Security

[Security] DR이란?

준레논 2026. 7. 10. 15:41

"DR이 정확히 뭐냐"고 물었을 때 명확한 답을 하기 위해

이 글에서는 DR의 개념, 왜 필요한지, 그리고 실제로 DR 체계 유무가 어떤 차이를 만들었는지 실제 사례를 통해 정리해본다.


1. DR이란 무엇인가 — 추상적 개념과 물리적 구현

DR(Disaster Recovery, 재해복구)은 한마디로 "장애나 재해가 발생했을 때 서비스를 얼마나 빨리, 얼마나 손실 없이 복구할 것인가에 대한 전략"이다.

2012 - disastor

여기서 중요한 건 DR이라는 개념 자체와, 그것을 구현하는 물리적 수단을 구분하는 것이다.

  • DR (전략/개념) → 추상적 / 목표 수치로 표현됨
    • RTO (Recovery Time Objective): 장애 발생 후 몇 시간/몇 분 안에 복구할 것인가
    • RPO (Recovery Point Objective): 데이터를 어느 시점까지 되돌릴 수 있어야 하는가
  • DR 센터 / DR 사이트 (구현 수단) → 물리적 / 실제 존재하는 시설
    • 별도의 데이터센터 건물, 서버, 스토리지, 네트워크 회선
    • 클라우드 환경이라면 물리적 건물이 아니라 다른 리전(Region)에 분리된 인프라의 형태를 띱니다

즉, DR은 "정책이자 목표"이고, DR 센터는 그 목표를 달성하기 위한 "실행 도구"이다.

DR 센터는 통상 다음 세 가지 유형으로 구축된다.

유형 특징 RTO/RPO 비용
Cold Site 공간·전력만 준비, 장비는 사고 후 설치 느림(수일~) 낮음
Warm Site 장비는 상시 존재, 데이터는 주기적 동기화 중간(수시간) 중간
Hot Site 실시간 미러링, 즉시 전환 가능 거의 0에 근접 높음

2. DR 센터가 필요한 이유

(1) 단일 장애점(Single Point of Failure) 제거

주 데이터센터에 화재, 지진, 정전, 랜섬웨어 감염 등이 발생하면 원본 시스템 전체가 마비된다. 지리적으로 분리된 DR 센터가 있어야 전환(failover)이 가능하다.

(2) 랜섬웨어 대응의 핵심 방어선

랜섬웨어는 원본 시스템뿐 아니라 같은 네트워크에 연결된 백업까지 암호화하는 경우가 많다. 그래서 DR 센터는 네트워크적으로 격리되어 있어야(에어갭 또는 논리적 분리) 실질적 의미가 있다.

(3) 물리적 재해 대비

전사 IT를 통째로 셧다운해야 하는 상황에서도, 별도 사이트에 미러링된 시스템이 있으면 핵심 업무만이라도 빠르게 되살릴 수 있다.

(4) 법적·컴플라이언스 요구

금융권, 통신사 등은 관련 규정에서 재해복구센터 구축을 의무로 요구하는 경우가 많다.

(5) 비즈니스 연속성(BCP)의 실행 수단

DR은 더 큰 개념인 BCP(업무연속성계획)의 하위 요소로, "IT 시스템 복구"에 초점을 맞춘 부분입니다.


3. 실제 사례로 보는 DR의 유무 차이

사례 1: Yes24 — 오프사이트 백업 부재의 대가

2025년 6월, 국내 대형 온라인 서점 Yes24가 랜섬웨어에 감염되며 도서 판매, 전자책, 공연 예매 등 전 서비스가 약 5일간 중단됐고, 약 100억 원의 금전적 손실이 발생했다. 사고 이후 가장 크게 지적된 문제는 랜섬웨어 대응의 핵심으로 꼽히는 오프사이트 백업 체계가 사전에 구축되어 있지 않았다는 점이었다.

→ 이 사례는 DR 센터(혹은 최소한의 오프사이트 백업)가 없을 때, 사이버 공격 자체보다 복구 체계의 부재가 피해를 증폭시킬 수 있음을 명확히 보여준다.


사례 2: 재규어 랜드로버(JLR) — DR이 있어도 규모가 크면 한계

2025년 8월 영국 자동차 제조사 JLR은 사이버 공격을 받자 확산을 막기 위해 영국, 슬로바키아, 중국, 인도 전 공장의 IT 시스템을 통째로 셧다운했다. 그 결과 약 5주간 생산이 전면 중단됐고, 영국 경제 전체에 약 19억 파운드(약 2.5조 원)의 손실을 입혔다. JLR 자체적으로도 2분기 실적에서 1억9,600만 파운드의 직접 손실을 봤다.

→ 이 사례는 IT 시스템뿐 아니라 OT(운영기술)와 생산 라인까지 연계된 환경에서는 DR 전략이 단순히 데이터 복구를 넘어 "생산 설비를 어떻게 안전하게 재가동할 것인가"까지 포함해야 한다는 점을 보여준다. 실제로 JLR은 10월 초부터 단계적으로 생산을 재개했는데, 이 "단계적 복구 계획" 자체가 DR 전략의 실행 과정이었다.


사례 3: 롯데카드 — 인증만으로는 부족했던 탐지 체계

2025년 8월 발생한 롯데카드 정보유출 사고에서는 약 200GB에 달하는 데이터가 장기간 유출되는 동안 아무도 인지하지 못했다. 이는 내부 네트워크에 대한 가시성과 이상 행위 모니터링 체계, 즉 탐지(Detection)와 복구(Recovery)를 아우르는 체계가 취약했음을 보여준다. DR은 사고 발생 이후의 복구뿐 아니라, 사고를 얼마나 빨리 인지하느냐(→ RTO 산정의 출발점)와도 직결된다.


4. 정리

DR은 "혹시 모를 상황에 대비한 보험"처럼 여겨지기 쉽지만, 위 사례들은 DR 체계의 유무가 피해 규모의 자릿수 자체를 바꾼다는 것을 보여준다.

소 잃고 외양간 고치지말자.

결국 DR은 "재해가 없기를 바라는 것"이 아니라, "재해는 반드시 온다는 전제 하에, 복구 시간과 데이터 손실 범위를 미리 정해두고 그것을 물리적으로 구현해두는 것"이다.

조직의 규모나 예산에 따라 Cold Site부터 시작하더라도, RTO/RPO 목표를 명확히 정의하고 최소한의 오프사이트 백업 체계를 갖추는 것이 첫걸음이 될 수 있다.

'Security' 카테고리의 다른 글

WAF / IPS  (0) 2026.07.16
[Security] 패리티 / 카나리  (0) 2026.07.13
[Security] FTP와 SFTP  (0) 2025.05.05