"우리는 OneDrive 쓰니까 백업은 따로 안 해도 되죠?" — 중소기업 IT 담당자에게 가장 많이 듣는 말 중 하나입니다. Microsoft 365를 도입한 기업 상당수가 OneDrive의 버전 히스토리(Version History) 기능을 사실상의 백업으로 간주합니다. 파일을 실수로 수정해도 이전 버전으로 되돌릴 수 있고, 삭제해도 휴지통에서 복구할 수 있으니 '충분하다'고 생각하는 것이죠.
하지만 실제 데이터 유실 사고를 겪은 기업들의 이야기는 다릅니다. 랜섬웨어에 감염되어 수천 개의 파일이 암호화되었을 때, 퇴사자의 계정이 삭제되면서 수년간의 업무 자료가 사라졌을 때, 또는 보존 정책이 변경되면서 과거 버전이 일괄 삭제되었을 때 — 버전 히스토리만으로는 복구가 불가능한 상황이 생각보다 빈번합니다. 오늘은 OneDrive 버전 히스토리의 구조적 한계를 정확히 짚고, 왜 별도 백업이 필요한지 구체적으로 살펴보겠습니다.
OneDrive 버전 히스토리, 정확히 무엇을 해주는 기능인가
먼저 오해를 풀기 위해 버전 히스토리의 동작 방식을 정확히 이해할 필요가 있습니다. OneDrive 버전 히스토리는 파일이 수정될 때마다 이전 상태의 사본을 자동으로 보관해주는 기능입니다. Office 파일(Word, Excel, PowerPoint)의 경우 편집이 발생할 때마다, 그 외 파일은 저장 시점마다 버전이 생성됩니다.
이 기능은 "실수로 문서 내용을 잘못 수정했을 때" 이전 상태로 되돌리는 데 매우 유용합니다. 또한 OneDrive에는 1차 휴지통(93일)과 2차 휴지통(관리자용)이 존재하여 삭제된 파일도 일정 기간 복구할 수 있습니다. 여기까지만 보면 꽤 괜찮은 보호 체계처럼 보입니다.
그러나 이 기능의 설계 목적은 명확합니다. 협업 중 발생하는 편집 충돌과 단순 실수를 해결하기 위한 것이지, 재해 복구(Disaster Recovery)나 장기 데이터 보존을 위한 백업 솔루션이 아닙니다. Microsoft 스스로도 서비스 약관에서 이 점을 명시하고 있습니다. Microsoft 365 서비스 약관의 책임 한계 조항을 보면, 고객 데이터의 보호 책임은 궁극적으로 고객에게 있다는 점을 분명히 하고 있습니다.
버전 히스토리가 무력화되는 5가지 실전 시나리오
1. 랜섬웨어 대량 암호화 공격
랜섬웨어가 OneDrive 동기화 폴더의 파일을 암호화하면, 암호화된 파일이 클라우드로 동기화되면서 암호화된 버전이 최신 버전으로 기록됩니다. 이론적으로는 이전 버전으로 복원할 수 있지만, 수천~수만 개의 파일을 하나하나 수동으로 이전 버전 복원하는 것은 현실적으로 불가능에 가깝습니다. OneDrive의 "파일 복원" 기능으로 특정 시점으로 전체 롤백할 수 있지만, 이 기능에도 최대 30일이라는 시간 제한이 있으며, 공격 탐지가 늦어지면 복원 시점 자체가 존재하지 않을 수 있습니다.
2. 사용자 계정 삭제 시 데이터 영구 소실
퇴사자가 발생하면 IT 담당자는 해당 Microsoft 365 라이선스를 회수하기 위해 계정을 삭제합니다. 이때 해당 계정의 OneDrive 데이터는 관리자에게 위임되거나, 일정 기간 후 영구 삭제됩니다. Microsoft의 기본 보존 기간이 지나면 버전 히스토리를 포함한 모든 데이터가 복구 불가능하게 사라집니다. 직원 이직이 잦은 중소기업에서는 이 문제가 반복적으로 발생합니다.
3. 버전 수 제한과 자동 삭제
OneDrive는 파일당 보관할 수 있는 버전 수에 제한이 있습니다. 제한에 도달하면 가장 오래된 버전부터 자동 삭제됩니다. 빈번하게 수정되는 Excel 대장이나 프로젝트 문서의 경우, 정작 필요한 과거 시점의 버전이 이미 삭제된 후일 수 있습니다. 이것은 사용자가 인지하지 못하는 사이에 발생하기 때문에 더 위험합니다.
4. 관리자 또는 내부자의 악의적 삭제
내부 보안 위협은 외부 공격만큼이나 심각합니다. 관리자 권한을 가진 사용자가 의도적으로 파일을 삭제하고 휴지통까지 비운다면, 버전 히스토리도 함께 사라집니다. 또한 SharePoint 관리자가 사이트 컬렉션 자체를 삭제하면 관련 OneDrive 데이터도 연쇄적으로 삭제될 수 있습니다. 별도 백업이 없으면 이런 상황에서 복구할 방법이 전혀 없습니다.
5. 규제 준수를 위한 장기 보존 요구
한국의 개인정보보호법, 전자금융감독규정, 각종 산업별 규정은 특정 데이터를 수년간 보존하도록 요구합니다. 의료, 금융, 법무 분야에서는 관련 문서를 5년~10년 이상 보관해야 하는 경우도 있습니다. OneDrive 버전 히스토리는 이러한 장기 보존 및 감사 추적(Audit Trail) 요구사항을 충족하지 못합니다. 규제 감사 시 특정 시점의 데이터를 정확히 제출해야 하는데, 버전 히스토리로는 이를 보장할 수 없습니다.
Microsoft의 "공동 책임 모델(Shared Responsibility Model)"에 따르면, Microsoft는 인프라 가용성(서비스 중단 방지)을 책임지지만, 데이터 자체의 보호·백업·복구는 고객의 책임입니다. 버전 히스토리와 휴지통은 부가 편의 기능이지, SLA로 보장되는 백업 서비스가 아닙니다.
OneDrive 버전 히스토리 vs. 전문 M365 백업 솔루션 비교
| 비교 항목 | OneDrive 버전 히스토리 | 전문 M365 백업 솔루션 |
|---|---|---|
| 설계 목적 | 편집 실수 복구, 협업 지원 | 재해 복구, 데이터 보호, 규제 준수 |
| 보호 범위 | OneDrive 파일만 | OneDrive + Exchange + SharePoint + Teams 등 전체 M365 |
| 보존 기간 | 버전 수 제한, 휴지통 93일 | 무제한 또는 정책 기반 장기 보존 가능 |
| 랜섬웨어 대응 | 30일 이내 전체 롤백 가능 (수동) | 감염 이전 시점으로 자동화된 대량 복원 |
| 계정 삭제 시 | 보존 기간 초과 시 영구 삭제 | 계정 삭제와 무관하게 백업 데이터 유지 |
| 세분화된 복원 | 파일 단위만 가능 | 메일, 캘린더, 연락처, 사이트 등 항목별 세분화 복원 |
| 감사 및 검색 | 제한적 | 특정 시점·키워드 기반 검색 및 eDiscovery 지원 |
| 관리 독립성 | M365 관리자 권한에 종속 | 별도 관리 콘솔, M365 관리자 권한과 분리 가능 |
버전 히스토리는 "편집 실수 되돌리기" 도구이고, 백업 솔루션은 "비즈니스 연속성 보장" 도구입니다. 이 둘은 보완 관계이지, 대체 관계가 아닙니다.
M365 별도 백업 도입 시 반드시 확인할 체크리스트
별도 백업의 필요성을 인식했다면, 다음 체크리스트를 기준으로 솔루션을 평가하고 도입 계획을 세워보시기 바랍니다.
- 보호 범위 확인 — OneDrive뿐 아니라 Exchange Online(이메일), SharePoint Online, Microsoft Teams 대화 및 파일까지 백업되는지 확인하세요. M365 데이터는 여러 서비스에 분산되어 있으므로 하나만 보호하면 의미가 반감됩니다.
- 백업 빈도 설정 — 하루 1회 백업이면 충분한지, 아니면 하루 여러 차례 백업이 필요한지 업무 특성에 맞게 판단하세요. RPO(복구 시점 목표)가 짧을수록 데이터 유실 가능 범위가 줄어듭니다.
- 보존 정책 수립 — 업종별 법적 보존 기간을 확인하고 그에 맞는 보존 정책을 설정하세요. 개인정보보호법상 파기 의무와 보존 의무가 동시에 존재할 수 있으므로 법무 검토도 병행하는 것이 좋습니다.
- 복원 테스트 수행 — 백업은 했지만 복원이 안 되면 무용지물입니다. 분기별 1회 이상 실제 복원 테스트를 수행하고 결과를 문서화하세요.
- 관리 권한 분리 — M365 글로벌 관리자와 백업 관리자 권한을 분리하여, 내부자 위협 상황에서도 백업 데이터가 보호되도록 설계하세요.
- 암호화 및 저장 위치 — 백업 데이터가 전송 중·저장 중 암호화되는지, 그리고 데이터 저장 위치가 국내 규정에 부합하는지 확인하세요. 해외 데이터센터 저장 시 개인정보 국외이전 이슈가 발생할 수 있습니다.
- 비용 대비 효과 분석 — 사용자당 월 비용과 데이터 유실 시 발생할 업무 중단 비용·법적 비용을 비교하세요. 대부분의 경우 백업 비용은 사고 복구 비용의 극히 일부에 불과합니다.
시나리오: 퇴사자 계정 삭제 후 핵심 프로젝트 자료 소실
한 중소기업에서 핵심 프로젝트를 담당하던 직원이 퇴사한 후, IT 담당자는 라이선스 비용을 절약하기 위해 30일 후 해당 M365 계정을 삭제했습니다. 3개월 뒤 후임자가 해당 프로젝트의 설계 문서와 고객 커뮤니케이션 이력이 필요해졌으나, OneDrive 데이터는 이미 영구 삭제된 상태였습니다. Exchange 사서함 역시 복구할 수 없었습니다. 프로젝트 일정이 수 주간 지연되었고, 고객사와의 과거 합의 내용을 확인할 방법이 없어 계약 분쟁 리스크까지 발생했습니다. 만약 별도 M365 백업 솔루션이 있었다면, 계정 삭제와 무관하게 저장된 백업에서 필요한 파일과 메일을 즉시 복원할 수 있었을 것입니다.
이러한 시나리오는 결코 특수한 상황이 아닙니다. 직원 이직이 잦은 중소기업일수록, 그리고 라이선스 비용에 민감할수록 더 빈번하게 발생할 수 있는 현실적인 리스크입니다.
Acronis를 활용한 M365 백업 전략
Acronis Cyber Protect Cloud는 M365 환경을 위한 통합 백업 기능을 제공합니다. Exchange Online 사서함, OneDrive, SharePoint Online, Teams를 하나의 콘솔에서 관리하며, 별도의 복잡한 인프라 구축 없이 클라우드 기반으로 빠르게 도입할 수 있습니다.
특히 중소기업에 유용한 핵심 특성을 살펴보면 다음과 같습니다.
- 이미지 기반 백업과 세분화 복원 동시 지원 — 전체 사서함이나 OneDrive를 통째로 복원할 수도 있고, 특정 이메일 한 통이나 파일 하나만 골라서 복원할 수도 있습니다.
- AI 기반 행동 탐지 통합 — 백업과 보안이 하나의 플랫폼에서 작동하므로, 랜섬웨어 감염 징후가 탐지되면 감염 이전 시점의 백업에서 자동 복원하는 워크플로우를 구성할 수 있습니다.
- 정책 기반 보존 관리 — 부서별·데이터 유형별로 보존 기간을 차등 설정할 수 있어, 법적 보존 요구사항과 스토리지 비용 최적화를 동시에 달성할 수 있습니다.
- 관리 권한 독립 — M365 관리자 계정이 탈취되더라도 백업 콘솔은 별도 인증 체계로 보호되므로, 백업 데이터의 무결성이 유지됩니다.
M365 백업은 "해야 할까 말까"의 문제가 아니라, "언제 사고가 터질 것인가"의 문제입니다. 사고가 터진 후에는 아무리 좋은 솔루션이라도 과거 데이터를 되살릴 수 없습니다. 백업은 사고 전에만 의미가 있습니다.
마무리: OneDrive 버전 히스토리는 보험이 아닙니다
정리하면, OneDrive 버전 히스토리는 일상적인 편집 실수를 되돌리는 편의 기능으로서 분명히 가치가 있습니다. 하지만 랜섬웨어 공격, 계정 삭제, 내부자 위협, 규제 준수 요구사항 등 비즈니스 크리티컬한 상황에서는 구조적 한계가 뚜렷합니다. 이 기능을 '백업'이라고 부르는 것은 마치 자동차의 사이드미러를 블랙박스라고 부르는 것과 같습니다 — 용도와 목적이 완전히 다릅니다.
중소기업일수록 데이터 유실의 충격은 더 큽니다. 대기업처럼 전담 복구 팀이나 법무 팀이 있는 것이 아니기 때문에, 사전에 자동화된 백업 체계를 갖추는 것이 가장 현실적이고 비용 효율적인 대응입니다.
KDSys는 Acronis 공식 파트너로서, 귀사의 Microsoft 365 환경에 최적화된 백업 전략을 설계하고 구축해 드립니다. 현재 사용 중인 M365 환경 분석부터 백업 정책 수립, 도입 후 정기 복원 테스트까지 원스톱으로 지원합니다. 버전 히스토리에만 의존하고 있는 지금이 바로 별도 백업을 검토할 적기입니다. KDSys에 무료 상담을 요청하시고, 우리 회사 데이터가 안전한지 점검 받아보세요.
