공공 AI 서비스 지속성 확보, DR·ISO 22301 기반 재해복구 체계 구축이 핵심
2025년 국가정보자원관리원 화재 이후 공공 AI 서비스의 재해복구 중요성이 부각되면서 정부가 2030년까지 통합 DR 체계 구축을 추진한다. ISO 22301 기반 사업연속성관리가 필수 과제로 떠올랐다.
https://privacynews.kr/s/ca4969핵심 요약
- 2025년 국가정보자원관리원 대전센터 화재로 공공 IT 인프라의 DR 취약성이 드러나면서 정부가 2030년까지 통합 재해복구 체계 구축 추진 - 공공 AI 서비스의 '중단 없는 서비스' 실현을 위해 ISO 22301 기반 사업연속성관리(BCM) 체계 도입 필요성 증대 - 재해경감우수기업 인증제도와 안전한국훈련을 통한 실질적 재해대응 역량 강화가 공공·민간 통합 과제로 부상주요 내용
2025년 발생한 국가정보자원관리원 대전센터 화재 사고는 공공 AI 서비스의 취약점을 여실히 드러낸 전환점이 되었다. 이 사고를 계기로 정부는 2030년까지 공공 AI 인프라의 재해복구(DR, Disaster Recovery) 체계를 전면 재편하는 계획을 수립했다. 특히 AI 서비스의 특성상 실시간 데이터 처리와 중단 없는 가용성이 필수적이라는 점에서, 기존의 단순 백업 체계를 넘어선 통합 DR 솔루션 구축이 시급한 과제로 떠올랐다.
공공 AI 서비스의 핵심 조건은 '중단 없는 서비스(Continuous Service)'다. 민원 처리, 긴급 대응, 의사결정 지원 등 공공 AI가 담당하는 업무 영역이 확대되면서 서비스 중단은 곧 국가 기능의 마비로 직결된다. 이에 따라 정부는 단순한 데이터 백업을 넘어 실시간 복제, 자동 페일오버(Failover), 지리적 분산 구조를 포함하는 종합적인 DR 아키텍처 설계에 착수했다.
ISO 22301(사업연속성관리시스템) 국제표준은 이러한 공공 DR 체계 구축의 핵심 프레임워크로 자리잡고 있다. ISO 22301은 조직이 중단 사태 발생 시 핵심 기능을 지속하고 신속하게 복구할 수 있도록 하는 체계적 관리시스템을 제공한다. 특히 위험 평가(Risk Assessment), 비즈니스 영향 분석(BIA), 복구 목표 시간(RTO)·복구 목표 시점(RPO) 설정, 정기적 훈련 등을 의무화하여 실질적인 재해 대응 역량을 확보하도록 한다.
재해경감우수기업 인증제도는 민간 영역에서 실효성 있는 재해 대비 체계를 구축한 기업을 인증하는 제도로, LH공사가 주관하여 시행하고 있다. 이 인증은 단순한 서류 심사를 넘어 실제 현장 점검을 통해 물리적 보안, 백업 인프라, 복구 절차, 훈련 이력 등을 종합 평가한다. 안전한국훈련과 연계하여 실전적 재해 대응 능력을 검증하는 것이 특징이다.
전문가 시각
필자가 재해경감 인증심사원으로서 LH공사의 재해경감우수기업 인증심사를 수행하며 확인한 바에 따르면, 공공·민간을 막론하고 재해복구 계획(DRP)의 가장 큰 문제는 '문서화된 계획'과 '실제 수행 가능성' 간의 괴리다. 많은 조직이 훌륭한 DR 계획서를 보유하고 있지만, 정기적 훈련 부재, 담당자 교체 시 인수인계 미흡, 복구 절차의 현행화 실패 등으로 인해 실제 재해 발생 시 계획대로 복구하지 못하는 사례가 빈번하다. ISO 22301의 핵심은 바로 이러한 격차를 해소하기 위한 '지속적 개선(Continual Improvement)' 체계에 있다.
공공 AI 서비스에 대한 DR 체계 구축 시 특히 유의해야 할 점은 AI 모델의 특수성이다. 단순히 데이터와 시스템만 복구하는 것이 아니라, 학습된 AI 모델의 버전 관리, 학습 데이터셋의 무결성 보장, 추론 서비스의 즉시 재개가 가능한 구조를 설계해야 한다. 기업재난관리학의 관점에서 보면, AI 서비스는 기존 IT 시스템보다 훨씬 복잡한 의존성 구조를 가지므로 BIA(Business Impact Analysis) 단계에서 AI 특화 요소를 반드시 고려해야 한다. 이는 단순한 IT 재해복구를 넘어 조직 전체의 사업연속성 차원에서 접근해야 하는 이유다.
CPPG·ISMS-P 연계 포인트
재해복구(DR) 및 사업연속성계획(BCP) ISMS-P 인증기준 2.9.1항은 재해·재난 대비 업무연속성 계획 수립을 요구한다. RTO(Recovery Time Objective, 목표 복구 시간)와 RPO(Recovery Point Objective, 목표 복구 시점)를 정의하고, 정기적 모의훈련을 통해 실효성을 검증해야 한다. ISO 22301과 ISMS-P는 사업연속성관리 측면에서 상호 보완적 관계에 있다.
백업 및 복구 관리 ISMS-P 인증기준 2.6.3항은 중요 정보자산에 대한 백업·복구 절차를 명시하도록 규정한다. 백업 주기, 백업 데이터의 안전한 보관(물리적·지리적 분산), 복구 테스트 이력 관리가 핵심이다. 공공 AI 서비스의 경우 개인정보를 포함한 학습 데이터의 백업 시 암호화 및 접근통제가 필수적이며, 이는 ISMS-P의 개인정보 보호조치와 직접 연계된다.
![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
