SaaS 제공업체 또는 애플리케이션이 백업의 부담을 덜어주리라 기대한다면 착각입니다. 안타깝게도, 그렇게 생각하는 이들이 많습니다. Microsoft Office 365, Salesforce 등과 같은 SaaS 서비스를 이용하면서 관련 데이터를 위한 SaaS 백업 및 재해 복구 기능을 갖추지 않은 기업이 많습니다.
SaaS 플랫폼에서는 소프트웨어 제공업체가 클라우드의 데이터를 보호해준다는 잘못된 보안 인식이 주된 원인입니다. 타사 SaaS 벤더가 해당 서비스와 함께 백업 및 복구까지 제공한다고 믿는 곳도 있지만, 사실은 그렇지 않습니다.
이 데이터 및 정보에 대한 책임은 항상 귀사에 있습니다. 따라서 귀사가 직접 제어하지 않는 SaaS 서비스를 선택했더라도, 관리 및 컴플라이언스의 관점에서 보호의 의무에서 벗어날 수 없습니다.
이 데이터를 보호할 책임에 대한 오해가 널리 확산된 까닭에 실제로 SaaS 백업을 하는 기업은 소수에 불과합니다. 귀사의 인식이나 바람과 상관없이, 클라우드 서비스 제공업체에서 귀사의 데이터를 자동으로 백업하지 않습니다. 간단히 말해 그들의 책임이 아니기 때문입니다. 대부분 사람은 제대로 읽기 어려운 깨알 같은 글씨로 약관에 명시되어 있습니다.
결국 고객은 실수에 의한, 또는 의도적인 삭제 사고로 인해 클라우드의 데이터를 잃게 됩니다. 이를 복원할 책임은 Microsoft 365, Salesforce, 또는 Slack에 있지 않습니다. SaaS 제공업체의 책임 범위는 자사 소프트웨어에 한하며, 그 소프트웨어에서 다루는 정보나 데이터를 포함하지 않습니다. 유일하게 보장하는 것은 애플리케이션 및 그 지원 인프라스트럭처의 가동 시간입니다. 그것으로 끝입니다.
따라서 각 기업과 기관은 SaaS 백업 및 재해 복구를 구현하여 클라우드의 데이터를 보호해야 합니다.
클라우드 컴퓨팅에서는 사용자가 인터넷을 통해 다양한 툴과 서비스를 이용할 수 있습니다. 클라우드 기술은 계속 증가하는 컴퓨팅 리소스 수요에 대응하여 즉각적으로 기능을 확장하는 것이 특징입니다. 그러면 길고 번거로운 개발 주기를 단축할 뿐만 아니라, 막대한 비용을 들여 각종 IT 인프라스트럭처 환경을 구축하는 부담에서도 벗어날 수 있습니다.
SaaS는 3가지 클라우드 컴퓨팅 서비스 모델 중 하나입니다.
IaaS(Infrastructure-as-a-Service): IaaS 기업은 사용량 기준 지불(pay-as-you-go) 방식의 컴퓨팅 가상화, 네트워킹, 스토리지 등의 서비스를 제공합니다. 고객의 온프레미스 인프라스트럭처를 대체할 클라우드 기반 옵션을 제공하면서 값비싼 온사이트 리소스를 도입해야 하는 부담을 덜어줍니다. AWS(Amazon Web Services), GCP(Google Cloud Platform), Digital Ocean 등이 대표적인 IaaS 제공업체입니다.
PaaS(Platform-as-a-Service): PaaS에서는 IaaS 이외에 빠른 애플리케이션 개발을 위한 핵심 기능을 갖춘 부가 프레임워크 및 툴을 제공합니다. Heroku, Twilio, OpenShift 등이 대표적인 PaaS 제공업체입니다.
SaaS(Software-as-a-Service): SaaS 플랫폼에서는 엔드 유저가 직접 소프트웨어를 사용할 수 있게 합니다. 인터넷을 통해 실행하는 애플리케이션을 제공하므로, 사용자의 시스템에 애플리케이션을 설치하고 실행할 필요 없습니다. 이러한 서비스 모델에서는 사용자가 "실물" 제품을 구매, 설치, 관리하지 않고도 경영 정보 시스템을 구축하는 것이 가능합니다. 개발자는 PaaS 및 IaaS 모델의 상위에 SaaS를 구현합니다. Microsoft 365, Salesforce, Dropbox, Box, Google Workspace(이전의 G Suite) 등이 대표적인 SaaS 플랫폼입니다.
클라우드 컴퓨팅의 SaaS에 관해 이해했으므로, 이제 SaaS 백업이 무엇인지 알아볼 차례입니다.
SaaS 백업 소프트웨어는 SaaS 제품에서 생성하는 데이터를 저장하고 보호하는 기술을 가리킵니다. SaaS 제품이란 타사 벤더가 라이센스를 부여하되 온프레미스 설치 방식이 아닌 클라우드를 통해 배포되는 모든 소프트웨어를 가리킵니다.
SaaS 백업 소프트웨어는 온프레미스에, 또는 주로 퍼블릭 클라우드에 있는 보조 위치에 데이터를 저장합니다. 따라서 SaaS 제품에 장애가 발생하더라도 고객 정보가 안전하게 저장됩니다. SaaS 제품에서 어떤 이유로든 장애가 발생할 경우, 고객은 SaaS 백업 솔루션에서 저장했던 데이터를 복구하는 방법으로 문제의 SaaS 제품을 정상 작동 상태로 복원합니다.
SaaS 백업 소프트웨어가 고객이 선택한 SaaS 제품과의 통합을 지원해야 SaaS 제품에서 생성하는 데이터를 저장할 수 있습니다. 결국 모든 백업 소프트웨어가 모든 SaaS 제품과의 호환성을 제공하지는 않습니다. 따라서 다수의 SaaS 백업 솔루션은 Google Workspace, Office 365 등과 같은 개별 제품군만 전문적으로 백업합니다.
거시적 관점을 제공하기 위해 다양한 SaaS 소프트웨어와의 통합을 지원하려는 SaaS 백업 서비스도 있으나, 특정 SaaS 제품군 백업에 특화된 업체에서 제공하는 기능을 갖추지 못했습니다.
많은 SaaS 백업 솔루션은 백업 대상 소프트웨어와 관련 있고 그 소프트웨어에만 한정되는 기능을 제공하곤 합니다. 예를 들어 이메일 시스템과의 통합을 지원하는 SaaS 백업 소프트웨어에는 이메일 전용 데이터 아카이빙 기능이 있습니다. 그렇다 하더라도, 대다수의 SaaS 백업 소프트웨어는 다음과 같은 기본 기능을 제공합니다.
SaaS 제품 통합
데이터 암호화
데이터 복원
온프레미스 또는 클라우드 기반 데이터 스토리지
데이터 감사 및 검색
현재 많은 SaaS 백업 벤더에서 SaaS 보호, 또는 클라우드-클라우드 백업을 제공합니다. 즉, 카피본을 생성하여 AWS와 같은 다른 퍼블릭 클라우드에 저장하는 방식으로 SaaS 애플리케이션, 즉 Salesforce, Dropbox, Office 365 등의 데이터를 보호합니다. 온프레미스 디스크 시스템에 카피본을 보관하는 벤더도 있습니다.
안타깝게도, SaaS 데이터가 미션 크리티컬 범주에 속하지 않으므로 백업이 불필요하다고 생각하는 고객이 많습니다. 서비스 제공업체가 백업 자동화 SaaS 서비스를 자사 서비스 패키지에 포함시켜 제공한다고 생각하기 때문입니다.
SaaS 제공업체는 사용자에게 가동 시간만 보장할 뿐, 실수로 삭제되거나 손상된 개별 파일 및 데이터를 복원하는 개별 단위 백업을 제공하지 않습니다.
SaaS 벤더가 장애, 데이터 손상, 공격으로부터 보호할 목적으로 시스템 차원의 데이터에 대해 백업본을 생성한다는 점에 유의해야 합니다. 그러면 일관성 있는 상태로 복구하고, 다시 고객 환경을 가동하는 것이 가능합니다. 그러나 이 SaaS 벤더는 SaaS 소프트웨어에 로그인한 누군가가 변경하거나 처리한 데이터가 유효한지 여부를 알 수 없습니다.
기존 백업 애플리케이션에 SaaS 보호를 통합하는 것도 가능하지만, 클라우드 네이티브 데이터 백업을 염두에 두고 설계된 제품이 있습니다.
비즈니스 애플리케이션을 클라우드로 마이그레이션하려는 기업은 클라우드 도입에 수반하는 과제를 제대로 이해할 필요가 있습니다. 따라서 클라우드로 이전할 계획을 세울 때 SaaS 백업 전략도 마련해야 합니다.
무엇보다도 먼저, 이전하는 이유를 고려해야 합니다. 그런 다음 클라우드 영향 분석을 수행하고, 소요 비용을 파악하여 예산을 확보하며, 컴플라이언스 및 보안 관련 핵심 요건을 이해하고, 이동 전/중/후 모든 단계에 종합적인 엔드유저 교육을 실시합니다.
성공적으로 이전한 다음에는 새로운 위치에서 데이터를 보호할 방법도 생각해야 합니다. Salesforce, Office 365, Google Workspace와 같은 SaaS 데이터 애플리케이션은 온프레미스에서 실행하고 저장했던 애플리케이션과 비슷하게 올바른 백업/복원 전략이 필요합니다.
SaaS 클라우드 환경으로 이전하기 전에는 온사이트에 데이터와 애플리케이션을 저장하고 관리했을 것입니다. 실수나 유출이 발생한 경우, IT 팀이 백업 드라이브를 실행하고 요청받은 날짜의 데이터를 가져와 직접 다시 로드했습니다.
그러나 클라우드로 마이그레이션한 후에는 온프레미스 시절처럼 직접 데이터를 다룰 수 없게 됩니다. 따라서 백업 및 복원 솔루션이 없으면 데이터를 영영 잃게 됩니다.
앞서 말한 대로, SaaS 서비스 제공업체는 자신의 실수를 바로잡고 해당 소프트웨어에 다운타임이 발생하지 않게 하는 데 집중합니다. 그러나 고객 측에서 실수하거나 악성 공격을 만나 고객의 비즈니스가 중단될 경우, 제공업체는 결코 책임지지 않습니다. 다음과 같은 경우에 기업의 클라우드 데이터를 잃게 될 수 있습니다.
사람의 실수로 인한 데이터 유출 사고가 전체의 50%가량 됩니다. 직원이 잘못된 연락처, 이메일, 중요 구성을 불가피하게 삭제합니다.
불법 삭제 요청. SaaS는 삭제 요청을 받으면 별다른 질문 없이 진행합니다. 악의적 의도에 의한 요청 또는 성급한 요청인지 여부를 확인할 방법이 없고, 결국 뜻하지 않은 결과에 대한 책임을 지지 않기 때문입니다.
현실적인 오류, 또는 동기화 오류는 비즈니스 프로세스를 간소화하도록 설계된 강력한 툴에서 원래의 목적 대신 중요 데이터를 느닷없이 손상시키고 실행 취소 옵션도 제공하지 않는 상황을 의미합니다.
해커는 사회 공학적 수법 또는 기타 기술적 수단을 구사하면서 새로운 데이터 액세스/도용 전술을 개발하곤 합니다.
악의적 의도를 가진 내부자란 어떤 이유로든 회사 데이터를 손상시키거나 액세스, 유출하거나 일부러 삭제하는 직원을 의미합니다.
랜섬웨어는 갈취의 목적으로 개발된 기업 대상 공격 형태를 가리킵니다.
악성 코드와 바이러스는 해커의 능동적인 공격 없이 프로그래밍 효율성을 발휘하여 시스템 내에 대혼란을 일으키는 가짜 소프트웨어입니다. 이런 소프트웨어는 대개 최대 절전 모드에서 나온 시스템의 기존 코드로부터 생성되므로, 차단하기가 쉽지 않습니다.
클라우드에서 데이터를 관리하고 보호하기 위해 만반의 준비를 하려면, 아래에서 소개하는 베스트 프랙티스를 숙지하고 따라야 합니다.
SaaS 서비스 제공업체의 보호 범위 파악, 확실하게 데이터를 보호하기 위한 솔루션 도입
항상 클라우드 제공업체는 자신이 저지른 오류나 실수로부터 고객 데이터를 보호합니다. 엄격한 이중화 레벨 및 탁월한 백업 시스템을 활용하면서 정전, 소프트웨어/하드웨어 오류, 자연 재해로부터 고객을 보호합니다. 결국 제공업체의 귀책으로 데이터를 잃게 되는 경우는 매우 드문 편입니다.
하지만 책임이 고객에게 있을 경우, 상황은 완전히 달라집니다. 악의적 의도 및 실수에 의한 데이터 유출 사고에 더 취약합니다. 즉, 데이터 보호 및 백업 시스템을 갖추지 않으면, 영구적인 데이터 유출 및 그로 인한 애로 사항을 겪기 쉽습니다.
철저한 조사를 거쳐 SaaS 백업 제공업체를 선정하십시오. 고객에게 꼭 필요하고 서비스 제공을 보장하는 옵션만 선택합니다. 클라우드 벤더와의 투명한 신뢰 관계를 발전시켜야 합니다. 가급적 클라우드-클라우드 백업 제공업체를 평가하기 위한 체크리스트를 마련합니다.
SaaS 데이터 유출 사고의 대다수는 사람의 실수에서 비롯됩니다. 따라서 교육, 명확하게 문서화된 프로세스, 정기적인 점검을 통해 실수 가능성을 최소화하는 구체적인 노력이 필요합니다.
그러나 교육, 지식 전수, 전반적인 대비만으로 모든 사고를 방지할 수는 없으므로, 적합한 백업 솔루션을 구현해야 합니다. 가급적 사용자가 스스로 데이터를 복원하고 최고의 생산성을 발휘하면서 더 전략적인 활동에 IT 리소스를 투입하게 해주는 솔루션을 선택하십시오.
클라우드로 이전하면, 무엇보다도 예전보다 훨씬 더 편리하게 24/7 데이터 액세스를 구현할 수 있습니다. 그러나 보안 리스크를 최소화하려면, 각기 다른 파일에 액세스할 사용자를 명확히 정의해야 합니다. 즉, 올바른 액세스 레벨의 사용자만 데이터 조회 및 수정이 가능합니다. SaaS 플랫폼 대부분은 한층 더 확실한 보호를 위해 여러 역할 및 권한을 편리하게 부여할 수 있습니다.
수동과 자동의 2가지 데이터 백업 옵션이 있습니다. 직접 내보내는 것은 그다지 효과적이지 않습니다. 시간이 꽤 걸리고, 잊어버리기 쉽습니다. 그와 달리 자동 백업은 수작업 없이 실행하므로, "한 번만 설정하면" 됩니다.
복원 프로세스를 테스트하면, 시스템에서 데이터 손상 또는 유출 사고로부터 복구하고 올바른 비상 계획을 마련하는 데 소요될 시간을 평가할 수 있습니다. 게다가 사람의 오류가 미칠 영향 및 결과를 팀에 알리는 데에도 효과적입니다.
세심한 주의와 관심으로 데이터 유출 위험을 최소화하고 재발 빈도도 줄이는 문화를 조성하고 발전시켜야 합니다. 이는 비즈니스 연속성에도 도움이 됩니다.
클라우드 백업은 기존 IT 영역에 머무르지 않습니다. 성공적인 SaaS 백업 솔루션 환경에서는 애플리케이션 소유자가 백업 및 복구 태스크를 수행하면서 백업 관리자 리소스 및 시간을 절약할 수 있습니다. 프로세스 전 범위의 유연성과 민첩성도 향상됩니다.
IT 팀과 비즈니스 애플리케이션 소유자 간의 협업을 거쳐 SaaS 백업에 대한 최종 책임이 누구에게 있는지를 결정합니다.
해당 업종에 적용 가능한 컴플라이언스 기준을 이해하고 따라야 합니다. 끊임없이 바뀌는 이 기준을 지킬 책임은 고객에게 있습니다. 클라우드 제공업체로 바꾸더라도, 그 책임을 벗어날 수 없습니다.
따라서 SaaS 백업 솔루션을 선택할 때는 제공업체의 서비스가 실제 업종의 요건을 충족하는지 확인해야 합니다. 데이터 관리 책임 이행을 위해 올바른 제어 기능을 실사에 포함시켜 실행합니다.
액티브 SaaS 백업 솔루션을 활용하는 기업은 비상 시 데이터 보호는 물론 일상에서도 다음과 같이 여러 이점을 누릴 수 있습니다.
컴플라이언스: 데이터 유출 사고가 발생하더라도 비즈니스 연속성을 유지하는 것이 현대 컴플라이언스 기준의 핵심 영역입니다.
편리한 온보딩/오프보딩: 현명한 기업과 기관은 SaaS 백업 및 복구를 활용하여 직원에 의해 중요 데이터가 유출되거나 유입되는 것을 방지합니다.
데이터 품질 점검: 기업은 정기적인 데이터 백업을 통해 데이터 관련 문제를 파악하고 해결 기회를 모색할 수 있습니다.
SaaS 벤더보다 더 빨리 데이터 복원: 데이터 복구에 벤더의 도움에 의지하는 기업은 최대 90일까지 기다려야 복구할 수 있습니다.
개별 단위 복원: 문제가 있는 데이터를 식별하여 그것만 복원할 수 있다면, 각종 혼란과 다운타임을 감수하면서 데이터 세트 전체를 이전 상태로 복원하지 않아도 됩니다.
무작정 뒤지는 것보다 효과적: 삭제된 항목을 분류하는 것은 매우 번거롭고, 소기의 성과를 거두지 못할 때도 많습니다. 대부분 벤더가 일정 기간(예: 30일)이 지나면 삭제 항목을 완전히 제거하기 때문입니다.
상용화된 다양한 SaaS 백업 옵션 중에서 선택하기가 쉽지 않습니다. 귀사의 구체적인 요구 사항에 부합하는 SaaS 백업 솔루션을 선택하려면 다음 6가지 기준을 고려하십시오.
귀사가 사용하는 중이거나 보호할 대상인 SaaS 플랫폼 및 애플리케이션과의 호환성을 지원하는 기능과 옵션을 갖춘 SaaS 백업 솔루션을 선택해야 합니다. 예를 들어 이메일 시스템과의 통합을 염두에 두고 개발된 백업 소프트웨어는 이메일용 데이터 아카이빙 기능을 포함해야 합니다.중요 비즈니스 데이터를 보호하기 위해 SaaS 백업 솔루션 도입을 고려하고 있다면, 반드시 안정적이고 포괄적인 백업 소프트웨어의 핵심 기능에 주목해야 합니다. 다음과 같이 여러 이점을 누릴 수 있습니다.
보호할 애플리케이션과의 원활한 통합
데이터 복원 및 내보내기 기능
온프레미스 또는 클라우드에 데이터를 저장하기 위한 다양한 옵션
데이터 암호화 메커니즘
맞춤형 백업 스케줄
통합적인 활동 모니터링 및 트래킹 기능
보존 구성
사용하기 편리하면서도 강력한 관리/제어 기능
둘 이상의 SaaS 소프트웨어를 사용하는 경우, 선택한 백업 벤더의 기능이 모든 솔루션과의 호환성을 지원해야 합니다. Google Workspace, Dropbox, Salesforce도 있는 환경에서 Microsoft office 365 전용 SaaS 백업 솔루션을 사용해서는 안 됩니다.
백업 솔루션은 SLA(서비스 수준 계약)에 따라 타당한 수준의 RTO(복구 시간 목표) 및 RPO(복구 시점 목표)를 달성해야 합니다. SaaS 제공업체가 RTO 및 RPO와 관련하여 제공할 이점을 기준으로 삼아 일관성 있게 SaaS 백업 제공업체를 평가합니다. RPO 타당성은 포인트 인 타임(Point-in-time) 복구를 통해, RTO 효율성을 빈번한 백업을 통해 실현합니다. 이 제공업체를 선택하면 직접 클릭 몇 번으로 백업에서 복구할 수 있는지 자문해보십시오.
이 역시 벤더의 관심이 집중되는 분야입니다. 백업이 완료되면, 물론 각 기업은 이번 사태가 일어나기 이전의 데이터로 복구하려 할 것입니다. 형식, 패턴, 조건이 같아야 합니다. 올바른 SaaS 백업 솔루션으로 해결할 수 있습니다.
어떤 벤더를 선택할지 고민할 때, SaaS 백업 서비스의 보안 및 컴플라이언스가 중요한 역할을 합니다. 백업 전후에 데이터가 저장되는 위치가 특히 중요합니다. 그와 더불어 백업 솔루션은 세계 각지에서 제정된 데이터 중심의 규정 및 기준에 항상 부합해야 합니다. HIPPA, PCI-DSS, ISO/IEC 27001, GDPR과 같은 표준에 입각하여 반드시 장기 데이터 보존, 활동 로깅과 같은 엄격한 보호 장치가 필요합니다.
개별 단위 백업 및 복구 기능을 무시하지 마십시오. 해커나 불만을 품은 직원이 극히 일부의 데이터만 삭제한 경우, 데이터 청크 전체를 복원할 필요가 있을까요? 직원이 실수로 중요 이메일을 삭제했는데 이를 찾아내 복구하기가 만만치 않다면? 개별 단위 백업 및 복구가 필요합니다.
SaaS 또는 SaaS 백업 소프트웨어 예상 시 백업 계획 비용을 간과해서는 안 됩니다. 벤더가 어떤 라이센싱 모델을 제공하는지 확인해야 합니다. 서브스크립션 기반 라이센싱 모델이 적합한 옵션 중 하나입니다. 유연하고 수용적이기 때문입니다.
클라우드 프로모션에는 보안, 보편성, 내결함성, 전체 백업을 강조하곤 합니다. 이는 각 기업과 기관에서 클라우드로 데이터를 이전할 경우 누릴 수 있는 이점이기도 합니다. 최근 중요 애플리케이션을 클라우드로 이전하여 SaaS(software-as-a-service) 모델을 활용하려는 기업이 늘고 있습니다.
그러나 과연 엔터프라이즈 소프트웨어의 SaaS 버전이 안전한지 여부를 자문해봐야 합니다. 애플리케이션의 클라우드 버전이 온프레미스 버전보다 더 안전할 수도 있으나, 취약점이 있습니다. SaaS 애플리케이션의 데이터는 고객의 소유이므로, 이 데이터를 보호할 책임도 고객에게 있습니다. 그리고 언제나 사후 해결보다는 미리 보호하는 것이 더 효과적이고 경제적입니다.
이 데이터 중심의 세상에서는 어떤 기업이나 기관도 데이터 유출을 감당할 수 없습니다. SaaS 백업은 가장 효과적인 데이터 보호 방법입니다. 안전한 백업본을 별도의 위치에 보관하면서 클라우드의 무궁무진한 이점을 누릴 수 있습니다.