본문 바로가기
M365 백업

Microsoft 365 공유 책임 모델 완벽 가이드: M365 데이터 보호, 어디까지가 내 책임인가?

KDSys 보안팀
2026-06-24

"클라우드니까 안전하다"는 위험한 착각입니다

많은 중소기업이 Microsoft 365(이하 M365)를 도입하면서 "클라우드에 데이터가 있으니 알아서 보호되겠지"라고 생각합니다. Exchange Online으로 이메일을 보내고, OneDrive에 문서를 저장하고, SharePoint로 협업하면서, 이 모든 데이터가 Microsoft의 강력한 인프라 안에서 영원히 안전할 것이라 믿는 것입니다.

하지만 현실은 다릅니다. Microsoft는 자사 서비스 약관에서 "데이터를 정기적으로 백업하고, 타사 앱과 서비스를 활용하여 데이터를 보관할 것"을 명시적으로 권고하고 있습니다. 즉, Microsoft는 인프라의 가용성은 책임지지만, 여러분의 데이터 자체는 여러분의 책임이라는 뜻입니다. 이것이 바로 공유 책임 모델(Shared Responsibility Model)의 핵심입니다.

실제로 M365 환경에서 데이터 손실은 생각보다 빈번하게 발생합니다. 직원의 실수로 인한 삭제, 퇴사 시 사서함 영구 삭제, 랜섬웨어 감염으로 인한 OneDrive 파일 암호화, 그리고 보존 정책 만료로 인한 자동 삭제까지—이 모든 상황에서 Microsoft가 데이터를 복구해주지 않습니다. 이 글에서는 공유 책임 모델의 구조를 정확히 이해하고, 중소기업이 실제로 취해야 할 M365 데이터 보호 전략을 구체적으로 안내해 드리겠습니다.

공유 책임 모델이란? Microsoft와 고객의 책임 경계

공유 책임 모델은 클라우드 서비스에서 서비스 제공자와 사용자 각각이 보호해야 할 영역을 명확히 구분하는 개념입니다. 이는 Microsoft뿐 아니라 AWS, Google Cloud 등 모든 주요 클라우드 플랫폼이 채택하고 있는 보편적인 원칙입니다.

쉽게 비유하면, 아파트에 사는 것과 같습니다. 건물 관리(구조, 엘리베이터, 수도 배관)는 관리사무소가 책임지지만, 집 안의 가구, 귀중품, 개인 물건은 입주민이 직접 관리해야 합니다. 아파트가 화재에 대비해 스프링클러를 설치하더라도, 집 안에 귀중품 보험을 드는 것은 입주민의 몫인 것과 같은 원리입니다.

Microsoft가 책임지는 영역

  • 인프라 가용성: 데이터센터의 물리적 보안, 전력 공급, 네트워크 연결을 유지합니다. Microsoft는 서비스 수준 계약(SLA)을 통해 높은 가동률을 보장합니다.
  • 플랫폼 보안: 운영체제 패치, 하이퍼바이저 보안, 네트워크 수준의 DDoS 방어 등 기반 기술 계층을 보호합니다.
  • 물리적 재해 대비: 지리적으로 분산된 데이터센터 간 복제를 통해 자연재해나 하드웨어 장애에 대비합니다.
  • 기본적인 데이터 복제: 하드웨어 장애 시 서비스 연속성을 위한 인프라 수준의 데이터 복제를 수행합니다. 그러나 이는 사용자를 위한 백업이 아닌, Microsoft 서비스 운영을 위한 복제입니다.

고객(기업)이 책임져야 하는 영역

  • 데이터 보호 및 백업: 이메일, 파일, SharePoint 사이트의 실질적인 백업과 복구는 고객의 책임입니다.
  • 접근 권한 관리: 누가 어떤 데이터에 접근할 수 있는지, MFA(다중 인증) 설정, 계정 보안은 고객이 관리해야 합니다.
  • 보존 정책 및 규정 준수: 한국의 개인정보보호법, 전자문서법 등 법적 요구사항에 따른 데이터 보존 기간 설정은 고객의 의무입니다.
  • 랜섬웨어·악성코드 대응: 사용자 계정을 통해 유입되는 위협으로부터 데이터를 보호하는 것은 고객의 영역입니다.
⚠️ 주의사항

Microsoft의 휴지통과 보존 정책은 백업이 아닙니다. Exchange Online의 삭제된 항목은 기본적으로 일정 기간(기본 14일, 최대 30일) 후 영구 삭제됩니다. OneDrive의 휴지통도 마찬가지입니다. 보존 기간이 지나면 Microsoft에 요청해도 데이터를 복구할 수 없습니다.

M365 데이터 손실이 발생하는 6가지 실제 시나리오

"우리 회사는 괜찮겠지"라는 생각이 가장 위험합니다. M365 환경에서 데이터 손실은 대부분 기술적 장애가 아닌 사람과 정책의 문제에서 비롯됩니다. 아래는 중소기업에서 실제로 빈번하게 발생하는 데이터 손실 시나리오입니다.

시나리오원인Microsoft가 복구해 주는가?영향 범위
직원 실수로 파일/메일 삭제드래그 실수, 잘못된 정리 작업보존 기간 내에만 가능개별 파일~폴더 단위
퇴사자 계정 삭제IT 관리자가 퇴사 처리 시 계정과 데이터 함께 삭제삭제 후 30일 이내에만 일부 가능해당 사용자의 전체 데이터
랜섬웨어 감염피싱 메일을 통한 악성코드가 OneDrive 동기화 파일 암호화불가 (OneDrive 버전 기록은 제한적)동기화된 전체 파일
보존 정책 만료설정된 보존 기간 종료 후 자동 영구 삭제불가정책 적용 범위 전체
악의적 내부자불만을 가진 직원이 의도적으로 데이터 삭제 또는 유출불가해당 직원 접근 권한 범위 전체
타사 앱 연동 오류M365 API로 연결된 타사 앱이 데이터를 잘못 덮어쓰기 또는 삭제불가연동된 서비스 범위

이 표에서 확인할 수 있듯이, Microsoft가 데이터를 복구해줄 수 있는 경우는 매우 제한적이고 시간 제약이 있습니다. 특히 보존 기간이 지났거나, 랜섬웨어처럼 데이터 자체가 변조된 경우에는 사실상 복구가 불가능합니다.

시나리오: 퇴사자 계정 삭제 후 3개월 만에 발견된 데이터 손실

흔히 발생하는 상황을 예로 들어보겠습니다. 영업팀 핵심 인력이 퇴사하면서 IT 담당자가 M365 라이선스 비용 절감을 위해 계정을 삭제합니다. 3개월 후, 해당 직원이 관리하던 주요 거래처와의 계약 관련 이메일과 OneDrive에 저장된 제안서가 필요해집니다. 하지만 계정 삭제 후 30일이 지났기 때문에 Microsoft에서는 어떤 방법으로도 해당 데이터를 복구할 수 없습니다. 별도의 백업 솔루션이 있었다면, 퇴사자의 데이터를 보존 기간에 관계없이 즉시 복구하거나, 다른 직원의 사서함으로 내보낼 수 있었을 것입니다.

이 시나리오는 어느 한 기업만의 문제가 아닙니다. 중소기업에서 퇴사 처리 시 데이터 보존 절차가 제대로 갖춰지지 않은 경우가 많으며, 이러한 상황은 비일비재하게 반복됩니다. 특히 한국의 개인정보보호법에서는 일부 업종의 경우 고객 관련 데이터를 법정 보존 기간 동안 유지하도록 요구하고 있어, 무분별한 데이터 삭제는 법적 리스크까지 초래할 수 있습니다.

M365 기본 보호 기능의 한계 vs. 전용 백업 솔루션 비교

Microsoft도 데이터 보호를 위한 기본 기능을 제공하고 있습니다. 휴지통, 버전 기록, 보존 정책, 소송 보존(Litigation Hold) 등이 그것입니다. 하지만 이러한 기능들은 "백업"이 아닌 "제한적 복구 도구"에 가깝습니다. 진정한 백업 솔루션과 어떤 차이가 있는지 비교해 보겠습니다.

비교 항목M365 기본 기능전용 M365 백업 솔루션
보존 기간제한적 (삭제 후 14~30일, 정책 설정 시 연장 가능하나 라이선스 추가 비용 발생)기업이 원하는 기간만큼 무제한 보존 가능
복구 단위항목 단위 복구 제한적, 특정 시점 복원(Point-in-Time) 불가개별 메일, 파일, 사이트는 물론 특정 시점 전체 복원 가능
랜섬웨어 대응OneDrive 파일 복원 기능 있으나, 감염 시점 이전으로의 정확한 복원 어려움감염 전 시점으로 정확한 롤백 가능
퇴사자 데이터계정 삭제 시 데이터도 함께 삭제 (30일 유예)계정 삭제 여부와 무관하게 백업 데이터 영구 보존
검색 및 내보내기eDiscovery 도구 제공하나 설정과 사용이 복잡직관적 검색 UI로 빠른 데이터 탐색 및 내보내기
관리 편의성보존 정책, DLP 등 다수 정책을 개별 설정해야 함단일 콘솔에서 백업 정책 통합 관리
법적 규정 준수보존 정책 설정이 복잡하고, 실수로 해제될 위험 있음백업 데이터가 독립적으로 보존되어 규정 준수 용이
💡 핵심 포인트

M365의 보존 정책이나 소송 보존 기능을 백업 대용으로 사용하는 기업이 많습니다. 하지만 이 기능들은 관리자가 실수로 정책을 해제하면 데이터가 즉시 삭제될 수 있고, 특정 시점으로의 복원(Point-in-Time Restore)이 불가능하며, 별도의 고급 라이선스(E3/E5 등)가 필요한 경우가 많습니다. 진정한 데이터 보호를 위해서는 M365 외부에 독립적인 백업 복사본을 유지하는 것이 모범 사례입니다.

중소기업을 위한 M365 데이터 보호 실전 체크리스트

공유 책임 모델을 이해했다면, 이제 실제로 어떤 조치를 취해야 하는지가 중요합니다. 아래 체크리스트를 통해 현재 우리 회사의 M365 데이터 보호 수준을 점검해 보세요.

  1. 현재 보존 정책 현황 파악하기
    M365 관리 센터에서 현재 설정된 보존 정책을 확인하세요. 어떤 데이터가 얼마 동안 보존되는지, 만료 후 어떤 조치가 취해지는지를 명확히 파악해야 합니다. 놀랍게도 많은 기업이 기본 설정 그대로 사용하고 있습니다.
  2. 퇴사자 데이터 처리 프로세스 수립하기
    직원 퇴사 시 M365 계정을 즉시 삭제하지 말고, 데이터 백업 → 필요한 데이터 이관 → 보존 기간 확보 → 계정 삭제 순서로 처리하는 표준 절차를 문서화하세요. 라이선스 비용이 아까워 계정을 바로 삭제하면, 나중에 복구 비용이 훨씬 클 수 있습니다.
  3. 3-2-1 백업 원칙 적용하기
    중요 데이터는 최소 3개의 복사본을, 2가지 다른 매체에, 1개는 오프사이트(외부)에 보관하는 것이 업계 표준 원칙입니다. M365 데이터의 경우, Microsoft 클라우드(원본) + 별도 백업 솔루션(2차 복사본)을 유지하는 것이 최소한의 구성입니다.
  4. 자동 백업 스케줄 설정하기
    수동 백업에 의존하면 반드시 누락이 발생합니다. 전용 백업 솔루션을 통해 Exchange Online, OneDrive, SharePoint, Teams 데이터를 매일 자동으로 백업하도록 스케줄을 설정하세요.
  5. 복구 테스트 정기적으로 수행하기
    백업이 제대로 작동하는지 확인하지 않으면, 정작 필요할 때 복구에 실패할 수 있습니다. 분기별 1회 이상 실제 복구 테스트를 수행하고, 복구 소요 시간과 데이터 무결성을 검증하세요.
  6. 법적 보존 요구사항 확인하기
    업종에 따라 이메일, 계약 문서, 고객 데이터의 법정 보존 기간이 다릅니다. 한국의 개인정보보호법, 전자문서 및 전자거래 기본법, 국세기본법 등에서 요구하는 보존 기간을 확인하고, 백업 보존 정책에 반영하세요.
  7. 보안 인식 교육 실시하기
    데이터 손실의 상당 부분은 직원의 실수나 피싱 공격에서 비롯됩니다. 정기적인 보안 인식 교육을 통해 의심스러운 메일 신고, 파일 삭제 전 확인 습관 등을 내재화하세요.

Acronis를 활용한 M365 데이터 보호 전략

M365 전용 백업 솔루션을 선택할 때는 몇 가지 핵심 기준을 고려해야 합니다. 백업 범위의 포괄성(Exchange, OneDrive, SharePoint, Teams를 모두 지원하는지), 복구의 유연성(개별 항목부터 전체 계정까지 다양한 단위로 복원 가능한지), 관리의 간편함(IT 전담 인력이 부족한 중소기업도 쉽게 운영할 수 있는지)이 핵심입니다.

Acronis Cyber Protect Cloud는 이러한 요구사항을 충족하는 통합 솔루션으로, M365 환경의 데이터 보호에 특화된 기능을 제공합니다. 클라우드-투-클라우드(Cloud-to-Cloud) 방식으로 M365 데이터를 Acronis 클라우드에 자동 백업하며, 웹 기반 관리 콘솔에서 백업과 복구를 직관적으로 수행할 수 있습니다.

특히 Acronis는 백업 기능에 AI 기반 행동 탐지 기술을 통한 랜섬웨어 방어를 결합하여, 단순히 데이터를 보관하는 것을 넘어 백업 데이터 자체가 랜섬웨어에 의해 암호화되는 것을 방지합니다. 이는 "백업했는데 백업 파일도 감염됐다"는 최악의 상황을 예방하는 데 핵심적인 역할을 합니다.

💡 핵심 포인트

M365 데이터 보호는 단순한 백업을 넘어 사이버 보안과 통합되어야 합니다. 백업 데이터가 랜섬웨어에 감염되면 백업의 의미가 없기 때문입니다. Acronis는 백업 + 보안을 하나의 플랫폼에서 제공하여, 중소기업이 별도의 보안 솔루션을 추가로 도입하지 않아도 포괄적인 데이터 보호 체계를 구축할 수 있게 합니다.

지금 바로 M365 데이터 보호 체계를 점검하세요

이 글에서 살펴본 핵심을 다시 정리하겠습니다.

  • Microsoft는 인프라를 책임지지만, 데이터는 고객이 책임져야 합니다. 이것이 공유 책임 모델의 본질입니다.
  • M365의 기본 보존 기능은 진정한 백업이 아니며, 보존 기간 만료·랜섬웨어·퇴사자 처리 등 다양한 상황에서 데이터 손실이 발생할 수 있습니다.
  • 중소기업도 전용 M365 백업 솔루션을 도입하여 데이터를 독립적으로 보호하고, 법적 규정 준수와 비즈니스 연속성을 확보해야 합니다.

KDSys는 Acronis 공인 파트너로서, M365 데이터 보호 컨설팅부터 Acronis Cyber Protect Cloud 도입, 초기 설정, 운영 지원까지 원스톱으로 지원합니다. 현재 우리 회사의 M365 데이터가 제대로 보호되고 있는지 점검이 필요하시다면, KDSys에 무료 상담을 요청해 주세요. 전문 엔지니어가 현재 환경을 진단하고, 기업 규모와 예산에 맞는 최적의 데이터 보호 방안을 제안해 드립니다.

데이터를 잃고 난 후에 백업의 중요성을 깨닫는 것은 너무 늦습니다. 지금이 M365 데이터 보호 체계를 점검할 가장 좋은 시점입니다.