[정보보안기사] 41. BCP/DRP

1. BCP/DRP

1) BCP (Business Continuity Planning)

재난 발생 시 정상적으로 운영이 가능하도록 데이터 백업, 복구뿐만 아니라 고객 서비스 지속성 보장, 핵심 업무 기능을 지속하는 환경 조성을 목적으로 한다.

심각한 실패나 재해로 인해 사업활동이나 프로세스가 중단되는것에 대해 대응하기 위해 명확하고 상세히 기술된 계획이다.

BCP 개발을 위해서 기업이 운영하고 있는 시스템파악, 비즈니스 영향 평가(BIA)가 선행되어야 한다.

 

1.1) BIA (Bisiness Impact Analysis)

비즈니스 영향 분석

비즈니스 업무 중단에 미치는 영향에 대한 정성적, 정량적, 기능적 분석을 실시한다.

발생 가능한 모든 재해를 고려하고 잠재적인 손실을 추정, 재난을 분류하고 우선순위를 부여하고 실행 가능한 대안을 개발해야한다.

 

위험 분석

위험을 식별하고 위협의 영향을 계량/정량화하여 보안 예산 산정에 도움을 주는 과정이다.

 

상호 의존성 파악

비즈니스 프로세스에 의존하는 모든 조직의 요소를 식별하고 비상운영을 위한 대안을 제공하기 위해 부서별 계획이 통합되어야 한다.

 

2) DRP (Disaster Recovery Planning)

재난 발생 시 핵심 정보 시스템과 데이터가 중단되는 것에 대응한다.

대체 사이트에서의 목표시스템, 응용프로그램, 컴퓨터 설비의 운영 재개 등 IT 중심 계획을 목적으로 한다.

심각한 실패나 재해로 인해 사업활동이나 프로세스가 중단되는것에 대응하기 위해 명확하고 상세히 기술된 개발 계획

이다.

 

3) BCP/DRP 공통점

① 일부 예방통제가 있으나 교정 통제로 구분

② 위험 수용

③ 가용성 확보가 목적

④ 대상은 통제를 하고도 남아있는 잔여위험

⑤ 대외비로 관리

 

위험 감소, 업무절차 개선, 향상된 조직적 성숙, 가용성 및 신뢰성 확보, 시장 지위 향상의 이점이 존재한다.

 

4) BCP/DRP 접근 방법론

4단계 접근 방법론

프로젝트의 범위설정 및 기획 → 사업영향평가 → 사업연속성 개발계획 → 계획 승인 및 실행

 

5단계 접근 방법론

프로젝트의 범위설정 및 기획 → 사업영향평가 → 복구전략개발 → 복구계획수립 → 프로젝트의 수행 테스트 및 유지보수

 

6단계 접근 방법론

사업상 중대업무 규정 → 사업상 중대 업무를 지원하는 자원도 결정 → 발생가능 재낸에 대한 예상 → 재난 대책 수립 → 재난 대책 수행 → 대책 테스트 및 수정

 

2.복구 전략

BIA단계에서 식별된 위협에 대응하기 위해 효율적이고 비용효과적인 복구 매커니즘이다.

 

1)  2차 사이트 종류별 특징

미러 사이트

주 센터와 동일한 수준의 정보 기술 자원을 원격지에 구축하고, 주 원격 모두 Active 상태로 실시간 동시 서비스를 하는 방식이다.

 

장점: 데이터 최신성, 높은 안전성, 신속한 업무 재개, 복구까지의 소요 시간(RTO)가 0에 수렴

단점: 구축 유지 비용이 높음, 업데이트 빈도 낮아야 함 

 

핫 사이트

주 센터와 동일한 수준의 정보 기술 자원을 원격지에 구축하고, 주 Active 원격 Standby 상태로 두어 동기, 비동기 방식을 통해 최신 데이터를 유지하고 있다가 재해 발생시 원격을 Active 상태로 전환하여 복구하는 방식이다.

 

장점: 데이터 최신성, 높은 안전성, 데이터가 많은 경우에 적합

단점: 구축 유지 비용이 높음, 보안문제 발생

 

Prefabricated Buliding: 조립식 건물을 이용한 핫 사이트

 

웜 사이트

원격 센터에 주 센터와 동일한 수준의 정보기술자원을 보유하는 대신 중요성이 높은 정보기술자원만 부분적으로 보유하는 방식이다.

 

장점: 구축 유지비용 저렴

단점: 데이터 손실 발생, 초기 복구 수준이 부분적,  복구 시간이 김

 

콜드 사이트

데이터를 원격지에 보관하고 정보자원은 확보하지 않거나 최소한으로 확보하다가 재해 시 데이터를 근간으로 필요한 정보자원을 조달하여 복구하는 방식이다.

주 센터의 데이터는 일, 주 단위 주기로 원격지에 백업된다.

 

장점: 구축 유지비용 제일 저렴

단점: 데이터 손실 발생, 가장 긴 복구시간, 복구 신뢰성 낮음, 테스트 어려움

 

제3의 사이트

이용할 수 없는 백업 시설물의 위험성을 인식하고 제3의 백업 사이트를 구축한다.

 

상호 지원계약

유사한 장비나 환경을 가진 두개 이상의 기업 간의 계약에 의해 재난을 당했을 때 자사의 시설물을 사용하여 서비스를 제공할 수 있도록 상호 협정을 채결하는 것이다.

 

3) RAID

RAID 0: 스트라이핑

RAID 1: 미러링

RAID 2: 해밍코드, ECC

RAID 3: 패리티

RAID 4: 패리티(블록 방식으로 저장)

RAID 5: 패리티 를 각 디스크에 저장

RAID 0+1, RAID 1+0: 스트라이핑과 미러링을 접목한 기술