재난(아주 큰 문제)이 닥칠 것이라고 미리 연락을 받는 경우는 드물다. 더 나아가, 어느 정도 '리드 타임(선행 기간)'이 주어져도, 여러 다양한 문제가 발생할 수 있다. 사고는 저마다 고유하고, 예상 못 한 방향으로 전개되기 때문이다.

Credit:GettyImages

여기에 비즈니스 연속성 계획이 역할을 한다. 조직이 성공적으로 재난을 극복하도록 만들기 위해, 비즈니스 연속성 계획 수행을 책임진 모든 사람의 손에게 검증됐으며, 최신 상황을 반영한 계획을 쥐여줘야 한다. 계획이 미흡하면 사고나 재해복구에 필요 이상의 시간이 걸리는 데 그치지 않는다. 영원히 사업을 못 하게 될 수도 있다.

비즈니스 연속성이란?
비즈니스 연속성(BC)이란 화재나 홍수, 사이버 범죄자의 악의적 공격 등으로 재난이 발생한 상황에서 비즈니스 기능을 유지하거나, 빨리 재개시키는 것을 의미한다. 비즈니스 연속성 계획은 이런 재난에 직면해 조직이 따라야 할 절차와 지시 사항 등을 규정하고 있다. 이는 비즈니스 프로세스, 자산, 인적 자원(HR), 비즈니스 파트너 등을 포괄한다.

재해복구(긴급 복구, DR) 계획과 비즈니스 연속성 계획이 같다고 생각하는 사람들이 많다. 그러나 다르다. DR 계획은 주로 위기 후의 IT인프라 및 복구에 초점을 맞춘다. 따라서 비즈니스 연속성 계획이 전사적인 연속성을 다룬다는 점에서, 이의 일부에 불과하다.

재난 직후, 제조, 영업, 지원 기능을 다시 가동해 기업이 계속 수익을 창출하도록 만들 방법이 있는가? 토네이도로 고객 서비스 부서가 있는 건물이 붕괴됐다고 가정하자. 이 경우, 고객 서비스 담당자들이 고객의 전화를 처리할 수 있는가? 이를 위해 일시적으로 집이나 다른 장소에서 일하게 될까? BC 계획은 이런 종류의 문제를 다룬다.

비즈니스 영향 분석(BIA, Business impact analysis)도 BC 계획의 일부이다. BIA는 비즈니스 기능이 갑자기 상실되었을 때의 영향을 통상 비용으로 정량화한다. 이런 분석은 BC 계획의 비핵심 활동을 아웃소싱 할지 평가하는 데 도움을 준다. 물론 여기에도 고유의 위험이 따른다. BIA는 전체 조직의 프로세스를 조사하고, 가장 중요한 부분을 결정할 수 있도록 도움을 준다.

비즈니스 연속성 계획이 중요한 이유
중소기업이나 대기업 모두 경쟁력을 유지하기 위해 노력한다. 현재 보유한 고객을 유지하면서, 고객 기반을 확대하는 것이 아주 중요하다. 그런데 '안 좋은 일'이 발생한 직후는 이런 역량을 테스트하기 가장 좋을 때다.

IT 복구는 대부분 기업에서 아주 중요하기 때문에, 이용할 수 있는 DR 솔루션이 아주 많다. 그리고 IT가 이런 솔루션을 이행할 것이다. 그러나 나머지 비즈니스 기능은 어떻게 해야 할까? 기업의 미래는 사람과 프로세스에 달려 있다. 어떤 사고이든 효과적으로 극복할 수 있는 역량을 갖춰야 한다. 이는 회사의 평판과 시장 가치에 긍정적인 영향을 가져온다. 또 고객 신뢰도를 높일 수 있다.

엑스페리안(Experian)의 글로벌 비즈니스 연속성 책임자인 로레인 오도넬은 "현재 소비자와 규제 당국의 '안전'에 대한 기대가 상승하는 추세다. 기업과 기관은 비즈니스 내부 프로세스, 이런 프로세스를 상실했을 때의 장기적인 영향을 이해해야 한다. 재무, 법무, 평판, 규제 측면에서 이런 상실이 발생할 수 있다. 규제 당국이 조직의 '사업 면허'를 폐지하거나, (사전 또는 나중에)조건을 부과할 경우 시장 가치와 소비자 신뢰도에 부정적인 영향이 초래될 수 있다. 이런 프로세스가 어느 정도 중단되는 것을 가정한 상태에서 복구(복원) 전략을 수립해야 한다"고 강조했다.

비즈니스 연속성 계획 '해부'
조직에 BC 계획이 없을 때, 가장 먼저 할 일은 비즈니스 프로세스를 평가하고, 취약한 프로세스를 찾고, 이런 프로세스들이 하루 또는 며칠, 몇 주 동안 중지될 경우의 잠재적인 피해를 규명해야 한다. 여기까지 BIA다.

다음에 할 일은 계획을 고도화하는 것이다. 통상 6단계로 구성돼 있다.

1. 계획의 범위를 정한다.
2. 핵심 비즈니스 영역을 정한다.
3. 핵심 기능(직능)을 정한다.
4. 다양한 비즈니스 영역과 기능 간 상호 관계를 정한다.
5. 핵심 기능별로 허용할 수 있는 '다운타임(중단 또는 중지)'을 결정한다.
6. 운영을 계속하기 위한 계획을 수립한다.

비즈니스 연속성 계획 수립에 가장 많이 사용되는 도구 중 하나는 체크리스트다. 여기에는 물품과 장비, 데이터 백업 위치 및 장소, 계획 적용 장소, 책임자, 비상사태 대응 인력과 핵심 인력의 연락처 정보, 백업 장소 공급자에 대한 내용이 포함되어 있다.

DR 계획은 비즈니스 연속성 계획의 일부라는 점을 명심해야 한다. 따라서 비즈니스 연속성 계획 수립 프로세스의 일환으로 DR 계획을 개발해야 한다. 이미 DR 계획을 했다 해도, 모든 요구 사항이 반영됐다고 생각해서는 안 된다. 오도넬은 "복구 시간을 규정하고, 이것이 기대와 일치하도록 만들어야 한다"고 강조했다.

계획을 수립하면서, 재난 상황을 성공적으로 극복한 경험이 있는 조직 내 핵심 인물들을 인터뷰하는 것이 좋다. 이 사람들은 통상 '워 스토리'와 재난 극복에 도움을 준 기법과 단계적 방법, 기발한 아이디어를 즐겨 공유한다. 이들의 통찰력은 우수한 계획 수립에 값진 역할을 한다.

비즈니스 연속성 계획 테스트의 중요성
계획이 효과가 있을지 알 수 있는 유일한 방법은 테스트밖에 없다. 오도넬은 "실제 사고가 진짜 테스트, 효과가 있는지 확인하는 가장 좋은 경로가 될 것이다. 하지만 통제 및 관리에 기반을 둔 테스트가 훨씬 더 편안하다. 또 부족한 부분을 파악해 개선할 기회를 제공한다"고 말했다.

오도넬은 "계획이 철저하고, 의도한 목적에 부합하는지 파악하기 위해, 엄격히 테스트해야 한다"고 강조했다. 그는 '끝장'을 내는 것을 시도해보라고 권고했다. 그는 "쉬운 시나리오를 적용하지 않아야 한다. 확실하면서, 도전적인 시나리오를 적용해야 한다. 그래야만 개선할 수 있다. 또 측정하고 확대할 수 있는 목표를 수립해야 한다. '최소한'만 추구하면 실제 사고 발생 시 믿을 수 없는 미흡한 계획이 수립된다"고 말했다.

매년 2~4차례 비즈니스 연속성 계획을 테스트하는 기업과 기관이 많다. 마지막 테스트 후 IT 변경 사항, 비즈니스 프로세스의 수, 핵심 인력의 이동 횟수, 조직의 형태와 업종에 따라 테스트 빈도가 달라질 것이다.

테스트에는 도상 훈련, 체계적인 리허설(Walk-through), 시뮬레이션이 많이 사용된다. 테스트 팀은 복구 프로세스 코디네이터, 각 기능(직능 부서)의 구성원들로 구성된다.

도상 훈련은 통상 회의실에서 실시된다. 팀원들이 계획을 숙고하고, 부족한 부분을 찾는다. 모든 비즈니스 부서가 이 자리에 참석해야 한다.

체계적인 리허설의 경우, 팀원 각자가 계획에서 자신이 맡은 부분을 '리허설'한다. 이를 통해 취약점을 찾는다. 특정 재난 상황을 염두에 두고 리허설을 하는 경우가 많다. 일부 조직은 이런 체계적인 리허설에 '훈련'과 '재난 상황에서의 역할'을 포함하고 있다. 취약점을 개선해야 한다. 그리고 새로 개정한 계획을 전원에게 배포해야 한다.

여기에 더해, 매년 한 차례 이상 긴급 탈출 훈련을 전면적으로 실시하는 것이 좋다. 이는 신체적으로 제약이 있는 직원들을 대피시키기 위한 수단이 필요한지 판단하는 데 도움을 준다.

마지막으로 재난 시뮬레이션 테스트는 많은 인원이 참여하며, 매년 한 차례 이상 수행해야 한다. 이 테스트의 경우, 실제 재난을 시뮬레이션한 환경을 조성해야 한다. 재난에 필요한 장비, 물품, 사람(비즈니스 파트너 및 벤더)도 필요하다. 시뮬레이션은 핵심 비즈니스 기능을 수행할 수 있는지 판단하는 것이다.

비즈니스 연속성 계획 테스트의 각 단계 동안, 테스트 팀에 신입 직원 일부를 포함해야 한다. '신선한 눈'으로 기존 팀원들이 간과했을 수 있는 부족한 부분과 정보를 찾을 수 있기 때문이다.

비즈니스 연속성 계획 검토 및 개선
BC 계획을 수립해 처음 테스트할 때 많은 노력을 쏟아붇는다. 그러나 이후 계획을 방치하는 조직, 더 중요한 과업에 주의를 기울이는 조직이 있다. 전자의 경우, 계획이 정체되어 정작 필요할 때 무용지물이 된다.

기술은 발전하고 있으며, 기존 직원은 퇴사하고, 신입 직원이 입사한다. 따라서 계획을 업데이트하는 것이 아주 중요하다. 매년 한 차례 이상 핵심 인력을 소집해 계획을 검토하고, 수정해야 할 부분이 있는지 논의해야 한다.

이런 검토에 앞서, 직원들로부터 피드백을 수렴해 계획에 반영한다. 지사 같이 멀리 떨어진 사업장을 포함, 모든 부서와 사업 부문에 계획 검토를 요청해야 한다. 불행히도 실제 재난에 직면해 계획을 실행해야 하는 경우, 터득한 교훈을 반영해야 한다. 도상 훈련이나 체계적인 리허설과 병행해 계획을 평가하는 조직들이 많다.

비즈니스 연속성 계획에 대한 인식 재고와 지원 획득 방법
중요성을 간과할 경우 계획이 성공을 거둘 수 없다. 모든 비즈니스 연속성 계획은 '하향식'으로 지원을 받아야 한다. 계획 수립 및 업데이트 때 고위 경영진이 참석해야 한다는 의미이다. 부하 직원에게 이를 위임해서는 안 된다. 또 고위 경영진이 검토와 테스트에 직접 시간을 투자하면서 이를 중시할 때, 계획을 최신 상태로 유효하게 유지할 수 있다.

또 경영진은 사용자의 인식을 높이는 데 아주 중요한 역할을 한다. 직원들이 계획을 알아야, 1분 1초가 중요한 상황에 적절히 대처할 수 있다. 비즈니스 부서 매니저나 HR 직원이 계획 배포 및 교육 훈련을 수행할 수 있지만, 고위직이 훈련을 시작하고, 이의 중요성을 강조해야 한다. 이는 직원들에게 큰 영향을 미친다. 계획을 더 믿을 수 있게, 긴급하게 만들 수 있다. ciokr@idg.co.kr

원문보기: 
http://www.ciokorea.com/tags/1294/BCP/34932?page=0,1#csidx1654617f119f3e88e8ed78e13da17a7