본문 바로가기
M365 백업

Exchange Online 규정 준수 보관 vs 백업: 2025년 M365 데이터 보호 완벽 가이드

KDSys 기술팀
2026-05-22

"우리 회사는 Exchange Online을 쓰니까 이메일이 알아서 보관되지 않나요?" — 이 질문은 한국 중소기업 IT 담당자로부터 가장 빈번하게 듣는 말 중 하나입니다. Microsoft 365가 제공하는 규정 준수 보관(Compliance Archive, In-Place Archive) 기능을 두고 마치 완전한 백업이 되어 있다고 믿는 것이죠. 하지만 이 믿음은 실제 데이터 사고가 발생했을 때 치명적인 결과로 이어질 수 있습니다.

실제로 보안 전문가들은 SaaS 데이터 손실의 주요 원인이 랜섬웨어나 해킹보다 사용자의 실수에 의한 삭제, 퇴사 처리 시 계정 삭제, 동기화 오류 등 내부 요인인 경우가 많다고 지적합니다. Microsoft의 서비스 약관(Shared Responsibility Model)에서도 데이터 보호의 최종 책임은 고객에게 있다고 명시하고 있습니다. 규정 준수 보관만으로 충분하다는 착각이 왜 위험한지, 지금부터 상세히 살펴보겠습니다.

규정 준수 보관(Compliance Archive)이란 무엇인가

Exchange Online의 규정 준수 보관은 Microsoft 365 E3/E5, Exchange Online Plan 2 등 특정 라이선스에 포함된 In-Place Archive(원본 위치 보관) 기능을 말합니다. 이 기능의 핵심 목적은 사서함 용량 관리와 규정 준수(Compliance)입니다. 오래된 이메일을 자동으로 아카이브 사서함으로 이동시켜 기본 사서함의 용량을 확보하고, 소송이나 감사에 대비해 이메일을 일정 기간 보존하는 데 초점이 맞춰져 있습니다.

구체적으로 살펴보면, 보존 정책(Retention Policy)을 설정하여 일정 기간이 지난 메일을 아카이브로 이동시키거나, 소송 보존(Litigation Hold)을 활성화하여 삭제된 항목까지 보존할 수 있습니다. Microsoft Purview의 eDiscovery를 통해 보존된 데이터를 검색하고 내보내는 것도 가능합니다. 하지만 여기서 중요한 점은, 이 모든 기능이 '보존(Retention)'의 개념이지 '복구(Recovery)'의 개념이 아니라는 것입니다.

💡 핵심 포인트

규정 준수 보관은 "이메일을 지우지 못하게 잡아두는 것"이고, 백업은 "특정 시점의 상태로 되돌릴 수 있게 복사본을 만들어두는 것"입니다. 목적 자체가 다릅니다.

규정 준수 보관이 백업을 대체할 수 없는 5가지 이유

많은 IT 담당자가 규정 준수 보관과 백업을 혼동하는 이유는 둘 다 "데이터를 보관한다"는 표면적인 공통점 때문입니다. 하지만 실무에서 데이터 복구가 필요한 상황을 하나씩 따져보면, 규정 준수 보관만으로는 해결이 불가능한 시나리오가 분명히 존재합니다.

  1. 특정 시점 복원(Point-in-Time Recovery) 불가: 규정 준수 보관은 개별 항목을 보존할 뿐, 사서함 전체를 "3일 전 오전 10시 상태"로 되돌리는 기능이 없습니다. 랜섬웨어가 사서함 내 이메일을 대량으로 변조한 경우, 감염 이전 시점으로 일괄 복원하는 것이 핵심인데 이것이 불가능합니다.
  2. 계정 삭제 시 데이터 소실 위험: 직원이 퇴사하여 Microsoft 365 라이선스를 회수하고 계정을 삭제하면, 소송 보존이 걸려 있지 않은 한 아카이브 데이터도 함께 삭제됩니다. 퇴사 처리 후 수개월 뒤에 해당 직원의 과거 이메일이 필요한 상황은 중소기업에서 빈번하게 발생합니다.
  3. 복원 단위의 제한: eDiscovery를 통해 검색·내보내기는 가능하지만, 이는 PST 파일 형태의 내보내기이며 원래 폴더 구조와 메타데이터를 완벽하게 보존한 채 사서함에 복원하는 것과는 다릅니다. 개별 이메일 하나를 찾아 원래 위치에 복구하는 세밀한 작업(granular restore)에는 한계가 있습니다.
  4. Microsoft 인프라 장애 시 접근 불가: 규정 준수 보관 데이터는 Microsoft 365 인프라 내에 존재합니다. Microsoft 서비스 자체에 장애가 발생하면 보관된 데이터에도 접근할 수 없습니다. 독립적인 백업은 Microsoft 인프라 외부에 데이터 복사본을 보관하므로 이 위험을 회피합니다.
  5. 보존 정책 변경·오류의 연쇄 효과: 관리자가 실수로 보존 정책을 변경하거나 삭제하면, 보존 대상이었던 데이터가 일괄 삭제될 수 있습니다. 이는 관리자 권한 오용이나 계정 탈취 시에도 동일하게 발생하는 위험입니다.
⚠️ 주의사항

Microsoft의 공식 서비스 약관(Microsoft Services Agreement)은 "서비스에 저장된 콘텐츠를 정기적으로 백업하거나 제3자 앱·서비스를 사용하여 저장할 것"을 권고하고 있습니다. Microsoft 스스로도 자사 보관 기능을 백업의 대체재로 보지 않는다는 의미입니다.

규정 준수 보관 vs 전용 백업 솔루션: 상세 비교

아래 표는 Exchange Online 규정 준수 보관과 전용 M365 백업 솔루션(Acronis Cyber Protect Cloud 등)의 차이를 핵심 항목별로 비교한 것입니다. IT 담당자가 의사결정 시 참고할 수 있도록 실무 관점에서 정리했습니다.

비교 항목규정 준수 보관 (Compliance Archive)전용 M365 백업 솔루션
주요 목적법적 보존, 감사 대응, 사서함 용량 관리데이터 손실 방지, 신속한 복구
특정 시점 복원불가 — 보존된 개별 항목 검색만 가능가능 — 원하는 날짜/시간 기준 전체 또는 부분 복원
복원 세밀도eDiscovery 검색 후 PST 내보내기 수준개별 이메일, 폴더, 전체 사서함 단위 선택 복원
삭제 계정 데이터라이선스 회수/계정 삭제 시 소실 위험백업 보존 기간 내 독립적으로 유지
데이터 저장 위치Microsoft 365 인프라 내부외부 클라우드 또는 온프레미스 (독립적)
랜섬웨어 대응감염 데이터와 보존 데이터가 같은 환경에 존재격리된 백업에서 감염 이전 시점으로 복원 가능
관리 복잡도보존 정책, eDiscovery 설정 등 전문 지식 필요일반적으로 직관적 관리 콘솔 제공
법적 규정 준수보존·감사에 특화 (강점)백업이 주 목적이나, 장기 보관 설정으로 규정 준수 보조 가능
추가 비용E3/E5 또는 Exchange Online Plan 2에 포함별도 구독 비용 발생
Microsoft 장애 시동시에 접근 불가독립 인프라에서 데이터 접근 가능

위 비교에서 알 수 있듯이, 규정 준수 보관과 백업은 서로 대체 관계가 아니라 보완 관계입니다. 법적 보존이 필요하면 규정 준수 보관을, 데이터 복구가 필요하면 전용 백업을 각각 운용해야 합니다. 특히 한국의 개인정보보호법은 개인정보의 안전한 관리(안전성 확보 조치)를 의무화하고 있으며, 개인정보 파기 시에도 복구 불가능한 방법을 요구합니다. 이메일에 포함된 고객 개인정보를 적법하게 관리하려면 보존과 백업을 별도로 설계하는 것이 바람직합니다.

실전 가이드: M365 이메일 데이터 보호 전략 수립 체크리스트

이론적 차이를 이해했다면, 이제 실제로 무엇을 해야 하는지가 중요합니다. 아래는 중소기업 IT 담당자가 Exchange Online 이메일 데이터를 보호하기 위해 점검해야 할 실행 체크리스트입니다.

  1. 현재 보존 정책 점검: Microsoft 365 관리 센터 → Microsoft Purview에서 현재 설정된 보존 정책과 보존 레이블을 확인합니다. 정책이 의도대로 작동하고 있는지, 예외 처리된 사서함은 없는지 검토하세요.
  2. 퇴사자 처리 프로세스 확인: 직원 퇴사 시 라이선스 회수 전에 사서함 데이터가 어떻게 처리되는지 문서화된 절차가 있는지 확인합니다. "계정 삭제 = 데이터 소실"이 현재 프로세스라면 즉시 개선이 필요합니다.
  3. 복구 시나리오별 대응력 평가: "특정 이메일 1건 복구", "사서함 전체를 어제 상태로 복원", "퇴사자의 6개월 전 이메일 검색" 등 실제 발생 가능한 시나리오를 나열하고, 현재 환경에서 각각 대응 가능한지 테스트합니다.
  4. 3-2-1 백업 원칙 적용 여부 확인: 데이터를 3개 이상 복사본으로, 2가지 이상의 미디어에, 1개는 오프사이트에 보관하는 원칙이 M365 데이터에도 적용되고 있는지 점검합니다. 규정 준수 보관만 사용 중이라면 이 원칙을 충족하지 못합니다.
  5. 전용 백업 솔루션 도입 검토: Acronis Cyber Protect Cloud와 같은 M365 전용 백업 솔루션은 Exchange Online, OneDrive, SharePoint, Teams 데이터를 통합적으로 백업하고 세밀한 복원이 가능합니다. 특히 AI 기반 행동 탐지로 랜섬웨어 방어까지 결합한 솔루션을 고려하면 보호 범위를 크게 넓힐 수 있습니다.
  6. 복구 테스트 일정 수립: 백업을 설정해두었더라도 실제 복구가 제대로 되는지 정기적으로(최소 분기 1회) 테스트하지 않으면 의미가 없습니다. 복구 테스트 일정을 캘린더에 고정하세요.
  7. 개인정보보호법 관련 점검: 이메일에 포함된 고객 개인정보의 보존 기간, 파기 절차가 법률 요건에 부합하는지 확인합니다. 백업 데이터 내 개인정보 관리 방안도 함께 수립해야 합니다.

시나리오: 퇴사 후 3개월, 갑자기 필요해진 이메일

한 중소기업에서 영업팀 직원이 퇴사한 지 3개월이 지났습니다. 해당 직원이 담당했던 거래처에서 계약 조건에 대한 분쟁이 발생했고, 당시 주고받은 이메일이 핵심 증거로 필요한 상황이 되었습니다. 그러나 IT 담당자가 확인해보니, 퇴사 처리 시 Microsoft 365 라이선스를 회수하면서 계정이 삭제되었고, 별도의 소송 보존(Litigation Hold) 설정도 없었습니다. 규정 준수 보관 데이터 역시 계정과 함께 사라진 상태였습니다. 만약 전용 백업 솔루션으로 독립적으로 이메일 데이터를 보관하고 있었다면, 퇴사한 직원의 사서함을 검색하여 필요한 이메일을 즉시 추출할 수 있었을 것입니다. 이 시나리오는 가상이지만, 중소기업에서 매우 흔하게 발생하는 유형의 문제입니다.

이 시나리오에서 핵심은 규정 준수 보관이 계정 생존 주기에 종속된다는 점입니다. 계정이 삭제되면 보관 데이터도 함께 사라질 수 있습니다. 반면 독립적인 백업 솔루션은 계정 삭제와 무관하게 설정된 보존 기간 동안 데이터를 유지하므로, 퇴사 후에도 안전하게 데이터에 접근할 수 있습니다.

규정 준수와 백업, 둘 다 필요한 이유: 한국 법률 관점

한국의 개인정보보호법전자문서 및 전자거래 기본법은 각각 다른 관점에서 이메일 데이터 관리를 요구합니다. 개인정보보호법은 보유 기간이 지난 개인정보의 파기를 의무화하는 반면, 세법이나 상법은 거래 관련 증빙 자료를 일정 기간(통상 5~10년) 보존할 것을 요구합니다. 이 상충하는 요구사항을 동시에 만족시키려면, 보존 정책(무엇을 얼마나 오래 보관할 것인가)과 백업 정책(어떻게 안전하게 복구 가능한 상태로 보관할 것인가)을 별도로 설계해야 합니다.

특히 2023년 개정 개인정보보호법 시행 이후 과징금 상한이 대폭 상향되면서, 개인정보 유출이나 관리 소홀에 대한 법적 리스크가 커졌습니다. 이메일을 통해 주고받는 고객 정보, 계약서, 견적서 등이 적절히 보호·관리되지 않으면 법적 책임으로 이어질 수 있습니다. 규정 준수 보관으로 "보존"의 의무를 다하면서, 전용 백업으로 "복구 가능성"을 확보하는 이중 전략이 필요한 이유입니다.

💡 핵심 포인트

규정 준수 보관 = 법적 보존 의무 충족에 특화 | 전용 백업 = 데이터 복구·비즈니스 연속성에 특화. 둘 중 하나만 있으면 반쪽짜리 보호입니다. 양쪽을 모두 운용해야 진정한 데이터 보호가 완성됩니다.

마무리: M365 이메일 보호, KDSys와 함께 시작하세요

정리하면, Exchange Online의 규정 준수 보관은 법적 보존과 감사 대응에 유용하지만, 특정 시점 복원, 삭제 계정 복구, 랜섬웨어 대응, 독립적 데이터 보관이라는 핵심 백업 요구사항을 충족하지 못합니다. "보관하고 있으니 안전하다"는 착각에서 벗어나, 규정 준수 보관과 전용 백업을 함께 운용하는 것이 올바른 데이터 보호 전략입니다.

KDSys는 Acronis Cyber Protect Cloud 공인 파트너로서, 한국 중소기업의 실정에 맞는 M365 백업 솔루션을 설계하고 운영합니다. Exchange Online은 물론 OneDrive, SharePoint, Teams까지 통합 백업이 가능하며, AI 기반 보안 기능과 결합하여 랜섬웨어 방어와 데이터 백업을 하나의 플랫폼에서 관리할 수 있습니다. 복잡한 설정이나 초기 구축은 KDSys 기술팀이 지원하므로, 전담 IT 인력이 부족한 중소기업도 안심하고 도입할 수 있습니다.

지금 M365 이메일 보호 현황이 걱정되신다면, KDSys에 무료 상담을 요청하세요. 현재 환경을 진단하고, 규정 준수 보관과 백업이 제대로 갖춰져 있는지 함께 점검해 드립니다. 데이터를 잃고 나서야 백업의 중요성을 깨닫는 일이 없도록, 지금 바로 행동하세요.