267. BIA (Business Impact Analysis) 업무 영향 분석

핵심 인사이트

본질: BIA(Business Impact Analysis)는 재난·장애 시 각 업무 기능이 중단됐을 때의 재무적·운영적 영향을 정량화하여 복구 우선순위와 RTO/RPO를 결정하는 분석이다.

가치: BIA 없이 BCP/DR을 설계하면 중요하지 않은 시스템에 과투자하고, 실제 핵심 업무는 복구가 늦어지는 역설이 발생한다.

판단 포인트: BIA의 핵심 산출물은 각 업무 기능별 MAO(Maximum Acceptable Outage), RTO, RPO, MTPD(Maximum Tolerable Period of Disruption)이며, 경영진 합의가 필수다.

Ⅰ. 개요 및 필요성

BIA(Business Impact Analysis, 업무 영향 분석)는 BCP 수립의 첫 번째 단계로, '무엇을 먼저 복구해야 하는가'를 결정하는 과학적 근거다. 각 업무 기능(Business Function)이 X시간 중단될 때 발생하는 재무적 손실(매출 손실, 위약금, 규제 패널티), 운영적 손실(고객 이탈, 브랜드 손상, 직원 생산성), 법적 리스크를 정량화한다.

BIA를 통해 업무 기능을 A(핵심)·B(중요)·C(일반)로 분류하고, 각 등급에 맞는 RTO와 RPO를 설정한다. 예를 들어, 금융 거래 시스템(A등급)은 RTO 1시간·RPO 0분이 필요할 수 있으나, 내부 보고 시스템(C등급)은 RTO 72시간·RPO 24시간으로 충분할 수 있다.

📢 섹션 요약 비유: BIA는 응급실 트리아지처럼 '어느 환자(업무)를 먼저 치료(복구)할지' 심각도를 평가하는 과정이다.

Ⅱ. 아키텍처 및 핵심 원리

핵심 지표	정의	예시 값
MAO (Maximum Acceptable Outage)	비즈니스가 허용하는 최대 중단 시간	4시간
RTO (Recovery Time Objective)	IT 시스템 복구 목표 시간	2시간 (MAO보다 짧아야)
RPO (Recovery Point Objective)	허용 데이터 손실 시점 목표	30분
MTPD (Max Tolerable Period of Disruption)	조직이 감내할 수 있는 최대 중단 기간	72시간
WRT (Work Recovery Time)	RTO 달성 후 정상 업무 복귀 소요 시간	1시간

┌───────────────────────────────────────────────────────────────┐
│                BIA 핵심 지표 관계 타임라인                     │
│                                                               │
│  장애 발생                              정상 운영 복귀        │
│     │                                        │               │
│     ▼                                        ▼               │
│  ──────────────────────────────────────────────────────▶ 시간│
│     │←──── RTO ────→│←── WRT ──→│                           │
│     │                            │                           │
│     │←───────── MAO ─────────────│                           │
│     │                                                        │
│     │← RPO →│ ← 이 시점 데이터까지 복구 필요                │
│  ──────────────────────────────────────────────────────▶     │
│  마지막 백업                      장애 발생 시점              │
│                                                               │
│  MAO > RTO + WRT  (반드시 만족해야 함)                        │
└───────────────────────────────────────────────────────────────┘

📢 섹션 요약 비유: RTO는 '불 끈 후 문 여는 시간', WRT는 '손님 다시 받을 준비 시간', MAO는 '손님이 기다려줄 최대 시간'이다. RTO+WRT가 MAO를 초과하면 손님이 다 떠난다.

Ⅲ. 비교 및 연결

업무 등급	특성	RTO 예시	RPO 예시	DR 전략
A (핵심 Critical)	중단 즉시 막대한 손실	1시간 이내	0~15분	미러/핫 사이트
B (중요 Important)	몇 시간 후 심각한 손실	4~8시간	1~4시간	웜 사이트
C (일반 Deferrable)	며칠 내 복구 가능	24~72시간	24시간	콜드 사이트

📢 섹션 요약 비유: 업무 등급은 병원의 응급(A)·입원(B)·외래(C) 분류와 같다. 응급 환자를 외래로 보내면 안 되듯, A등급 업무에 콜드 사이트 DR은 위험하다.

Ⅳ. 실무 적용 및 기술사 판단

BIA 수행 시 가장 중요한 것은 현업 부서와 경영진의 참여다. IT 부서가 단독으로 RTO/RPO를 결정하면 실제 비즈니스 요구와 괴리가 생긴다. BIA 워크숍에서 각 업무 기능 오너가 '중단 시간별 손실 시나리오'를 제시하고, 경영진이 복구 비용과 비교해 최종 RTO/RPO를 승인한다. BIA는 1~2년 주기로 재수행하며, 비즈니스 변화(신규 서비스 출시, M&A)가 있을 때마다 업데이트해야 한다.

📢 섹션 요약 비유: BIA는 보험 가입 전 재산 평가와 같다. 재산 가치를 정확히 알아야 적절한 보험료와 보장 범위를 결정할 수 있다.

Ⅴ. 기대효과 및 결론

정확한 BIA는 DR/BCP 투자의 비용 효율성을 극대화한다. A등급 업무에 집중 투자하고 C등급은 비용을 최소화함으로써 전체 복구 비용을 30~50% 절감하면서도 핵심 비즈니스 연속성을 보장한다. ISO 22301 인증의 필수 요소이자 금융·공공 기관 규제 준수의 핵심 문서다.

📢 섹션 요약 비유: BIA는 스마트 쇼핑 목록이다. 무조건 비싼 것을 사는 것이 아니라, '꼭 필요한 것'에 먼저 예산을 쓰는 합리적 계획이다.

📌 관련 개념 맵

개념	설명	연관 키워드
MAO (Maximum Acceptable Outage)	비즈니스 허용 최대 중단 시간	BIA, BCP
MTPD (Max Tolerable Period of Disruption)	조직이 감내 가능한 최대 중단 기간	ISO 22301, BCP
WRT (Work Recovery Time)	시스템 복구 후 정상 업무 복귀 소요 시간	RTO, MAO
업무 기능 분류	A/B/C 등급으로 복구 우선순위 결정	BCP, DR 전략
BIA 워크숍	현업+IT+경영진 공동 분석 세션	이해관계자 참여

👶 어린이를 위한 3줄 비유 설명

BIA는 집에서 가장 중요한 물건이 무엇인지 미리 목록을 만드는 작업이에요.
불이 나면 가장 중요한 것부터 먼저 가져나오도록 순서를 정해두는 거예요.
비싼 물건보다 '없으면 가장 힘든 물건'이 먼저니까, 중요도 평가가 핵심이에요.