본문 바로가기
M365 백업

Exchange Online 규정 준수 보관 vs 백업: 차이점과 올바른 데이터 보호 전략

KDSys 기술팀
2026-06-26

"우리 회사는 Microsoft 365를 쓰고 있으니까 이메일 백업은 걱정 없다"— 이 말을 한 번이라도 해본 적 있다면, 지금 이 글을 끝까지 읽으셔야 합니다. 실제로 많은 중소기업 IT 담당자들이 Exchange Online에 포함된 규정 준수 보관(Compliance Archive) 기능을 '백업'과 동일하게 여기고 있습니다. 하지만 이 두 가지는 목적, 작동 방식, 보호 범위가 완전히 다릅니다.

Microsoft의 공식 서비스 약관(Microsoft Services Agreement)에서도 Microsoft는 고객 데이터의 정기적 백업을 책임지지 않으며, 데이터 보호는 고객의 책임임을 명시하고 있습니다. 실수로 삭제된 이메일, 퇴직자 계정 해지 후 사라진 데이터, 랜섬웨어로 암호화된 사서함— 이런 상황에서 규정 준수 보관이 여러분을 구해줄 수 있을까요? 결론부터 말하면, 아닙니다.

이 글에서는 Exchange Online의 규정 준수 보관과 백업이 어떻게 다른지 명확하게 구분하고, 한국 중소기업 환경에서 실질적으로 이메일 데이터를 보호하기 위해 무엇을 해야 하는지 구체적으로 안내합니다.

규정 준수 보관(Compliance Archive)이란 정확히 무엇인가

Exchange Online의 규정 준수 보관, 또는 In-Place Archive라고도 불리는 이 기능은 기본적으로 이메일 보존(Retention)을 위한 도구입니다. 핵심 목적은 법적·규제적 요구사항에 따라 이메일을 일정 기간 삭제되지 않도록 유지하는 것입니다. 한국의 경우 개인정보보호법, 전자상거래법 등에서 특정 커뮤니케이션 기록의 보존 기간을 규정하고 있으며, 이러한 법적 의무를 충족하기 위한 기능이 바로 규정 준수 보관입니다.

구체적으로 이 기능은 다음과 같이 작동합니다. 사용자의 기본 사서함이 용량 한도에 가까워지면, 오래된 이메일을 자동으로 보관 사서함(Archive Mailbox)으로 이동시킵니다. 관리자는 보존 정책(Retention Policy)을 설정하여 특정 기간 동안 이메일이 삭제되지 않도록 잠금(Hold)을 걸 수 있습니다. 또한 소송 보존(Litigation Hold)이나 eDiscovery를 통해 법적 분쟁 시 관련 이메일을 검색하고 보존할 수도 있습니다.

여기서 핵심적으로 이해해야 할 점은, 이 모든 기능이 "삭제 방지"와 "검색"에 초점이 맞춰져 있다는 것입니다. 데이터가 손상되거나, 계정 자체가 삭제되거나, 악성코드에 의해 변조되는 상황에 대한 복구(Recovery) 기능은 설계 목적에 포함되어 있지 않습니다.

⚠️ 주의사항

Exchange Online 라이선스를 해지하면 해당 사용자의 보관 사서함도 함께 삭제됩니다. 퇴직자 처리 시 라이선스를 바로 회수하면, 규정 준수 보관에 저장된 이메일도 복구 불가능한 상태가 될 수 있습니다.

백업은 규정 준수 보관과 무엇이 다른가

백업(Backup)은 데이터의 독립적인 사본을 별도의 위치에 저장하여, 원본 데이터에 어떤 문제가 발생하더라도 특정 시점으로 되돌릴 수 있게 하는 것입니다. 이것이 규정 준수 보관과 근본적으로 다른 점입니다. 규정 준수 보관은 원본 데이터와 동일한 Microsoft 365 환경 안에서 작동하지만, 백업은 해당 환경과 독립적인 별도 저장소에 데이터를 보관합니다.

이 차이가 왜 중요한지를 이해하려면 다음과 같은 시나리오들을 생각해 보면 됩니다. 첫째, 관리자 계정이 해킹되어 사서함 데이터가 의도적으로 삭제된 경우— 규정 준수 보관은 관리자 권한으로 해제할 수 있으므로, 공격자가 보존 정책을 먼저 해제한 후 데이터를 삭제하면 복구할 방법이 없습니다. 반면 별도 백업은 Microsoft 365 환경 밖에 있으므로 영향을 받지 않습니다.

둘째, Microsoft 서비스 자체에 장애가 발생한 경우— 드물지만 Microsoft 365의 대규모 장애 사례는 실제로 보고된 바 있습니다. 이때 규정 준수 보관 역시 같은 플랫폼 위에 있으므로 함께 접근 불가 상태가 됩니다. 셋째, 랜섬웨어가 이메일 데이터를 변조한 경우— 규정 준수 보관은 변조된 데이터를 "원본 그대로" 보존할 뿐, 감염 이전 시점의 깨끗한 데이터를 제공하지 못합니다.

비교 항목규정 준수 보관 (Compliance Archive)별도 백업 솔루션
주요 목적법적·규제적 보존 의무 충족데이터 손실로부터의 복구
데이터 저장 위치Microsoft 365 환경 내부Microsoft 365 외부 별도 저장소
특정 시점 복구 (Point-in-Time)지원하지 않음지원 (날짜·시간 단위 선택 복구)
랜섬웨어 대응변조된 데이터를 그대로 보존감염 이전 시점으로 롤백 가능
퇴직자 데이터 보존라이선스 해지 시 함께 삭제됨라이선스와 무관하게 보존 가능
관리자 계정 탈취 시공격자가 보존 정책 해제 가능별도 인증 체계로 보호
복구 범위보존 정책이 적용된 항목만전체 사서함, 개별 이메일, 첨부파일 등 세분화 복구
추가 비용E3 이상 라이선스에 포함 (E1은 제한적)별도 솔루션 도입 비용 발생

한국 중소기업이 자주 빠지는 3가지 착각

착각 1: "보존 정책을 걸어놨으니 데이터는 안전하다"

보존 정책(Retention Policy)은 사용자가 실수로 이메일을 삭제해도 일정 기간 복구 가능하게 해주는 유용한 기능입니다. 하지만 이것은 "휴지통 보존 기간 연장"에 가깝지, 독립적인 백업과는 다릅니다. 기본적으로 Exchange Online의 삭제된 항목 보존 기간은 14일(최대 30일로 연장 가능)입니다. 이 기간이 지나면 보존 정책이 없는 항목은 영구 삭제됩니다. 또한 보존 정책은 특정 시점의 전체 사서함 상태를 스냅샷으로 저장하는 것이 아니기 때문에, "3일 전 사서함 전체 상태로 돌려주세요"라는 요청에는 대응할 수 없습니다.

착각 2: "Microsoft가 우리 데이터를 백업해주고 있을 것이다"

Microsoft는 인프라 수준의 이중화와 재해 복구를 수행합니다. 이것은 데이터센터 장애, 하드웨어 고장 등 Microsoft 측 인프라 문제에 대비한 것이지, 고객이 실수로 삭제하거나 악성코드로 손상된 데이터를 복구해주는 서비스가 아닙니다. Microsoft는 이를 공동 책임 모델(Shared Responsibility Model)이라고 부르며, 데이터 보호의 최종 책임은 고객에게 있음을 공식적으로 안내하고 있습니다.

착각 3: "우리 회사 규모에서 이메일 백업까지 필요할까"

오히려 중소기업일수록 이메일 데이터 손실의 영향이 더 큽니다. 대기업은 전담 IT 팀, 다중 시스템, 법무팀이 있지만, 중소기업은 이메일이 계약서 보관함, 고객 응대 이력, 프로젝트 기록, 세금 증빙 등 거의 모든 업무 기록의 중심입니다. 개인정보보호법에 따르면 개인정보 처리 기록을 최소 3년간 보존해야 하는 의무도 있으며, 이메일에 포함된 고객 개인정보가 유실될 경우 법적 리스크로 이어질 수 있습니다.

💡 핵심 포인트

규정 준수 보관은 "이메일을 함부로 지우지 못하게 막는 자물쇠"이고, 백업은 "이메일의 복사본을 안전한 별도 금고에 보관하는 것"입니다. 자물쇠가 부서지면 안의 내용물도 사라지지만, 별도 금고의 복사본은 살아남습니다.

올바른 이메일 보호 전략: 5단계 실행 가이드

규정 준수 보관과 백업의 차이를 이해했다면, 이제 실질적인 보호 전략을 수립해야 합니다. 다음은 한국 중소기업 환경에 맞춘 단계별 실행 가이드입니다.

  1. 현재 보존 정책 점검 — Exchange Online 관리 센터에서 현재 적용 중인 보존 정책과 소송 보존 상태를 확인합니다. 보존 정책이 아예 설정되어 있지 않은 기업이 생각보다 많습니다. 규정 준수 보관이 활성화되어 있더라도 이것이 백업을 대체하지 못한다는 점을 경영진에게 명확히 보고합니다.
  2. 라이선스 정리와 퇴직자 데이터 정책 수립 — 퇴직자 발생 시 라이선스를 즉시 해지하면 사서함 데이터가 유실됩니다. 퇴직 전 데이터 내보내기(PST Export) 절차를 수립하거나, 별도 백업 솔루션으로 퇴직자 데이터를 라이선스 없이 보관할 수 있는 체계를 만듭니다.
  3. 별도 백업 솔루션 도입 — Microsoft 365 환경 외부에 이메일 데이터를 자동으로 백업하는 솔루션을 선택합니다. 선택 시 고려할 핵심 기준은 다음과 같습니다: 특정 시점 복구(Point-in-Time Recovery) 지원 여부, 개별 이메일·폴더·사서함 단위의 세분화(Granular) 복구 지원 여부, 한국 내 또는 지정 가능한 데이터 저장 위치, 관리 콘솔의 간편성(전담 IT 인력이 적은 환경 고려).
  4. 복구 테스트 정기 실시 — 백업은 복구가 되어야 의미가 있습니다. 분기 1회 이상 실제 복구 테스트를 실시하여 백업 데이터가 정상적으로 복원되는지 확인합니다. 복구 소요 시간(RTO)과 복구 가능 시점(RPO)을 측정하여 기록으로 남깁니다.
  5. 규정 준수 보관과 백업의 역할 분리 — 규정 준수 보관은 법적 보존 의무와 eDiscovery 용도로 계속 활용하고, 백업은 데이터 손실 복구와 비즈니스 연속성 보장 용도로 운영합니다. 두 기능을 병행해야 규정 준수와 데이터 보호를 동시에 달성할 수 있습니다.

시나리오: 퇴직자 라이선스 해지 후 3개월 만에 필요해진 이메일

영업팀 직원이 퇴사한 후 회사는 비용 절감을 위해 해당 직원의 Microsoft 365 라이선스를 즉시 해지했습니다. 3개월 뒤, 해당 직원이 담당했던 거래처에서 계약 조건 관련 분쟁이 발생했고, 당시 주고받았던 이메일 원문이 증거로 필요해졌습니다. 그러나 라이선스 해지와 함께 사서함과 보관 사서함이 모두 삭제된 상태였습니다. 규정 준수 보관에 저장되어 있던 이메일도 라이선스와 함께 사라졌기 때문에, 회사는 해당 거래의 원래 조건을 입증할 증거를 제시할 수 없는 상황에 놓이게 되었습니다. 만약 별도 백업 솔루션이 있었다면 라이선스 해지와 무관하게 해당 시점의 이메일을 복원할 수 있었을 것입니다.

이 시나리오는 특정 기업의 실제 사례가 아니라, IT 현장에서 흔히 발생할 수 있는 전형적인 상황입니다. 특히 직원 이직이 잦은 중소기업에서는 라이선스 비용 부담 때문에 퇴직자 계정을 빠르게 정리하는 경향이 있어, 이런 위험이 더 높습니다.

Acronis를 활용한 Microsoft 365 이메일 백업의 장점

Acronis는 Microsoft 365 환경을 위한 클라우드 백업 기능을 제공합니다. Exchange Online 사서함뿐만 아니라 OneDrive, SharePoint, Teams 데이터까지 통합적으로 보호할 수 있는 것이 특징입니다. Acronis의 Microsoft 365 백업은 이미지 기반이 아닌 API 기반으로 작동하여 Microsoft의 공식 연동 방식을 통해 안전하게 데이터를 가져옵니다.

특히 중소기업 IT 담당자에게 유용한 점은 단일 관리 콘솔에서 백업 현황을 한눈에 볼 수 있고, 개별 이메일 단위의 세분화된 복구(Granular Recovery)가 가능하다는 것입니다. 전체 사서함을 통째로 복원할 필요 없이, 특정 날짜의 특정 이메일 한 통만 찾아서 복원할 수 있으므로 복구 시간이 크게 단축됩니다. 또한 Acronis의 사이버 보호 플랫폼은 백업 데이터 자체에 대한 AI 기반 악성코드 스캔 기능도 제공하여, 감염된 데이터를 복원하는 2차 피해를 예방할 수 있습니다.

데이터 저장 위치 역시 중요한 고려 사항입니다. 개인정보보호법 및 관련 규정에 따라 개인정보의 국외 이전에 대한 관리 의무가 있으므로, 백업 데이터가 어디에 저장되는지 확인하고 관리할 수 있어야 합니다. Acronis는 전 세계 다양한 데이터센터를 통해 저장 위치를 선택할 수 있는 옵션을 제공합니다.

💡 핵심 포인트

규정 준수 보관은 "보존"을 위한 것이고, Acronis 백업은 "복구"를 위한 것입니다. 두 가지를 함께 운영하는 것이 가장 안전한 Microsoft 365 이메일 보호 전략입니다.

마무리: 규정 준수 보관만으로는 충분하지 않습니다

정리하면, Exchange Online의 규정 준수 보관은 법적 보존 의무를 충족하기 위한 유용한 도구이지만, 데이터 손실에 대한 복구 수단이 아닙니다. 관리자 계정 탈취, 랜섬웨어 감염, 실수로 인한 대량 삭제, 퇴직자 라이선스 해지 등 실제 업무 환경에서 발생할 수 있는 다양한 위험에 대비하려면, Microsoft 365 환경 외부에 독립적인 백업을 반드시 갖추어야 합니다.

KDSys는 Acronis 공인 파트너로서, 한국 중소기업의 IT 환경에 최적화된 Microsoft 365 백업 도입을 지원하고 있습니다. 현재 이메일 보호 현황을 무료로 진단해 드리며, 기업 규모와 라이선스 구성에 맞춘 합리적인 백업 전략을 제안합니다. 규정 준수 보관만 믿고 계셨다면, 지금이 백업 체계를 점검할 적기입니다. KDSys에 문의하여 우리 회사 이메일 데이터가 정말 안전한지 확인해 보세요.