2001년 9월 11일 동부 시간 오전 8시48분에 나는 고객한테 가고 있었다. 보통 그 시간이면 나는 그 거리 건너편 나의 사무실을 향해 세계 무역 센터(World Trade Cent: WTC)를 통과해서 걸어가는 중일 것이다. 오늘, 나는 건강하고, 바쁘고, 생활을 열심히 하고 있다; 그러나 많은 사람들은 그렇지 않다. 이 글을 쓰고 있는 현재, 뉴욕의 딜로이트 앤 투체(Deloitte & Touche) 사무실은 다른 회사들이 지불한 가격에 비해 매주 적은 (임대) 가격을 붙인 체 몇 달째 문이 닫혀있다. 어떤 사람들은 우리 회사는 단지 한 명만을 잃어버렸다고 말할 수 있다는 것이 얼마나 아이러니한가. 단지 한사람, 정말 그래요! 모든 죽음은 항상 우리를 위축시킨다; 수치는 어떠한 위안도 되지 않는다.

어떤 사람들은 뉴욕을 휩쓴 비극을 잊으려 일에 몰두한다. 나는 비즈니스 연속성 계획에 관한 실무 때문에, 재해에 대한 생각을 떨칠 수가 없다. 그렇기 때문에 위안을 찾기 위해서, 그 비극적 사건에서 좋은 것을 찾아보려고, 동료들, 고객들 그리고 친구들과 9.11 사건과 그 영향을 학습하며 노력 중이다.

아마도 가장 분명하면서 우선적인 교훈은 복구 계획수립에는 돈, 인재 그리고 시간이 소비된다는 점이다. 그럼에도 그토록 심하게 피해를 입은 많은 회사들은 사업을 계속하고 있다. 이러한 모습은 특히 금융 서비스 업계에서 두드러지는데, 아마 위험에 대한 보다 탁월한 인식, 규제적 검사, (이것들이) 아니라면 단순히 피해를 입은 회사 가운데 눈에 띄게 많은 회사들이 금융 서비스를 영위하고 있었기 때문이지 모른다. 이런 정도의 크기와 영향에 대해서는 복구 계획에서 충분히 다루지 못한 수많은 영역들이 있고, 그리고 그런 영역들에는 그다지 역점을 두지 않았을 것이다. 그렇지만 단순히 비즈니스 연속성 계획이 각자가 모든 것을 준비하지 않았더라도, 계획수립의 중요함을 무력화하지 못한다. 간단하게 되어 있어도, 그것은 작용한다.

그러나, 계획수립 만으로는 충분할 만큼 제대로 작동하지 않으며, 이제는 상황이 바뀌었다.

일반적인 자동화 그리고 특별히e-비즈니스는 그러한 이해관계가 높아졌다. 일단 비즈니스를 회복하기까지 몇 일 또는 몇 주를 견딜 수 있었던 많은 기업들은 고통의 시간이 짧다. 기업은 복구를 위해 계획할 능력이 부족하다; 기업들은 지금 9.11 공격만큼 커다란 재해에도 업무 운영이 중단되지 않는 상태에서 자신들의 업무를 수행하라는 압력을 받고 있다. 이러한 최종 목표를 달성하기 위해서, 많은 교훈들이 서서히 고통스럽게 학습되고 있다.

사람

회사가 컴퓨터들에 의해 운영되지 않는다; 그것들은 사람에 의해서 움직인다. WTC 안에 들어있던 많은 회사들은 여러 소재지와 효과적인 복구 계획들을 가지고 있었다. 직원 몇 명만을 잃은 커다란 회사들이 많았다. 기계적 의미로는 그들은 자신들의 비즈니스를 계속하기 위한 능력을 갖고 있었으나, 재난으로 (업무가) 중지되었다. 그 파괴가 토네이도 혹은 허리케인 같은 신의 행위에 의한 것이었더라도, 자연의 분노에 의한 경우로써 사람의 감정은 가라앉았겠지만 결과는 마찬가지 이었을 것이다. 일부 복구 계획은 마치 사람을 컴퓨터나 책상 같은 장비의 일부처럼, 그리고 예상 가능한 수준으로만 작성되었다.

사람은 물건이 아니라서, 재난이 일어나기 전과 똑같을 것으로 예상해서 쓴 계획을 감정으로 인해 실행에 옮기지 못할 것이다.

리더십 소통 전략이 초기 대응은 물론 그 후에도 강력한 도전을 받았다. 9.11 공격은 대부분의 사람들이 직장에 거의 도착할 무렵에 시작되었다. 많은 사례를 보면 핵심 의사결정권자들이 사무실에 없었고 거의 도착할 수도 없었다. 그래서 재해 복구 노력을 평가하고 개시하기 위한 명령 계통과 결정이 중지되었다. 나중에도 중간 책임자끼리 그리고 중간 책임자와 사원들 간의 소통 능력은 통신 장애나 과부하로 심각하게 영향을 받았다.

분명한 명령 계통과 대체 소통 수단이 확립되고 테스트될 필요가 있다.

지리

지리적 집중을 재고할 필요가 있다. 작은 회사들은 거의 한 곳에 있을 수밖에 없다. 큰 회사들은 굳이 단일 빌딩 혹은 캠퍼스 안에 있을 필요가 있는가? 그렇지 않으면, 얼마나 멀리 떨어져 있으면 충분한 것인가? 전력 네트워크와 전화 유효거리를 고려하는 것은 지역 전체가 영향을 받을 때는 거의 의미가 없다. 슬프게도, 자연적인 사건 이외에도 무언가가 그처럼 많은 손해를 입힐 수 있다는 것을 걱정하는 근거들이 있다. 회사는 그들이 어디에 사는지, 강이 어디에 있는지, 홍수가 일어날 장소 그리고 사람들이 빠져나올 수 있는 방법 등을 알아야 한다.

교통 시스템에 대한 효과를 예상하지 못했다. 어떤 조직이 멀리 떨어진 위치에 복구 장소를 가지고 있다면, 날아서 갈 수는 없다. 그것이 맨하튼 외곽 가까이 있더라도, 그들은 그 섬을 떠날 수 없을지도 모른다. 그리고 맨하튼 내에 가까이 있었더라고, 역시 경우에 따라서는 재난으로 이용할 수 없었다. 중요한 문제는 나를 포함해 많은 사람들이 집에 갈 수 없었다는 것이다. 지금, 사람들의 집 위치가 복구 계획에 하나의 요소로써 인식된다.

재해의 범위는 이전에 예상한 것보다 훨씬 더 광범위하다. 나의 사무실 빌딩은 파괴되지 않았으며, 이마 이 글이 출판되기 전까지 다시 열 수 있겠으나, 우리 회사는 이것을 사용할 수 없을 것이다. 이 지역 주변과 너머에 있는 다른 조직들은 파괴되거나 철수한 벤더 및 서비스 제공자들에 종속되어 있음을 알게 되었다. 그래서, 그들의 복구능력에 자기 고객들의 복구능력이 한가지 요소로 작용한다.

기술

핵심과 비핵심 시스템 사이의 구분이 예상보다 덜하다. 한가지는, 애플리케이션들의 늘어난 통합이 모든 시스템들을 중요하게 바꾸어놓았다. 더욱 놀랍게도, 거의 모든 시스템들이 정말 장시간 중지를 계획하지 않은 것으로 밝혀졌다; 그러므로, 과연 회사가 (시스템들이) 없어도 해나갈 수 있는가 하는 이슈가 짧은 시간 내에 표출되었다. 아마 답해야 할 질문은 이것이다: “어떤 시스템이 비핵심적이라고 여겨지면, 그것은 애당초 왜 존재하겠는가?”

지속적인 가용성 전략에 대한 투자는 성과가 있었다. 지금 원격지로 데이터의 실시간 복사를 할 수 있는 기술의 이용이 가능하다. 그것은 싸지도 않고 쉽지도 않지만, 무슨 일이 있더라도 시스템을 계속 가동시켜야 하는 약속을 지킨다.

계획

커다란 재해는 보다 작은 많은 재해들을 일으킨다. 파열된 가스 라인 때문에, 보다 원거리 빌딩은 일시적이지만 위험이 선언되었다. 도시 광 케이블이 절단되었다. 특정 프로젝트의 성공에 중요한 사람들이 실종되었다. 물리적 손해 속에서, 님다 바이러스가 급습했다. 이런 결과 가운데 어떠한 것도 비즈니스 연속성 계획 속에 반드시 고려할 수는 없지만, 복구를 어렵게 하는 여러 중첩되는 문제점들이 있음을 인식해야 한다.

복구 계획의 테스트와 유지관리는 필수적이다. 나는 개인적으로 회사에서 멀리 떨어져 사는 사람에게 비상사태를 선포할 수 있는 권한을 부여해서, 계획서가 작성될 당시에 회사 조직을 반영한 복구 조직까지 갖춘 몇 년 전에 쓰여진 어떤 계획서를 알고 있다. 말할 것도 없이, 이 계획서는 실행되지 않았다. 나는 역시 분기별로 복구 계획을 테스트하고 유지하는 회사를 알고 있는데, 복구에 책임을 가진 회사 중역은 죽었다. 그의 부하 직원은 복구가 성공적으로 진행되도록 하는 자신의 역할에 대해서 훈련을 아주 잘 받았다. 그 계획이 유지관리가 안되었다면, 계획은 실행되지 않았을 것이다; 계획이 테스트되지 않으면 사람들은 할 일을 알지 못한다.

앞서 믿기지 않는 상태에서 우리는 비즈니스 연속성 계획수립에서 벗어나 비즈니스 연속성 관리를 향한 사고의 전환을 보았다. 즉, 회사는 연속성 안목을 가지고 전체 비즈니스 프로세스 및 전략을 재고하는 중이다. 무너진 타워에서 멀리 떨어져있는 일부 제조업자들은 비용을 감안해서는 아주 효과적인 그들의 적기납입방식(just-in-time) 프로세스들이 파괴에 대한 취약성을 증대시킨다고 걱정한다. 어느 금융 기관은 신규 고층 빌딩을 입주 조차 하지 않고 싸게 매각했는데, 그들은 자기 사무실들의 너무 많은 집중을 우려한 때문이다. 어느 정부 기관은 2차만이 아니라 3차 고가용성 데이터 센터도 고려하고 있다.

복구 능력은 좋은 것이면서 불충분한 목표이다. 복구를 위한 계획은 기능 정지의 불가피성을 인정한다. 따라서 기능 정지 후에 사용하기 위한 자원 및 설비에 투자하는 것은 처음부터 중단되지 않도록 설계된 비즈니스 프로세스의 구현을 억제한다. 보다 커다란 주안점은 복구 필요성이 없어지도록 중단 효과를 완화시키는 쪽으로 맞출 필요가 있다. 연속성을 관리하는 것은 실패의 가능성을 제거한다는 것을 의미한다.

Steven J. Ross, CISA
is a director at Deloitte & Touche. He welcomes comments at stross@deloitte.com.

Copyright © 2002 Information Systems Audit and Control Association®. All rights reserved. Email webmaster@isaca.org with questions or comments about this web site. Disclaimer and Privacy Statements.