심평원 160억 클라우드 전환사업 재추진, DR시스템 신규구축 포함…ISO 22301 기반 사업연속성 확보 관건

핵심 요약

- 건강보험심사평가원이 160억원 규모 클라우드 전환사업을 3차 추진, 성격이 다른 8개 사업으로 구성 - 노후 인프라 교체와 함께 재해복구(DR) 시스템 신규 구축, WEB 기반 API 서비스로 전환 계획 - 메가존클라우드, 대신정보통신, NDS 등 주요 IT서비스 사업자들의 참여로 업계 관심 집중

주요 내용

건강보험심사평가원이 2026년 160억원 규모의 클라우드 전환사업을 재추진하면서 IT서비스 업계의 이목이 집중되고 있다. 21일 IT서비스 업계에 따르면, 이번 사업은 성격이 다른 8개의 세부 사업으로 구성되어 있으며, 메가존클라우드, 대신정보통신, NDS 등 주요 사업자들이 참여하고 있다.

특히 주목할 점은 심평원이 단순한 클라우드 전환을 넘어 재해복구(DR, Disaster Recovery) 시스템을 신규로 구축한다는 점이다. 이는 의료정보라는 민감정보를 다루는 공공기관으로서 사업연속성 확보에 대한 강력한 의지를 보여주는 것으로 해석된다. 노후화된 인프라를 교체하면서 동시에 재해 상황에서도 서비스를 지속할 수 있는 복원력(resilience)을 확보하려는 전략이다.

또한 WEB 기반 API 서비스로의 전환을 통해 시스템 점검 및 유지보수의 효율성을 높이고, 외부 시스템과의 연계성을 강화할 계획이다. 이는 클라우드 네이티브 아키텍처로의 전환을 의미하며, 향후 확장성과 유연성 확보에도 유리한 구조다.

전문가 시각

재해복구 및 ISO 22301 전문가 관점에서 볼 때, 심평원의 이번 DR 시스템 신규 구축은 매우 시의적절한 결정이다. 의료급여 심사정보는 국가 보건의료 시스템의 핵심 데이터로, 재해 발생 시 서비스 중단은 국민 건강권에 직접적 영향을 미친다. ISO 22301(사업연속성관리시스템) 관점에서 RTO(목표복구시간)와 RPO(목표복구시점)를 명확히 설정하고, 이를 충족할 수 있는 백업·복구 전략 수립이 필수적이다. 특히 클라우드 환경에서는 멀티 리전(Multi-Region) 구성, 자동 페일오버(Failover) 메커니즘, 정기적인 DR 훈련(안전한국훈련 수준)이 병행되어야 실효성을 확보할 수 있다.

또한 재해경감우수기업인증 심사 경험에 비추어볼 때, DR 시스템 구축 후 반드시 실제 재해 시나리오 기반의 복구 테스트를 주기적으로 수행해야 한다. 클라우드 전환 과정에서 데이터 주권, 개인정보보호(ISMS-P), 백업 데이터 암호화, 접근통제 등 보안 요구사항도 동시에 충족해야 하므로, 사업 초기 단계부터 보안·재난관리 전문가의 참여가 권장된다. 특히 8개 세부 사업 간 통합 DR 체계 구축과 상호운용성 확보가 성공의 핵심 요소가 될 것이다.

CPPG·ISMS-P 연계 포인트

재해복구(DR) 체계 수립: ISO 22301 및 ISMS-P 인증심사 시 재해복구계획(DRP)의 수립·시험·유지관리가 핵심 심사항목이다. RTO/RPO 설정, 백업 주기, 복구 절차 문서화, 연 1회 이상 DR 훈련 수행 여부를 확인하며, 클라우드 환경에서는 서비스 제공자(CSP)와의 책임 분담 명확화가 중요하다.

사업연속성관리(BCM)와 개인정보보호 통합: ISMS-P 인증기준 2.9(사업연속성 관리)와 ISO 22301은 상호 보완적 관계로, 재해 상황에서도 개인정보 보호조치(암호화, 접근통제, 백업 데이터 보안)가 지속되어야 한다. 클라우드 전환 시 데이터 소재지 관리, 백업 데이터의 안전한 폐기 절차 수립이 필수 요구사항이다.