백업 & 복구 계획 템플릿

백업 및 복구 계획(backup and recovery plan)은 비즈니스에서 중요한 것이 무엇인지, 그리고 실수로 삭제되거나 하드웨어에 장애가 생기거나 랜섬웨어를 겪거나 클라우드 계정에 문제가 생겼을 때 이를 어떻게 다시 되돌릴지에 대한 평이한(쉬운 말의) 기록입니다. 단순히 IT 문서가 아닙니다. 또한 운영 문서이기도 한데, 팀이 계속 일할 수 있게 해주는 파일, 시스템, 도구를 포함하기 때문입니다.

이 템플릿은 중요한 데이터를 정리하고, 그 데이터와 연결된 애플리케이션과 디바이스(기기)를 나열하며, 백업이 저장되는 위치, 실행 주기, 책임자, 그리고 복구가 어떻게 이뤄져야 하는지를 적을 수 있게 해줍니다. 또한 복구 목표를 기록할 수 있는 자리를 제공하는데, 이는 허용 가능한 데이터 손실 규모와 현실적으로 얼마나 오래 중단될 수 있는지를 의미합니다.

많은 사업자는 이 자료를 감사자, 사이버 보험 제공업체, 대출기관, 또는 벤더 검토 과정에서 더 큰 고객에게서 요구받습니다. 업종과 주(州)에 따라 요구사항이 달라집니다. 의료 또는 결제 데이터처럼 규제 대상 정보를 다룬다면, 제공업체가 HIPAA(Health Insurance Portability and Accountability Act, 건강보험 이동성 및 책임에 관한 법), PCI(Payment Card Industry Data Security Standard, 결제 카드 산업 데이터 보안 표준) 같은 규칙에 맞춰 계획을 정렬하는 데도 도움을 줄 수 있습니다.

간단하게 작성하세요. 가장 중요한 시스템부터 시작합니다. 많은 소규모 사업자에게는 이메일, 공유 파일, 회계, 업종별 핵심 소프트웨어(line-of-business software), 고객 기록, 그리고 사람들이 매일 사용하는 컴퓨터가 여기에 해당합니다. 첫날부터 모든 것을 완벽하게 문서화하려고 하지 마세요.

각 항목에 대해 다섯 가지 기본 사실을 채우세요. 그것이 무엇인지. 어디에 있는지. 어떻게 백업되는지. 백업이 얼마나 자주 실행되는지. 필요할 때 어떻게 복원할지. 답을 모르면 "unknown"이라고 쓰고 후속 확인 대상으로 표시하세요. 그래도 유용합니다.

사업체 이름과 시스템 이름만 사용하세요. 비밀번호, 다중 인증(Multi-factor authentication) 세부 내용, 관리자 사용자 이름, 네트워크 자격 증명, 계정 복구 코드 같은 민감 정보는 이 문서에 넣지 마세요. 다중 인증(MFA, multi-factor authentication)은 비밀번호 다음 단계로, 예를 들어 코드 또는 앱 승인 같은 절차를 의미합니다. 이 계획은 절차를 설명해야 하며, 비밀 정보를 저장하면 안 됩니다.

새 소프트웨어 플랫폼, 새 서버, 새 사무실, 또는 벤더를 처리하는 담당자가 바뀌는 등 무언가가 변경되면 문서를 업데이트하세요. 6개월 된 계획도 아무 계획이 없는 것보다는 낫지만, 압박이 생겼을 때(상황이 급해졌을 때) 훨씬 더 유용한 것은 최신 계획입니다.

아래 내용을 문서나 스프레드시트에 복사해서 채우세요.

사업체명:
주요 연락처:
백업 계획 담당자(Backup plan owner):
작성일:
마지막 업데이트:
업종:
해당되는 경우 특별 요구사항:

중요 시스템 및 데이터 목록:
시스템 또는 데이터 세트:
업무 목적:
어디에 있는지(클라우드 앱, 로컬 서버, 컴퓨터, 외장 드라이브, 또는 벤더 플랫폼):
회사 내 주요 소유자:
중요도(높음/중간/낮음):
접근 불가 시 이를 막는 요소:

각 시스템의 백업 세부 정보:
백업되는 대상:
백업 방법:
백업 위치:
백업 주기(시간별/일별/주별/기타):
백업 보관 기간(얼마나 오래 보관하는지):
백업 성공 여부를 모니터링하는 사람:
백업이 실패하면 알림을 받는 사람:
백업이 암호화되어 있나요:
오프사이트(offsite)에 사본을 보관하나요:

각 시스템의 복구 세부 정보:
복구 우선순위(첫째, 둘째, 셋째 등):
허용 가능한 최대 데이터 손실:
허용 가능한 최대 중단 시간(다운타임):
복구에 필요한 것(디바이스, 소프트웨어 라이선스, 벤더 연락처, 인터넷, 교체 하드웨어 등):
누가 복구를 승인하나요:
누가 복구를 수행하나요:
중단 시간 동안 사용자는 어떻게 작업하나요:
복구 후 데이터가 완전한지 어떻게 확인하나요:

테스트 및 검토:
마지막 복구 테스트는 언제였나요:
무엇을 테스트했나요:
작동했나요:
발견된 문제:
완료된 수정 사항:
다음 검토 예정일:

벤더 및 연락처:
클라우드 앱 벤더:
인터넷 제공업체:
독립적인 관리형 IT 제공업체(해당 시):
근무 외(After-hours) 연락 방법:
사이버 보험 제공업체 및 청구 연락처:

사건(인시던트) 및 결정:
복구가 필요한 대표적인 이유(우발적 삭제, 악성코드, 디바이스 장애, 계정 잠금, 벤더 장애 등):
단일 파일, 전체 시스템, 또는 대체 사본 중 무엇을 복구할지 누가 결정하나요:
직원은 문제를 어떻게 보고하나요:
서비스에 영향이 있는 경우 고객에게는 어떻게 알리나요:

가장 탄탄한 계획은 구체적입니다. "우리는 서버를 백업한다"라고만 말하지 말고, 어떤 서버인지, 어떤 폴더나 애플리케이션이 중요한지, 백업이 얼마나 자주 실행되는지, 그리고 별도의 사본이 어디에 있는지 명확히 하세요. 클라우드 소프트웨어를 사용한다면, 해당 벤더가 백업을 포함하는지 또는 별도의 백업 제품을 쓰는지도 적어두는 것이 도움이 됩니다. 많은 사업자는 클라우드 소프트웨어를 쓰면 완전한 백업이 된다고 가정합니다. 하지만 항상 그런 것은 아닙니다.

또한 실제 상황에서의 복구 순서를 적어두는 것도 도움이 됩니다. 예를 들어 이메일과 회계가 보관된 디자인 파일보다 더 중요할 수 있습니다. 급여는 회의실 컴퓨터보다 더 중요할 수 있죠. 복구는 기술만의 문제가 아니라 비즈니스 우선순위에 관한 것입니다.

탄탄한 계획은 종종 3-2-1 백업(3 copies, 2 types of storage, 1 offsite copy) 아이디어를 따릅니다. 즉, 중요한 데이터 사본을 3개 만들고, 서로 다른 2종류의 저장 매체에 보관하며, 그중 1개 사본은 오프사이트에 둡니다. 이는 흔한 가이드라인이지 마법 같은 규칙이 아니며, 올바른 구성은 시스템, 예산, 위험 허용 범위에 따라 달라집니다.

만약 MSP(관리형 서비스 제공업체, managed services provider)와 함께 일한다면, 초안을 검토해 달라고 요청하고 공백(누락)을 짚어달라고 하세요. 아직 MSP가 없다면 NodeBridge IT가 이 대화에 필요한 "독립적인 관리형 IT 제공업체를 찾는 것"을 도와드릴 수 있습니다.

템플릿을 모두 채운 뒤, 정전 또는 장애(업무 중단) 상황에서 비즈니스 리더들이 접근할 수 있는 형태로 보관하되, 민감한 계정 접근이 노출되지 않도록 하세요. 인쇄된 사본도 가능하고, 제한된 형태의 내부 문서도 가능합니다. 핵심은 일반적인 시스템이 작동하지 않을 수 있을 때 계획을 사용할 수 있도록 하는 것입니다.

그 다음 실용적인 질문을 해보세요. 어떤 중요한 시스템이 전혀 백업되지 않고 있지는 않은가요. 백업이 비즈니스의 속도에 맞게 충분히 자주 실행되고 있나요. 누군가 실제로 복구를 테스트해 보았나요. 알림이 실제 사람에게 전달되나요. 답이 불명확하다면 외부 도움을 받기 좋은 이유가 됩니다.

이 문서는 보험 신청서와 보안 설문에도 유용합니다. 일부 사업자는 엔드포인트 보호에 대해서도 질문받습니다. 엔드포인트(endpoint)는 노트북, 데스크톱, 서버 같은 작업용 디바이스를 의미합니다. 또한 패치(patching), 즉 소프트웨어와 운영체제 업데이트를 적용하는 것에 대해서도 물을 수 있습니다. EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응)은 디바이스에서 의심스러운 활동을 포착하는 데 도움을 주는 도구입니다. 백업 계획은 이런 통제를 대체하지는 않지만, 이들과 함께 잘 맞물리도록 설계되어야 합니다.

두 번째 시각이 필요하다면, 저희 가이드에서 더 읽어보거나 일반 서비스의 기본을 알아보세요. 옵션을 비교하는 데 도움이 필요하다면, 저희가 독립적인 관리형 IT 제공업체와 연결해 드릴 수 있습니다.

문서로 된 계획은 중요하지만, 복구가 보장되지는 않습니다. 백업은 실패할 수 있고, 저장 공간이 가득 찰 수 있으며, 보관 설정이 잘못되어 있을 수도 있고, 복구 단계가 예상보다 오래 걸릴 수도 있습니다. 어떤 진실된 제공업체도 무중단(다운타임 0)이나 해킹이 불가능한 네트워크를 약속할 수는 없습니다.

그래서 복구 테스트가 중요합니다. "성공"을 보여주는 백업 작업은 전체 그림의 일부일 뿐입니다. 진짜 질문은 비즈니스가 적절한 순서로, 팀이 감당할 수 있는 시간 내에 올바른 데이터를 복구할 수 있는지입니다.

비용도 폭이 큽니다. 일부 사업자는 클라우드 앱이 몇 개 있고 파일 요구가 단순해서 비용을 거의 쓰지 않습니다. 다른 사업자는 서버, Microsoft 365 또는 Google Workspace 데이터, 회계 시스템, 그리고 더 긴 보관 기간을 위한 백업이 필요합니다. 대략적인 범위로는, 소규모 사업자용 백업 도구와 관리가 아주 기본적인 구성에서는 월 수십 달러부터 시작해, 더 넓은 커버리지를 원할 경우 월 수백 달러 이상까지도 이어질 수 있습니다. 이는 견적이 아닙니다. 실제 금액은 인원 수, 디바이스, 보안 필요, 보관 요구사항, 그리고 지역에 따라 달라집니다.