재해복구 DR 전략을 세울 때 가장 흔한 실패는 이거예요.
기술(스냅샷, 복제, 이중화)부터 고르고
나중에 “우리 RTO/RPO가 뭐였지?”를 묻는 것.
반대로 성공하는 팀은 순서가 정반대입니다.
- 업무가 버틸 수 있는 시간/데이터 손실 한계를 먼저 정하고(RTO/RPO)
- 그 목표를 만족하는 DR 전략(아키텍처)을 고르고
- 마지막에 도구/서비스(AWS/Azure/GCP)를 끼워 넣습니다.
오늘 글은 이 “역산 설계”를 그대로 따라갈 수 있게 만든 실무 가이드입니다.
목차
- 1) RTO/RPO/MTD: 재해복구 DR 전략의 핵심 용어 정리
- 2) 백업 vs DR vs 고가용성(HA): 재해복구 설계의 첫 구분
- 3) RTO/RPO를 어떻게 정할까: DR 전략 수립 5단계
- 4) RTO/RPO에 따라 DR 전략은 4단계로 갈린다
- 6) 랜섬웨어·오삭제까지 고려한 백업 DR 전략 핵심 3가지
- 1) 백업은 ‘불변(Immutable)’이 되어야 한다
- 2) 백업은 단일 리전에만 두지 않는다(교차 리전/교차 계정)
- 3) “백업 시스템 자체”도 DR 관점으로 본다
- 7) 클라우드별 재해복구 DR 구현 예시: AWS·Azure·GCP
- 예시 1) RTO 24시간 / RPO 24시간: “가장 현실적인 저비용 시작점”
- 추천 모델: Backup & Restore
- 예시 2) RTO 1시간 / RPO 5~15분: “대부분 SaaS가 여기서 승부”
- 추천 모델: Warm Standby 또는 Pilot Light + 빠른 데이터 복제
- 예시 3) RTO 수분~수십분 / RPO 수초~수분: “진짜 DR이 비싸지는 구간”
- 추천 모델: Multi-site Active/Active
- 8) RTO/RPO 기반 재해복구 DR 설계 템플릿
- (1) 워크로드별 목표 정의 표
- (2) DR 실행(runbook) 최소 구성
- 9) 비용을 낮추면서 RTO/RPO를 줄이는 6가지 레버
1) RTO/RPO/MTD: 재해복구 DR 전략의 핵심 용어 정리
RTO(Recovery Time Objective)
NIST 용어집 기준으로 RTO는 “복구 단계에 있을 수 있는 전체 시간(그 이상이면 조직의 미션/업무에 악영향)”을 뜻합니다. (NIST Computer Security Resource Center)
RPO(Recovery Point Objective)
NIST 용어집 기준으로 RPO는 “장애 이후 데이터가 복구되어야 하는 시점(포인트)”입니다. 쉽게 말해 “얼마나 과거까지 롤백해도 괜찮나”예요. (NIST Computer Security Resource Center)
MTD(Maximum Tolerable Downtime)
NIST SP 800-34에서는 MTD를 “업무/미션 중단을 조직이 감내할 수 있는 총 시간”으로 설명합니다. (NIST Publications)
실무적으로는 이런 관계로 이해하면 편합니다.
- MTD(조직이 버틸 수 있는 최대치) ≥ RTO(IT가 목표로 하는 복구 시간)
- RTO는 MTD를 만족시키기 위한 “IT 측 목표치”로 잡는 경우가 일반적입니다. (NIST Publications)
2) 백업 vs DR vs 고가용성(HA): 재해복구 설계의 첫 구분
Azure의 개념 문서는 BCDR 맥락에서 RTO/RPO를 정의하면서, 비즈니스 연속성/고가용성/재해복구를 구분해 설명합니다. (Microsoft Learn)
이를 실무 언어로 바꾸면 이렇습니다.
- 백업(Backup): 데이터 되돌리기(랜섬웨어/실수 삭제/데이터 손상에 강함). 보통 RTO가 길어질 수 있음. DB 백업 전략은 관리형 DB 선택 가이드 참고.
- 고가용성(HA): “죽지 않게” 버티기(단일 장애/존 장애 등). RTO는 짧지만 ‘데이터 논리 오류’는 그대로 복제될 수 있음.
- DR(재해복구): “큰 사고(리전 장애/대규모 장애)에서도 서비스 재개”가 목표. RTO/RPO 목표를 만족시키도록 전체를 준비.
정리하면, HA는 ‘멈춤 최소화’, 백업은 ‘되돌리기’, DR은 ‘재시작 계획’입니다. 셋은 서로 대체가 아니라 조합이에요.
3) RTO/RPO를 어떻게 정할까: DR 전략 수립 5단계
Azure Well-Architected(재해복구 전략) 문서는 업무 가치와 기대치에 맞춰 명확한 RTO/RPO 타깃을 도출하라고 안내합니다. (Microsoft Learn)
이걸 실무 플로우로 바꾸면 아래 5단계가 가장 무난합니다.
1) 장애 시나리오를 3개로 고정한다
RTO/RPO는 “무슨 사고” 기준인지가 없으면 의미가 흐려집니다.
- 시나리오 A: 데이터 손상/오삭제/랜섬웨어(복구 포인트가 중요)
- 시나리오 B: 단일 리전 장애(다른 리전에서 서비스 재개)
- 시나리오 C: 클라우드/네트워크 대규모 장애(대체 경로/수동 운영까지 포함)
2) 시스템을 “업무 중요도 티어”로 나눈다
예: Tier 0(결제/로그인), Tier 1(핵심 API), Tier 2(리포트/배치), Tier 3(내부관리).
3) 티어별로 RTO/RPO를 숫자로 박는다(예: 15분/1시간/24시간)
정성(“빠르게”)이 아니라 정량(“30분”)으로 고정해야 아키텍처가 정해집니다.
4) “현재 우리 실력”으로 가능한 실제 RTO/RPO를 측정한다
대부분 여기서 갭이 나옵니다.
문서상의 RTO/RPO가 아니라 실제로 복구해본 RTO/RPO를 기준으로 해야 합니다.
5) 갭을 비용으로 환산해 “구간 선택”을 한다
RTO/RPO를 줄일수록(더 빡세질수록) 비용이 늘어납니다.
그래서 아래 DR 전략 4단계(모델) 중 어디로 갈지 결정하게 됩니다.
4) RTO/RPO에 따라 DR 전략은 4단계로 갈린다
AWS는 클라우드 DR 옵션을 Backup & Restore → Pilot Light → Warm Standby → Multi-site Active/Active 형태의 단계로 정리해 설명합니다. (AWS Documentation)
(이 4단계는 업계에서 가장 널리 쓰이는 DR 모델이기도 합니다.)
아래 표는 실무에서 “설계 판단”에 바로 쓰기 좋게 정리한 버전입니다.
RTO/RPO 목표별 추천 DR 모델(실무용 맵)
| 목표 수준(예시) | RTO | RPO | 추천 DR 전략 | 비용/운영 난이도 |
|---|---|---|---|---|
| 1단계: 복구가 느려도 됨 | 8~48시간 | 4~24시간 | Backup & Restore (AWS Documentation) | 비용↓ / 운영↓ |
| 2단계: “서비스는 살려야” | 1~4시간 | 15~60분 | Pilot Light (Amazon Web Services, Inc.) | 비용↗ / 운영↗ |
| 3단계: “꽤 빨리” 복구 | 10~60분 | 1~15분 | Warm Standby (AWS Documentation) | 비용↑ / 운영↑ |
| 4단계: 거의 무중단에 가까움 | 수분~수십분 | 수초~수분 | Multi-site Active/Active (Amazon Web Services, Inc.) | 비용↑↑ / 운영↑↑ |
숫자 구간은 “흔한 예시”이고, 실제는 워크로드/조직 역량에 따라 달라집니다.
중요한 건 RTO/RPO가 빡셀수록 ‘항상 켜져 있는 것’이 많아져서 비용이 급상승한다는 점입니다.
5) RTO/RPO로 역산하는 재해복구 DR 설계 공식
RPO 설계 공식: “데이터 보호 주기”를 먼저 정한다
- RPO가 15분이면: 최소 15분보다 촘촘한 백업/복제가 있어야 합니다.
- RPO가 0에 가까우면: 동기(또는 준동기) 복제 + 설계적 일관성까지 고려해야 합니다(난이도와 비용이 확 올라갑니다).
RTO 설계 공식: “복구 절차의 합”이 RTO를 만든다
RTO는 그냥 “서버 켜는 시간”이 아니라 보통 아래 합입니다.
- 장애 감지/선언 시간 + 사람 호출/승인 시간
- 인프라 기동 시간(네트워크/컴퓨트/DB)
- 데이터 복구/재동기화 시간
- 애플리케이션 배포/설정 적용 시간
- 트래픽 전환(DNS/LB) + 검증(스모크 테스트) 시간
정리하면, RTO를 줄이려면:
- 사람 의존(수동)을 줄이고 자동화해야 하고
- 항상 준비된 리소스(웜/핫)가 많아져야 합니다.
6) 랜섬웨어·오삭제까지 고려한 백업 DR 전략 핵심 3가지
DR을 설계할 때 요즘은 “리전 장애”만 보면 반쪽짜리입니다.
실제 사고는 랜섬웨어/권한 탈취/실수 삭제가 더 자주 터지니까요.
1) 백업은 ‘불변(Immutable)’이 되어야 한다
AWS Backup의 Vault Lock 문서는 일정 시점 이후 백업 볼트가 immutable(변경/삭제 불가)가 된다고 설명합니다. (AWS Documentation)
즉, “백업이 있어도 공격자가 지우면 끝”인 문제를 줄이는 장치입니다.
2) 백업은 단일 리전에만 두지 않는다(교차 리전/교차 계정)
AWS Backup은 교차 리전 백업 복사(cross-Region copy) 설정 흐름을 공식 문서로 제공합니다. (AWS Documentation)
실무에서는 “운영 계정과 다른 계정에 백업을 보관”하는 형태를 많이 씁니다(권한 사고 격리).
3) “백업 시스템 자체”도 DR 관점으로 본다
Google Cloud의 Backup and DR Service는 중앙 관리형 백업/복구 서비스이며, 악의적 또는 우발적 삭제로부터 백업 데이터를 보호한다고 설명합니다(단일/멀티리전 언급 포함). (Google Cloud)
7) 클라우드별 재해복구 DR 구현 예시: AWS·Azure·GCP
여기서는 “RTO/RPO 목표”를 먼저 두고 클라우드별로 어떤 서비스 조합이 자연스러운지 예시를 들어볼게요. AWS·Azure·GCP 전반적인 비교는 AWS vs Azure vs GCP 비교 2026을 참고하세요.
예시 1) RTO 24시간 / RPO 24시간: “가장 현실적인 저비용 시작점”
추천 모델: Backup & Restore
- 핵심: 백업 주기(=RPO) + 복구 절차(=RTO) 문서화
- 장점: 비용이 낮고 시작이 쉽다.
- 단점: 복구는 느릴 수 있다.
구현 포인트
- 백업 스케줄/보관 정책
- 복구 리허설(정기 테스트)로 “진짜 RTO”를 측정
- 백업 불변성(Vault Lock 등) 검토 (AWS Documentation)
예시 2) RTO 1시간 / RPO 5~15분: “대부분 SaaS가 여기서 승부”
추천 모델: Warm Standby 또는 Pilot Light + 빠른 데이터 복제
AWS/Azure 모두 이 구간에서 “복제 기반 DR” 서비스가 실무적으로 자주 선택됩니다.
- AWS Elastic Disaster Recovery(DRS)는 “RPO seconds, RTO minutes”를 전면에 내세웁니다. (Amazon Web Services, Inc.)
- Azure Site Recovery(ASR)는 조직의 RTO/RPO 목표를 맞추는 데 도움을 주며, Hyper-V의 경우 복제 주기가 30초까지 낮아질 수 있다고 설명합니다(대상/구성에 따라 다름). (Microsoft Learn)
포인트: 이 단계부터는 “백업만”으로는 RPO를 맞추기 어려워져서, 지속 복제(continuous replication) 같은 접근이 들어오는 경우가 많습니다. (Microsoft Learn)
예시 3) RTO 수분~수십분 / RPO 수초~수분: “진짜 DR이 비싸지는 구간”
추천 모델: Multi-site Active/Active
AWS는 이 전략을 “두 개 이상의 독립된 사이트에서 동시에 요청을 처리하는 Active/Active”로 설명합니다. (Amazon Web Services, Inc.)
이 구간의 현실
- 비용이 급증합니다(리소스를 “두 군데에서 상시 운영”).
- 운영 난이도가 크게 올라갑니다(데이터 일관성/충돌/분산 트랜잭션/관측성 등).
- 그래서 보통 Tier 0 일부(예: 결제/인증)만 Active/Active로 가고, 나머지는 Warm Standby로 섞는 “혼합형”이 많습니다.
8) RTO/RPO 기반 재해복구 DR 설계 템플릿
(1) 워크로드별 목표 정의 표
| 시스템 | 중요도 | 장애 시나리오 | 목표 RTO | 목표 RPO | 현재 RTO/RPO | 갭(리스크) | 선택 전략 |
|---|---|---|---|---|---|---|---|
| 결제 | Tier 0 | 리전 장애 | 15분 | 1분 | 2시간/15분 | 큼 | Warm/Active |
| 로그인 | Tier 0 | 권한 탈취 | 30분 | 5분 | 미측정 | 큼 | Backup+불변 |
| 관리자 | Tier 2 | 리전 장애 | 24시간 | 24시간 | 12시간/24시간 | 작음 | Backup&Restore |
(2) DR 실행(runbook) 최소 구성
- 장애 선언 기준(누가/언제/어떤 조건에서)
- 복구 절차 단계(순서가 핵심): 데이터 → 앱 → 트래픽 → 검증
- 롤백/재난 해제 절차
- 테스트 계획(분기 1회, 최소 연 2회는 권장)
9) 비용을 낮추면서 RTO/RPO를 줄이는 6가지 레버
- 티어링: 전 시스템을 Tier 0로 만들지 말기(비용 폭탄 방지 — 클라우드 비용 최적화(FinOps) 입문 참고) (Microsoft Learn)
- 혼합형 DR: 핵심만 Warm/Active, 나머지는 Backup/Pilot
- 자동화: 수동 승인/수동 배포 제거(사람이 RTO를 늘립니다)
- 트래픽 전환 설계: DNS/LB 전환을 문서화하고 반복 훈련
- 백업 불변성/격리: 랜섬웨어 대응(삭제 불가 + 다른 계정/리전) (AWS Documentation)
- 테스트로 측정: 목표 RTO/RPO는 “종이”가 아니라 “리허설 결과”로 관리
자주 묻는 질문 (FAQ)
Q1. RTO와 RPO 차이를 한 문장으로 말하면?
- RTO는 “얼마나 빨리 서비스/시스템을 복구해야 하는가”이고, NIST 정의로는 “복구 단계에 있을 수 있는 전체 시간”입니다. (NIST Computer Security Resource Center)
- RPO는 “얼마나 최근 시점까지 데이터가 복구돼야 하는가”이며, NIST 정의로는 “장애 후 데이터가 복구되어야 하는 시점”입니다. (NIST Computer Security Resource Center)
Q2. MTD는 뭐고 왜 필요하죠?
NIST SP 800-34는 MTD를 “업무 중단을 감내할 수 있는 총 시간”으로 설명합니다. (NIST Publications)
RTO는 보통 이 MTD를 넘지 않게 잡는 IT 목표치라서, 경영진/업무부서와 합의할 때 MTD가 기준점이 됩니다.
Q3. DR 전략(Backup/Pilot/Warm/Active-Active)은 뭘 기준으로 고르나요?
AWS는 클라우드 DR 옵션을 Backup & Restore, Pilot Light, Warm Standby, Multi-site Active/Active로 정리해 설명합니다. (AWS Documentation)
실무에서는 목표 RTO/RPO가 빡셀수록 더 “항상 준비된(상시 운영)” 자원이 필요해서 비용이 증가합니다.
Q4. 백업만 잘하면 DR은 필요 없나요?
보통은 아닙니다. 백업은 데이터 복구에 강하지만, 서비스 재개(RTO)를 빠르게 보장하려면 복제/대기 환경/자동 전환 등 DR 설계가 필요합니다. (BCDR에서 RTO/RPO를 기준으로 전략을 고르라고 하는 이유가 여기 있습니다.) (Microsoft Learn)
Q5. 클라우드에서 RTO/RPO를 빨리 맞추는 서비스 예시가 있나요?
- AWS Elastic Disaster Recovery는 “RPO seconds, RTO minutes”를 내세웁니다. (Amazon Web Services, Inc.)
- Azure Site Recovery는 복제를 통해 목표 RTO/RPO를 맞추는 데 도움을 주며, Hyper-V 복제 주기가 30초까지 가능하다고 설명합니다. (Microsoft Learn)
Q6. 랜섬웨어까지 고려하면 무엇이 핵심인가요?
백업이 “있다”보다 백업이 지워지지 않는다(불변성)가 중요해졌습니다. AWS Backup Vault Lock은 일정 시점 이후 백업 볼트를 변경/삭제할 수 없게 하는 불변성을 설명합니다. (AWS Documentation)
Google Cloud Backup and DR Service도 백업 데이터의 악의적/우발적 삭제 방지를 강조합니다. (Google Cloud)
 | AX 100배의 법칙 – 나와 조직의 능력을 100배 높이는 AI 경영의 실제 도서 구매 |
함께 읽으면 좋은 글:
디지털 트랜스포메이션: 조직의 습관을 바꾸는 일, 도서 구매