[기고] DR 구축, ‘사이버 복원력’이 목표여야

조영철 파이오링크 대표 2025년은 우리 사회가 정보기술(IT) 강국이라는 말이 무색할 만큼 사이버 침해 사고와 정보 시스템 마비를 잇달아 겪은 해였다. 통신사와 금융기관, 공공기관 등 핵심 인프라에서 유례없는 해킹 피해가 발생했다. 9월에는 국가정보자원관리원 대전 본원 전산실 화재로 약 700개 시스템이 멈춰섰다. 아직도 완전한 복구가 이뤄지지 못한 이 사고는 디지털 의존도가 높은 현대사회에서 ‘재해복구’(DR·Disaster Recovery)의 중요성을 다시 일깨웠다. 정부가 뒤늦게 DR 대책을 세우기 위한 태스크포스(TF)를 구성한 것도 같은 맥락이다. DR은 더 이상 단순한 기술적 과제가 아니다. 자연재해나 화재, 해킹, 랜섬웨어 등 원인은 달라도 시스템의 중단과 복원이라는 결과는 같다. DR의 목표는 단순한 복구가 아니라 ‘서비스 연속성’(continuity)의 보장에 둬야 한다. 이를 한 단계 확장하면 어떤 위기 상황에서도 기능을 유지하는 ‘사이버 복원력’(cyber resilience)의 영역으로 이어진다. 사이버 복원력은 사고가 나면 복구하는 수준을 넘어, 사고가 나도 멈추지 않거나 빠르게 회복하는 것을 목표로 한다. 장애나 사고는 언제든 발생할 수 있기에 이제는 장애율 감소보다는 ‘서비스 중단 시간 최소화’와 ‘복구시간 단축’을 핵심 지표로 삼아야 한다. 정부의 DR 정책 개선 또한 이러한 인식 전환을 기반으로 해야 한다. 기술적 측면에서 첫째, DR은 단순한 ‘이중화’가 아니라 완전한 ‘이원화’ 체계로 구축돼야 한다. 실제로 국정자원 화재 사고에서도 동일 전력망이나 건물 내에 위치한 시스템이 한꺼번에 피해를 입으면서 이중화의 한계가 드러났다. DR은 서버나 스토리지 복제만으로는 불가능하다. 전력과 냉각, 네트워크, 보안, 데이터 계층이 물리적으로 분리되고 독립적으로 작동할 수 있도록 설계돼야 한다. 둘째, DR의 효과는 ‘클라우드 이전’ 자체에 달려 있지 않다. 최근 정부나 공공기관이 민간 클라우드로의 전환을 검토하고 있지만, 서비스의 중요도(C·S·O)와 보안 수준, 복구 목표 시간(RTO), 복구 지점(RPO) 등을 종합적으로 검토하는 것이 중요하다. 프라이빗 클라우드와 민관협력형(PPP) 클라우드, 하이브리드 등 서비스 특성에 맞는 다양한 DR 모델도 고려해야 한다. 셋째, 클라우드 환경에서는 ‘책임공유모델’에 대한 명확한 이해가 필요하다. 인프라 가용성은 클라우드 사업자의 책임이지만, 백업·암호화·접근통제 등 데이터 보안은 사용자 책임에 속한다. 국가 차원의 서비스라면 통합 관리기관과 정부, 민간 사업자 간의 역할과 책임이 더욱 명확히 정의돼야 한다. 이를 소홀히 하면 복구 체계의 공백이 발생할 수 있다. 정책적 측면에서도 ‘사이버 복원력’을 중심으로 설계와 보안·운영·복구·관리를 통합한 거버넌스 체계로 전환해야 한다. 네트워크와 보안과 서버 담당이 각자 역할에 머무는 기존의 분절된 운영 체계로는 실질적인 서비스 연속성을 확보할 수 없다. DR은 특정 부서의 일이 아니라 전사적 협업과 의사결정 체계의 문제로 봐야 한다. 해외 주요국들은 이미 이러한 관점에서 국가 차원의 복원력 정책을 강화했다. 미국은 국가안보부(DHS) 산하 사이버·인프라보안국(CISA) 중심으로 공공·민간의 복원력 수준을 점검하는 ‘사이버 복원력 리뷰’(CRR) 프로그램을 운영한다. 영국은 2023년부터 새 사이버 보안 체계인 ‘GovAssure’ 제도를 도입했다. 유럽연합(EU)도 ‘NIS2 지침’과 ‘사이버 복원력법’(Cyber Resilience Act)을 시행해 핵심 인프라 전반에 복원력 강화를 의무화했다. 데이터센터 이중화나 단순 클라우드 전환만으로는 충분하지 않다는 점을 명심해야 한다. 인공지능(AI) 데이터센터의 확산과 대규모 AI 서비스 인프라 구축은 DR의 범위를 한층 넓혔다. 단순한 복구 기술이 아니라 위기 속에서도 ‘멈추지 않는 서비스’를 실현하는 전략이 필요하다. 정부의 정책적 뒷받침과 산업계의 기술 혁신, 조직 내부의 협업 문화가 함께할때 우리는 위기에도 멈추지 않는 디지털 경쟁력을 확보할 수 있을 것이다.