본문 바로가기
클라우드 백업

3-2-1-1-0 백업 규칙: 중소기업이 지금 당장 적용해야 할 데이터 보호 전략

KDSys 기술팀
2026-07-06

"백업은 해놨는데, 정작 복구가 안 됩니다." 보안 사고 현장에서 IT 담당자들이 가장 많이 하는 말 중 하나입니다. 랜섬웨어에 감염된 후 백업 파일을 열어봤더니 이미 암호화되어 있거나, 백업 자체가 수개월 전 시점이라 사실상 무용지물인 경우가 빈번합니다. 백업은 '하느냐 안 하느냐'의 문제가 아니라 '어떻게 하느냐'의 문제입니다.

특히 한국 중소기업 환경에서는 NAS 한 대에 백업을 몰아두거나, 같은 네트워크 내 서버에 복제하는 수준에서 멈추는 경우가 많습니다. 이런 구조에서는 랜섬웨어가 네트워크를 타고 퍼지는 순간 원본과 백업이 동시에 잠겨버립니다. 이 문제를 체계적으로 해결하기 위해 등장한 것이 바로 3-2-1-1-0 백업 규칙입니다.

이 글에서는 3-2-1-1-0 규칙의 각 숫자가 의미하는 바를 명확히 설명하고, 예산과 인력이 제한된 중소기업이 이 원칙을 현실적으로 적용할 수 있는 구체적인 방법을 안내합니다.

3-2-1에서 3-2-1-1-0으로: 백업 원칙의 진화

전통적인 3-2-1 규칙은 수십 년간 데이터 보호의 기본 원칙으로 통용되어 왔습니다. "중요한 데이터는 3개의 사본을 만들고, 2가지 다른 유형의 미디어에 저장하며, 1개는 오프사이트(원격지)에 보관하라"는 간결하고 강력한 원칙입니다. 이 규칙만 제대로 지켜도 하드웨어 고장, 자연재해, 단순 실수로 인한 데이터 손실은 대부분 방어할 수 있습니다.

그러나 랜섬웨어가 폭발적으로 증가하면서 3-2-1만으로는 부족한 상황이 되었습니다. 최신 랜섬웨어는 네트워크 드라이브를 스캔해 백업 파일까지 암호화하고, 클라우드 동기화 폴더를 통해 오프사이트 사본마저 오염시킵니다. 이런 위협에 대응하기 위해 업계에서는 두 가지 요소를 추가한 3-2-1-1-0 규칙을 권장하게 되었습니다.

💡 핵심 포인트

3-2-1-1-0의 각 숫자 의미:
3 — 데이터 사본 최소 3개 유지 (원본 포함 시 총 3개, 또는 원본 + 백업 2개로 해석)
2 — 2가지 이상의 서로 다른 저장 매체 사용
1 — 1개는 물리적으로 분리된 원격지에 보관
1 — 1개는 오프라인 또는 변경 불가(Immutable) 상태로 보관
0 — 복구 테스트 시 오류 0건 확인

여기서 핵심적인 차이를 만드는 것은 뒤에 추가된 '1'과 '0'입니다. 네 번째 숫자 '1'은 에어갭(Air-Gap) 백업 또는 불변(Immutable) 스토리지를 의미합니다. 네트워크에서 완전히 분리되어 있거나, 기술적으로 삭제·수정이 불가능한 상태의 사본을 반드시 하나 이상 확보하라는 것입니다. 다섯 번째 '0'은 백업의 무결성을 검증하여 복구 실패가 0건이어야 한다는 원칙으로, 백업이 존재하는 것과 복구가 되는 것은 별개의 문제라는 교훈을 담고 있습니다.

각 숫자별 중소기업 실무 적용 전략

원칙은 이해했지만, 전담 IT팀이 없거나 1~2명이 모든 인프라를 관리하는 중소기업에서 이를 어떻게 구현할 수 있을까요? 각 요소를 현실적인 관점에서 풀어보겠습니다.

3 — 사본 3개: 최소한의 안전망

원본 데이터 외에 최소 2개의 백업 사본을 유지해야 합니다. 하나의 백업만 있을 경우, 그 백업이 손상되면 복구 수단이 사라집니다. 로컬 NAS에 1차 백업을 수행하고, 클라우드에 2차 백업을 동시에 운영하는 것이 가장 일반적인 구성입니다. Acronis Cyber Protect와 같은 통합 솔루션을 사용하면 하나의 정책으로 로컬과 클라우드 동시 백업을 설정할 수 있어 관리 부담을 크게 줄일 수 있습니다.

2 — 서로 다른 2가지 매체: 동일 장애점 제거

같은 NAS에 폴더만 나눠서 백업하는 것은 '2가지 매체'에 해당하지 않습니다. 로컬 디스크(NAS, 외장 HDD, SAN)와 클라우드 스토리지처럼 물리적으로 완전히 다른 저장 기술을 조합해야 합니다. 이렇게 하면 특정 하드웨어 결함이나 펌웨어 버그로 한쪽이 전멸해도 다른 쪽에서 복구할 수 있습니다.

1 — 오프사이트 보관: 같은 건물 밖으로

화재, 수해, 도난 같은 물리적 재해를 대비하려면 백업 사본 중 하나는 반드시 사업장 외부에 있어야 합니다. 과거에는 테이프를 은행 금고에 보관하는 방식이 일반적이었지만, 지금은 클라우드 백업이 가장 효율적인 오프사이트 솔루션입니다. 한국 내 데이터센터를 활용하는 클라우드 서비스를 선택하면 개인정보보호법상 국외 이전 이슈도 피할 수 있습니다.

1 — 에어갭 또는 불변 스토리지: 랜섬웨어의 최후 방어선

이것이 3-2-1-1-0에서 가장 중요한 추가 요소입니다. 불변(Immutable) 백업이란 한번 기록된 데이터가 설정된 보존 기간 동안 삭제되거나 수정될 수 없는 저장 방식을 말합니다. 관리자 권한을 탈취한 공격자조차 이 데이터를 변경할 수 없습니다. 클라우드 스토리지의 오브젝트 잠금(Object Lock) 기능이나 WORM(Write Once Read Many) 스토리지가 대표적인 구현 방식입니다. Acronis 클라우드 백업의 경우 이러한 불변 스토리지 개념을 지원하여 랜섬웨어가 백업 데이터를 훼손하는 것을 원천적으로 차단합니다.

0 — 복구 오류 제로: 테스트하지 않은 백업은 백업이 아니다

업계 전문가들은 "테스트하지 않은 백업은 백업이라 부를 수 없다"고 입을 모읍니다. 백업 작업이 매일 '성공' 로그를 남기더라도, 실제로 해당 백업에서 시스템을 복원해보기 전까지는 복구 가능 여부를 알 수 없습니다. 최소 분기 1회, 가능하면 월 1회 전체 복구 또는 부분 복구 테스트를 수행하고, 그 결과를 문서화하는 것이 필수입니다. Acronis에서는 자동화된 백업 검증 기능을 통해 백업 데이터의 무결성을 정기적으로 확인할 수 있습니다.

기존 3-2-1 vs 강화된 3-2-1-1-0: 무엇이 달라지는가

비교 항목기존 3-2-1 규칙강화된 3-2-1-1-0 규칙
데이터 사본 수3개3개 (동일)
저장 매체 다양성2가지 이상2가지 이상 (동일)
오프사이트 보관1개 이상1개 이상 (동일)
에어갭/불변 스토리지규정 없음1개 이상 필수
복구 검증권장 사항오류 0건 의무화
랜섬웨어 방어력네트워크 전파 시 취약불변 스토리지로 최후 방어
복구 신뢰도테스트 여부에 의존검증된 복구 보장
중소기업 적합성기본 보호에 적합현대 위협 대응에 필수
⚠️ 주의사항

단순히 클라우드 동기화 서비스(구글 드라이브, 원드라이브 등)를 사용하는 것은 3-2-1-1-0의 '오프사이트' 또는 '불변' 요건을 충족하지 못합니다. 동기화 서비스는 로컬 파일이 암호화되면 클라우드에도 그 변경이 그대로 반영되기 때문입니다. 반드시 별도의 백업 전용 솔루션을 사용해야 합니다.

중소기업을 위한 3-2-1-1-0 구현 체크리스트

아래 체크리스트를 활용하면 현재 우리 회사의 백업 체계가 3-2-1-1-0 기준에 얼마나 부합하는지 진단하고, 부족한 부분을 단계적으로 보완할 수 있습니다.

  1. 현황 진단: 현재 백업되고 있는 데이터 범위를 확인합니다. 서버 OS, 데이터베이스, 업무용 파일, 이메일, 가상머신 등 누락된 대상이 없는지 점검하세요. 특히 직원 개인 PC에 저장된 업무 파일이 백업 사각지대인 경우가 많습니다.
  2. 사본 수 확인: 각 중요 데이터에 대해 원본 외에 독립적인 백업 사본이 2개 이상 존재하는지 확인합니다. "같은 디스크의 다른 파티션"은 별도 사본으로 인정되지 않습니다.
  3. 매체 다양성 확보: 로컬 스토리지(NAS, 외장 디스크)와 클라우드 스토리지를 조합하여 최소 2가지 이상의 서로 다른 저장 매체를 사용하고 있는지 점검합니다.
  4. 오프사이트 백업 설정: 클라우드 백업 또는 원격 데이터센터 복제를 통해 사업장 외부에 백업 사본을 유지합니다. 국내 데이터센터 기반 서비스를 우선 검토하세요.
  5. 불변 스토리지 적용: 백업 사본 중 최소 1개는 공격자가 삭제하거나 수정할 수 없는 불변(Immutable) 상태로 보관합니다. 대안으로 네트워크에서 물리적으로 분리된 오프라인 백업(외장 HDD 분리 보관 등)도 에어갭 역할을 할 수 있습니다.
  6. 복구 테스트 일정 수립: 월 1회 또는 최소 분기 1회 전체/부분 복구 테스트를 수행하는 일정을 캘린더에 등록합니다. 테스트 결과(복구 소요 시간, 성공 여부, 발견된 문제)를 반드시 문서화합니다.
  7. 자동화 및 모니터링: 백업 작업을 수동이 아닌 자동 스케줄로 운영하고, 실패 시 즉시 알림을 받을 수 있는 모니터링 체계를 구축합니다. Acronis와 같은 솔루션은 중앙 콘솔에서 전체 백업 상태를 한눈에 확인할 수 있습니다.
  8. 정책 문서화 및 교육: 백업 정책(대상, 주기, 보존 기간, 복구 책임자)을 문서화하고, 관련 담당자에게 복구 절차를 교육합니다. 담당자 부재 시에도 복구가 가능하도록 최소 2명 이상이 절차를 숙지해야 합니다.

실제 시나리오: 랜섬웨어 침투 후 24시간

3-2-1-1-0을 적용한 기업과 그렇지 않은 기업의 차이

시나리오: 월요일 오전 9시, 직원이 정교하게 위장된 피싱 이메일의 첨부파일을 열면서 랜섬웨어가 실행됩니다. 악성코드는 로컬 디스크를 암호화한 후 네트워크를 스캔하여 연결된 NAS와 공유 폴더의 파일까지 순식간에 잠가버립니다.

3-2-1만 적용한 경우: 로컬 NAS 백업이 암호화되었습니다. 클라우드 동기화 폴더도 감염 파일이 동기화되어 오염되었습니다. 오프사이트에 사본이 있지만, 해당 백업의 마지막 검증 일자가 6개월 전이라 복구를 시도하자 일부 데이터베이스 파일이 손상된 상태입니다. 결국 완전한 복구에 실패하고, 수일간 업무가 중단됩니다.

3-2-1-1-0을 적용한 경우: 로컬 NAS 백업은 마찬가지로 암호화되었습니다. 그러나 클라우드에 저장된 불변(Immutable) 백업은 랜섬웨어가 접근하거나 수정할 수 없는 상태로 보호되어 있습니다. 또한 지난주 자동 검증에서 복구 테스트를 통과한 이력이 확인됩니다. IT 담당자는 검증된 클라우드 백업에서 시스템 이미지를 복원하여 당일 내 핵심 업무 시스템을 정상화합니다.

이 시나리오에서 두 기업의 차이를 만든 것은 거대한 예산이나 전문 보안팀이 아닙니다. 불변 스토리지 하나정기적인 복구 검증, 이 두 가지 추가 조치가 사업 연속성을 지켜낸 것입니다.

💡 핵심 포인트

한국 개인정보보호법 제29조는 개인정보처리자에게 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 의무화하고 있습니다. 백업 및 복구 체계는 이 안전성 확보 조치의 핵심 요소이며, 사고 발생 시 적절한 백업 체계를 갖추고 있었는지가 과태료 및 법적 책임 판단의 중요한 기준이 될 수 있습니다.

마무리: 백업 규칙은 결국 '복구'를 위한 것입니다

3-2-1-1-0 규칙의 핵심은 결국 하나로 귀결됩니다. "어떤 상황에서도 데이터를 복구할 수 있는 상태를 유지하라." 사본 수, 매체 다양성, 오프사이트 보관은 기본이고, 불변 스토리지와 복구 검증이라는 두 가지 요소가 현대 사이버 위협 환경에서 실질적인 생존력을 결정합니다.

이 원칙을 직접 설계하고 구현하는 것이 부담스럽게 느껴질 수 있습니다. 어떤 스토리지를 선택해야 하는지, 불변 백업은 어떻게 설정하는지, 복구 테스트는 어떤 절차로 해야 하는지 — 중소기업 IT 담당자가 혼자 모든 것을 결정하기는 쉽지 않습니다.

KDSys는 Acronis 공인 파트너로서 3-2-1-1-0 백업 체계의 설계부터 구축, 운영, 복구 테스트까지 전 과정을 지원합니다. 현재 백업 환경 진단을 통해 취약점을 파악하고, 기업 규모와 예산에 맞는 최적의 백업 아키텍처를 제안해 드립니다. Acronis Cyber Protect의 이미지 기반 백업, 클라우드 백업, 자동 검증 기능을 활용하면 전담 인력 없이도 3-2-1-1-0 원칙을 현실적으로 구현할 수 있습니다.

지금 우리 회사의 백업이 진짜 '복구 가능한' 백업인지 확인하고 싶다면, KDSys에 무료 백업 환경 진단을 요청해 보세요. 데이터를 잃고 난 후가 아니라, 잃기 전에 준비하는 것이 가장 현명한 투자입니다.