있습니다. 반면 재해 복구 계획에는 인터넷 제공업체에 어떻게 연락하는지, 사용 가능한 백업 연결 수단이 무엇인지, 서비스가 복구된 뒤 시스템을 어떻게 확인하는지가 포함될 수 있습니다.

예산을 짤 때도 이 구분은 중요합니다. 어떤 비즈니스는 매 시간의 중단이 매출 손실, 예약 누락, 규정 준수 문제로 이어지기 때문에 더 빠른 복구가 필요할 수 있습니다. 다른 곳은 더 긴 중단을 감내할 수도 있습니다. 좋은 계획은 체크리스트처럼 일반적이지 않고, 실제 비즈니스의 필요에 맞아야 합니다.

진실한 제공업체라면 “무중단”이나 “해킹이 불가능한 네트워크”를 약속하지 않습니다. 현실적인 목표는 중단을 줄이고, 합리적인 시간 내에 복구하며, 팀이 무엇을 해야 하는지 알고 있도록 하는 것입니다.

업무 연속성은 가장 중요한 운영부터 시작합니다. 문제가 생긴 상황에서도 오늘 계속되어야 하는 서비스는 무엇인가요? 몇 시간 또는 하루 정도 지연될 수 있는 것은 무엇인가요? 의료기관이라면 일정 관리와 환자 커뮤니케이션이 여기에 해당할 수 있습니다. 소매업이라면 결제 처리와 재고 접근이 될 수 있습니다. 법률 사무소라면 문서 접근과 고객 커뮤니케이션이 될 수 있습니다. 요구사항은 업종과 주(州)에 따라 달라집니다.

탄탄한 연속성 계획에는 대체 근무 방식, 전화 트리(연락 순서) 또는 연락처 목록, 임시 우회 방법, 벤더(업체) 연락처, 그리고 명확한 우선순위가 자주 포함됩니다. 기술 메모 안에 숨기지 말고, 쉬운 문장으로 작성되어야 합니다. 한 명만 그 계획을 이해한다면 그것은 “계획”이라기보다 위험합니다.

또 실질적인 질문도 포함됩니다. 사무실이 문을 닫으면 직원은 원격으로 근무할 수 있나요? 고객 전화를 계속 받을 수 있나요? 팀이 1~2일 동안 활용할 수 있는 수작업 업무가 무엇인지 알고 있나요? 중요한 문서는 특정 한 대 의존하지 않고, 필요한 사람들이 접근할 수 있는 곳에 보관되어 있나요?

좋은 업무 연속성 준비는 재해만을 위한 것이 아닙니다. 고장 난 노트북, 잠긴 사무실, 클라우드 앱 장애, 또는 인력 공백 같은 더 작은 중단에도 도움이 됩니다.

재해 복구는 더 기술적인 영역이지만 핵심 아이디어는 간단합니다. 심각한 사건 이후 시스템, 데이터, 그리고 접근 권한을 복원하기 위한 문서화된 절차입니다. 여기에는 서버 장애, 랜섬웨어, 실수로 인한 삭제, 폭풍, 화재, 또는 큰 하드웨어 문제 등이 포함될 수 있습니다.

좋은 재해 복구 계획에는 보통 백업, 복원 단계, 복구 우선순위, 그리고 복구 목표 시간이 포함됩니다. 3-2-1 백업(3-2-1 backup)이라는 용어를 들을 수도 있습니다. 이는 데이터 사본을 3개 보유하고, 서로 다른 2가지 유형의 저장장치에 나누어 두며, 그중 1개는 오프사이트(사내 외부)에 보관한다는 의미입니다. 흔히 쓰는 백업 방식이긴 하지만 보장(Guarantee)은 아닙니다.

제공업체와 이야기할 때 endpoint, patching, EDR, RMM, MFA, SLA 같은 용어도 자주 등장합니다. 엔드포인트(endpoint)는 노트북, 데스크톱, 전화기 같은 어떤 업무용 기기든 해당합니다. 패치(patching)는 소프트웨어 및 보안 업데이트를 설치하는 것을 말합니다. EDR은 엔드포인트 탐지 및 대응(endpoint detection and response)으로, 기기에서 의심스러운 활동을 감지하기 위해 사용하는 소프트웨어입니다. RMM은 원격 모니터링 및 관리(remote monitoring and management)로, 제공업체가 기기 상태를 모니터링하고 정기적인 유지보수를 수행하는 데 사용할 수 있는 소프트웨어입니다. MFA는 다중 인증(multi-factor authentication)으로, 로그인에 두 번째 단계를 추가해 보안을 강화합니다. SLA는 서비스 수준 계약(service level agreement)으로, 서비스 범위와 응답 목표를 설명하는 문서화된 합의입니다.

일부 비즈니스에서는 재해 복구에 클라우드 애플리케이션 복구, 인터넷 페일오버(internet failover), 대체 하드웨어 계획, 그리고 사용자를 올바른 순서로 다시 온라인에 복귀시키는 테스트된 프로세스도 포함될 수 있습니다. 적절한 구성은 직원 수, 사용 기기, 보안 요구사항, 그리고 해당 지역에 따라 달라집니다.

‘좋다’가 항상 비싸다는 뜻은 아닙니다. 많은 소규모 및 중견 비즈니스에서 ‘좋다’는 것은 기본 사항이 명확하고, 문서로 정리되어 있으며, 실제로 테스트되어 있다는 의미입니다. 어떤 시스템이 가장 중요한지 알고 있어야 합니다. 각 시스템이 없을 때 현실적으로 얼마나 버틸 수 있는지도 알아야 합니다. 누가 결정을 내리는지, 누가 벤더에 연락하는지, 그리고 중단 상황에서 직원이 어떻게 계속 업무를 수행하는지도 알고 있어야 합니다.

또한 ‘백업이 켜져 있기만 하고 잊혀진 상태가 아니다’라는 것도 중요합니다. 백업은 검토되어야 하고, 때때로 복원 테스트를 해봐야 합니다. 연락처 목록은 최신 상태여야 합니다. 중요한 벤더 계정 정보는 안전한 방식으로 사내에 문서화해 두어야 합니다. 직원은 계획이 어디에 있는지, 그리고 무엇을 먼저 해야 하는지를 알아야 합니다.

규제를 받는 분야에서 일하는 경우에는 업계 요구사항에 대해서도 물어봐야 할 수 있습니다. HIPAA는 미국의 건강보험 양도 및 책임에 관한 법률(Health Insurance Portability and Accountability Act)로, 보호 대상 건강정보에 영향을 줍니다. PCI는 보통 결제카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard)을 의미하며, 카드 결제를 처리하는 비즈니스에 적용됩니다. SOC 2는 많은 소프트웨어 벤더가 보안 관련 통제(controls)를 어떻게 관리하는지 보여주기 위해 사용하는 보고 프레임워크입니다. 여러분에게 중요한 규칙은 업종, 고객, 그리고 때로는 주(州)에 따라 달라집니다.

일부 비즈니스는 계획과 예산 수립에 대한 전략적 가이드를 원하기도 합니다. vCIO라는 용어를 들을 수 있는데, 이는 가상 CIO(virtual Chief Information Officer)를 뜻합니다. 보통 IT 계획, 우선순위, 로드맵을 세우는 데 도움을 주는 외부 자문가를 의미합니다. 모든 비즈니스가 그 수준의 서비스를 필요로 하지는 않지만, 비즈니스 리스크를 현실적인 의사결정으로 연결하도록 도와주는 사람이 있으면 많은 도움이 됩니다.

필요한 계획 수준이 어느 정도인지 이해하려는 중이라면 NodeBridge IT이 방향을 잡는 데 도움을 드릴 수 있습니다. 저희는 IT 회사, 관리 서비스 제공업체, 또는 보안 업체가 아닙니다. 저희는 여러분의 시스템을 관리, 모니터링, 보안 처리, 수리, 또는 접근하지 않습니다. 대신 일반 교육과 무료 매칭을 제공합니다.

저희는 미국의 소규모 및 중견 비즈니스가 본인들의 규모, 필요, 예산에 맞는 독립적인 제공업체를 찾도록 돕습니다. 기초 백업 검토가 필요한지, 더 폭넓은 연속성 계획이 필요한지, 또는 MSP의 지속적인 지원이 필요한지 잘 모르겠다면 특히 유용할 수 있습니다.

저희 서비스는 비즈니스에 무료입니다. 저희는 참여하는 제공업체로부터 고정 마케팅 수수료를 받습니다. 지원 옵션에 대해 더 알아보려면 services를 방문해 주세요. 상황을 설명하고 독립적인 제공업체와 연결받고 싶다면 get matched에서 매칭을 진행할 수 있습니다.