Checklistdata-protection최종 업데이트: 2026. 5. 1.
3-2-1 백업 규칙 완전 정복 — 적용 체크리스트
3-2-1 규칙의 정의부터 변형, 한국 환경 적용 시 고려사항, 구현 체크리스트까지 한 번에 정리한 실전 가이드.
3-2-1 백업 규칙 완전 정복
3-2-1 규칙은 데이터 손실 방지의 핵심 원칙입니다. 이 규칙을 모르면 백업 정책을 수립할 수 없습니다.
3-2-1 규칙의 정의
3: 원본 + 최소 3개의 백업 복사본 보유
(총 4개 데이터 인스턴스)
2: 최소 2가지 다른 저장 매체 사용
(예: 디스크 + 테이프, 또는 HDD + SSD + 클라우드)
1: 최소 1개의 백업을 오프사이트(지역 분산)에 보관
(사무실 화재·침수·도난 등 물리적 재해 대비)
3-2-1 규칙의 정당성
문제 1: 단일 백업 저장소의 위험
- 문제: NAS에만 백업 → NAS 장애 또는 랜섬웨어 = 전체 손실
- 해결: 최소 3개 복사본으로 1~2개 손실해도 복구 가능
문제 2: 같은 매체만 사용 시의 한계
- 문제: 모두 HDD → 동일 배치 결함 또는 펌웨어 버그 = 동시 다중 실패
- 해결: 다른 제조사·매체·기술 조합으로 상관관계 없는 실패 대비
문제 3: 오프사이트 백업 부재
- 문제: 모두 사무실 내 → 화재·수해·도난 = 전체 손실
- 해결: 원격지(클라우드·다른 지점) 백업으로 지역 재해 대비
3-2-1 규칙의 변형
| 규칙명 | 정의 | 용도 | 복잡도 |
|---|---|---|---|
| 3-2-1 | 원본 + 3복사 / 2매체 / 1오프 | 중소규모 | 낮음 |
| 3-2-1-1 | + 1개 오프사이트 증분 백업 | 금융·의료 | 중간 |
| 3-2-1-1-0 | + 공기 격리(에어갭) 백업 | 랜섬웨어 대비 강화 | 높음 |
| 4-3-2 | 4복사 / 3매체 / 2오프 | 매우 중요 데이터 | 매우 높음 |
한국 공공·금융 환경에서의 적용
공공기관 정보보안 기본 지침
- "중요 정보에 대한 정기적 백업" 의무
- "별도 장소에 백업 보관" 명시
- 3-2-1 규칙이 사실상 표준
금융감독 기본 지침
- "재해복구 계획 수립 및 정기 검증" 의무
- "클라우드 기반 DR" 인정 (단, 국내·해외 분리)
- 3-2-1 이상의 지리적 분산 권장
N²SF 정렬 시 고려사항
- C등급 (기밀): 국내·오프프레미스 고집 → 3-2-1 + 에어갭 필수
- S등급 (민감): 클라우드 백업 부분 허용 → 3-2-1 + 클라우드 1곳
- O등급 (공개): 클라우드 백업만 해도 됨 → 2-2-1 (간략화 가능)
3-2-1 구현 체크리스트
1단계: 원본 + 3개 복사본 확보
- 원본: 운영 중인 프로덕션 환경
- 복사본 1: 온프레미스 NAS/SAN (일일 증분 백업)
- 복사본 2: 온프레미스 테이프 (주간 전체 백업)
- 복사본 3: 클라우드 (AWS S3/Azure Blob/온프레미스 백업 서버 이중화)
검증 항목:
- 각 백업 완료 여부 자동 모니터링
- 월간 1회 각 복사본에서 테스트 복구 실행
- 백업 일정이 겹치지 않도록 스케줄링 (스토리지 과부하 방지)
2단계: 2가지 이상 저장 매체 적용
- 매체 1: HDD (대용량·저렴, 속도 느림)
- 사용처: 주간/월간 아카이브 백업
- 매체 2: SSD 또는 클라우드 (빠름·비쌈)
- 사용처: 일일 증분·자주 접근하는 백업
- 매체 3 (선택): 테이프 (장기 보관·오프라인)
- 사용처: 정책상 요구 백업 (7년 이상 보관)
검증 항목:
- 서로 다른 제조사 제품 사용 (배치 결함 대비)
- 매체별 성능·가용성 차이 문서화
3단계: 오프사이트 백업 보관
-
옵션 1: 클라우드 (AWS 서울 리전 + 도쿄 리전 등)
- 장점: 자동 지역 분산, 비용 낮음
- 주의: 국가 데이터 규제 확인 (금융·공공기관은 국내만 가능할 수 있음)
-
옵션 2: 다른 데이터센터 (회사 2차 시설 또는 전문 시설)
- 장점: 통제 용이, 규제 준수
- 주의: 정기 검증·수동 운반 필요
-
옵션 3: 에어갭 백업 (주기적 오프라인 보관)
- 장점: 랜섬웨어·사이버 공격 완벽 차단
- 주의: 수동 작업, 복구 시간 길어짐
검증 항목:
- 오프사이트 백업 사본 연간 2회 이상 회수 및 검증
- 교통·보험 비용 계획
- RTO/RPO 내에서 오프사이트 복구 가능한가?
4단계: 정기 검증 및 모니터링
-
월간 검증
- 각 매체에서 임의 파일 복구 테스트
- 데이터 정합성 확인 (체크섬)
-
분기별 검증
- 전체 시스템 복구 테스트 (비운영 환경)
- 복구 소요 시간 기록
-
연간 검증
- 오프사이트 백업 회수 및 복구 테스트
- 경영진에 리포트 제출
-
모니터링
- 백업 완료 실패 시 1시간 내 알림
- 백업 저장소 용량 80% 도달 시 확장 계획 수립
흔한 실수 & 해결책
| 실수 | 피해 | 해결책 |
|---|---|---|
| 3개 복사본이 모두 같은 데이터센터 | 화재 → 전체 손실 | 오프사이트 백업 필수 |
| 백업을 정기 검증하지 않음 | 복구 불가 발견 (사후) | 월간 테스트 복구 의무화 |
| RPO를 감당하지 못하는 백업 빈도 | 실제 손실 > 허용 손실 | RTO/RPO 기반 빈도 재계획 |
| 랜섬웨어가 모든 백업을 암호화 | 3개 모두 손실 | 에어갭 백업 추가 (오프라인) |
한 장 요약
✓ 원본 + 3개 복사본 (여러 지점 분산)
✓ 2가지 이상 서로 다른 매체
✓ 1개 이상 오프사이트 보관
✓ 월간 테스트 복구 + 정합성 검증
✓ 연간 오프사이트 복구 테스트
= 데이터 손실 위험 최소화
다음 단계
조직의 현재 백업 정책이 3-2-1 규칙을 충족하는지 진단하세요.
지금 우리 환경, N²SF 기준에서 어디쯤일까요?
7분 자가 진단으로 C/S/O 등급 예비 분류·VDI 유지/축소/전환 시나리오·MFA·백업 보완 지점이 정리된 무료 PDF 리포트를 받아보세요.
관련 콘텐츠
Article
공공기관 담당자를 위한 VDI 유지/축소/전환 체크리스트
내부 회의·임원 보고에 그대로 사용 가능한 8영역 체크리스트. 라이선스·하이퍼바이저 EOS·인증서·운영 인력·외부 협력사·백업·라이선스 갱신 시점·산출물 7종 보유 현황을 1쪽으로 점검.
Checklist
N²SF 전환 사전진단 체크리스트 (다운로드)
공공·연구·금융 기관의 기존 VDI·망분리 환경을 N²SF 발주 전에 1차 점검하는 자가 워크시트. 30~45분이면 채울 수 있고 그대로 임원·심의위원회 보고에 사용 가능.
Checklist
보안성 검토 대응 체크리스트 (다운로드)
발주 전 보안성 검토 위원회 통과 가능성을 자가 평가하고, RFP 반영 문구·FAQ 답안 예시를 함께 정리. 산출물 7종 보유 현황 + 클라우드 적합성 점검 포함.