속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
DR·재해복구AI 초안

2026년 공공 DR 구축 ISP 6~8차 사업, 중견·MSP 경쟁 본격화…110억 규모

한국지능정보사회진흥원이 110억 원 규모의 공공 재해복구시스템 구축 ISP 6~8차 사업을 공고하며 중견 IT서비스 기업과 클라우드 MSP까지 경쟁 구도에 합류할 전망

백남정 기자
입력 2026년 7월 1일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/37aa85

핵심 요약

- 한국지능정보사회진흥원(NIA)이 2026년 6월 30일 공공 재해복구시스템(DR) 구축 ISP 6~8차 사업(110억 원 규모)을 공고 - 기존 대형 SI 중심에서 중견 IT서비스 기업과 클라우드 관리서비스제공사(MSP)까지 경쟁 구도 확대 예상 - 공공부문 DR 체계 고도화와 클라우드 기반 재해복구 전환 수요가 사업 확대 배경

주요 내용

한국지능정보사회진흥원이 2026년 6월 30일 발주한 '2026년 공공 재해복구시스템(DR) 구축 ISP 사업' 6~8차는 총 110억 원 규모로, 공공기관의 재해복구 체계를 표준화하고 고도화하기 위한 정보전략계획 수립 프로젝트입니다. 이번 사업은 기존 1~5차에 이어 진행되는 연속 사업으로, 디지털 전환 시대에 맞춰 공공부문의 업무연속성 관리(BCM) 체계를 강화하는 데 초점을 맞추고 있습니다.

주목할 점은 이번 사업의 경쟁 구도가 기존 대형 SI 기업 중심에서 중견 IT서비스 기업과 클라우드 MSP까지 확대될 것으로 전망된다는 것입니다. 최근 공공부문에서 온프레미스 기반 DR 센터 구축에서 클라우드 기반 DRaaS(Disaster Recovery as a Service) 전환이 가속화되면서, 클라우드 관리 역량을 보유한 MSP들의 경쟁력이 부각되고 있습니다. 특히 AWS, Azure, NCP 등 멀티 클라우드 환경에서의 DR 전략 수립 경험이 중요한 평가 요소로 작용할 것으로 보입니다.

공공 DR 시장 확대는 「재난 및 안전관리 기본법」과 「전자정부법」에 따른 공공기관 재해복구체계 의무화 정책이 강화되면서 지속적으로 성장하고 있습니다. 특히 2024년부터 적용된 개정 전자정부법은 클라우드 우선 원칙을 명시하고 있어, ISP 단계부터 클라우드 기반 DR 아키텍처 설계가 필수적으로 요구됩니다. 이에 따라 기존 물리적 백업센터 구축 중심의 접근에서 RTO(목표복구시간) 단축과 비용 효율성을 동시에 달성할 수 있는 하이브리드 DR 전략이 핵심 과제로 부상하고 있습니다.

NIA는 이번 ISP 사업을 통해 공공기관별 재해복구 성숙도 평가, DR 우선순위 선정, 복구목표(RTO/RPO) 수립, 비용 분석 등을 체계적으로 수행할 계획입니다. 특히 ISO 22301(업무연속성관리시스템) 국제표준과 연계한 BCM 체계 구축이 주요 과제로 포함되어, 단순한 기술적 DR 시스템 구축을 넘어 조직 전체의 재난 대응 역량 강화를 목표로 하고 있습니다.

전문가 시각

재해경감 인증심사원이자 기업재난관리 전문가 관점에서 볼 때, 이번 공공 DR ISP 사업의 핵심은 기술적 시스템 구축이 아니라 조직의 업무연속성 관리(BCM) 성숙도를 얼마나 실질적으로 향상시킬 수 있느냐입니다. 실제 LH공사 재해경감우수기업 인증심사를 수행하면서 확인한 바에 따르면, 많은 공공기관이 DR 시스템은 구축했지만 정기적인 복구훈련 미실시, RTO/RPO 목표 미달, 업무영향분석(BIA) 부재 등으로 실제 재난 상황에서는 작동하지 않는 '보여주기식' DR에 머물러 있습니다. 따라서 이번 ISP는 ISO 22301 기반의 체계적인 BCM 프레임워크를 포함해야 하며, 특히 연간 2회 이상의 실전형 DR 훈련 계획과 훈련 결과 기반 개선 프로세스가 설계되어야 합니다.

중견 IT 기업과 MSP가 이번 사업에 참여할 때 유의해야 할 점은 단순한 클라우드 기술 역량만으로는 부족하다는 것입니다. 공공부문 DR ISP는 「개인정보보호법」, 「정보통신망법」, ISMS-P 인증 요구사항을 모두 충족해야 하며, 특히 개인정보를 포함한 중요 데이터의 백업·복구 시 암호화, 접근통제, 로그 관리 등 보안 요구사항이 매우 엄격합니다. 또한 재해경감우수기업 인증 기준에서 요구하는 '재난 발생 시 72시간 이내 핵심업무 복구' 목표를 달성하기 위해서는 자동화된 페일오버(Failover) 체계와 실시간 데이터 동기화 전략이 필수적입니다. 제안서 작성 시에는 ISO 22301, ISMS-P, 재해경감 인증 기준을 통합적으로 반영한 compliance 매트릭스를 제시하고, 유사 공공기관 DR 구축 및 실제 재난 상황 대응 레퍼런스를 구체적으로 제시하는 것이 경쟁력 확보의 핵심입니다.

CPPG·ISMS-P 연계 포인트

업무연속성 관리(BCM)와 재해복구(DR): ISMS-P 인증기준 2.10.1(업무연속성 계획 수립)은 조직이 중요 정보자산에 대한 업무영향분석(BIA)을 수행하고, RTO/RPO 목표를 설정하며, 재해복구 절차를 문서화할 것을 요구합니다. 공공 DR ISP는 이러한 요구사항을 체계적으로 이행하기 위한 전략 수립 단계로, 특히 개인정보 처리 시스템의 경우 개인정보보호법 제29조(안전조치의무)에 따라 백업 및 복구 체계 구축이 법적 의무입니다.

클라우드 환경 보안 통제(2.8): 클라우드 기반 DR 전환 시 ISMS-P 인증기준 2.8(정보시스템 도입 및 개발 보안) 조항이 중요하게 적용됩니다. 특히 2.8.5(클라우드 서비스 이용 시 보안)는 CSP 선정 시 보안성 검토, 데이터 암호화, 서비스 수준 협약(SLA) 체결, 감사 권한 확보 등을 요구하며, DRaaS 도입 시 클라우드 제공자의 재해복구 역량과 데이터 주권 문제를 사전에 검토해야 합니다.

#재해복구시스템#DR#ISO22301#클라우드MSP#공공ISP
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사