[특별 기고] 컴플라이언스의 이해와 베스트 프랙티스
아직 국내에는 모두가 공감할만한 수준의 컴플라이언스가 시도되지 않고 있다. 일부에서 SOX나 바젤 II와 같은 해외 컴플라이언스 이슈가 있다고 하지만 일부 글로벌 비즈니스를 수행하고 있는 대형 기업에나 해당 되는 일이기 때문이다. 하지만 컴플라이언스는 단지 규제 준수를 위한 것 뿐만이 아닌 기업의 비즈니스를 투명하고 효율화할 수 있는 방안이기도 하다는 것을 이해한다면, 보다 적극적인 컴플라이언스의 도입이 필 요할 것으로 예상된다.
강일선 | 시만텍코리아 SE 본부 상무
엔론과 MCI월드컴의 회계 부정 스캔들은 다양한 컴플라이언스 규제 탄생의 촉매제가 됐다. 또한 산업별로 관련 기관에 의한 통제도 강화되고 있다. 일례로 금융 업계는 SEC(Securities and Exchange Commission)와 NASD(National Association of Securities Dealers), 의료 업계는 HIPAA (Healthcare Insurance Portability and Accountability Act)에 의해 오랜 기간 통제를 받아왔으며, 이런 흐름에 다른 업계에서도 미연방 법규와는 다른 별도의 법률을 제정하기 위해 노력하고 있 다.
그램 리치 빌리 법안(Gramm-Leach-Bliley Act, GLBA), 사베인스 옥슬리 법안(Sarbanes-Oxley Act)과 같은 광범위한 적용 범위를 갖는 법규가 제정되면서, 다양한 업종의 기업들이 재무 정보 를 안전하게 보존하고 배포, 저장, 추적하기 위한 방안을 강구하고 있다.
이렇듯 다양한 새로운 규제들이 미국과 유럽 등에서 계속해서 생겨나는 동안 이 규제들은 글로 벌 비즈니스를 수행하고 있는 다국적 기업에게도 많은 영향을 미치고 있다. 예를 들어, 아태지역 에서 운영되고 있는 미국 등록 기업 역시 미국의 컴플라이언스 규제를 따라야 한다. 미국이나 유 럽 국가들에서 비즈니스를 하고 있는 아시아 기업들 역시 각 국가나 경제 구역에서 요구하는 컴 플라이언스를 반드시 준수해야만 하는 부담을 갖게 된다. 예를 들어 캘리포니아주의 SB 1386 데 이터 프라이버시 법안의 경우, 기업이 캘리포니아에 위치하지 않고 있더라도 캘리포니아 주에 거 주 중인 고객과 거래를 수행하는 기업에게는 모두 이 법안이 엄격하게 적용된다.
또 최근에는 고객이 직접 기업에게 데이터의 투명성과 정보 보호를 요구하고 있는 상황에서, 기 업들이 컴플라이언스에 대한 접근법을 최적화하기 위한 방법을 찾는 것은 매우 자연스러운 일이 되고 있다.
컴플라이언스, 새로운 비즈니스 기회
정보의 보존과 검색 작업이 불완전하게, 또는 부적절하게 수행될 경우 비용은 기하급수적으로 증 가할 수도 있다. 미국의 경우, 소송 관련 증거 자료 요청에 대응하기 위해 컴퓨터 컨설턴트를 고 용하고 아카이브 검색을 수행하는데 수십만 달러, 또는 수백만 달러에 이르는 비용이 지출되기도 한다. 정보 요청에 불충분하게 응답한 경우 법규를 위반하거나 기업이 정보를 조작, 은폐하려 한 다는 오해를 받을 수도 있다.
또, 소환장 또는 자료요청서가 발부된 상황에서 잘못 설계된 정보 관리 시스템으로 인해 이를 이 행하는데 어려움을 겪을 수 있으며, 미국의 경우 법규를 준수하지 않는 기업과 개인은 벌금, 심지 어 징역형까지도 감수해야 한다. 이를 방지하기 위해 기업은 ‘법적 보존’의 관점에서 IT 시스템을 설계하고, 법적 조사 또는 소환 요청이 접수된 경우 자료를 보존하고 즉각적으로 응대할 수 있는 준비를 갖춰야 한다. 대부분의 경우 법은 이러한 의무를 이행하지 않거나 데이터의 삭제를 허용 한 기업을 대상으로 적용된다.
정보 접근에 관련한 정부와 법률 시스템의 요구사항은 IT 부서에 엄청난 부담으로 작용하고 있
다. 인포메이션 위크에서 200명의 비즈니스 기술 전문가들을 대상으로 한 설문에서, 응답자 다섯 중 네 명이 자신의 조직이 컴플라이언스를 준수하고 있는지를 검토하는 것만도 큰 도전 과제라 고 응답했다. 또한 거의 3분의 2 가량의 응답자가 올해의 컴플라이언스 비용 지출이 증가할 것이 라고 대답했다.
기업 경영자의 관점에서 보았을 때, 컴플라이언스는 불가피하게 비즈니스에 수반되는 비용 소비 이며, 기업의 가치 창출 목표와는 무관한 비용을 수반하는 것으로 인식될 수 있다. 또 보다 실질 적인 매출 증대를 위한 활동에 투자해야 할 예산을 오히려 축내는 결과를 가져오는 것으로 보일 수도 있다. 그러나 더 넓은 관점을 가지고 미래를 내다보는 기업들은 컴플라이언스를 긍정적으로 생각한다. 이들은 컴플라이언스를 근본적으로 건강한 비즈니스 원칙이 기업 운영에 적용될 수 있 는 최적의 기회로 보고 있다는 의미다.
비즈니스의 핵심 요소 체계화하는 컴플라이언스
기업은 적절하게 계획되고 실행된 IT 프로그램을 통해 컴플라이언스를 지원함으로써 다양한 측 면에서 효과를 거둘 수 있다. 먼저 정보 보존, 모니터링, 감독 관련 규정의 불이행으로 인한 리스 크를 경감하고, 불성실한 기록 보존으로 인해 소송 과정에서 불리한 위치에 놓이는 위험을 예방 할 수 있다. 또한 정보 아카이빙을 지원하기 위한 스토리지 비용과, 아카이브 정보 요청 응답에 수반되는 비용을 절감할 수 있다. 특히, 이메일 스토리지 관리를 중앙 집중화함으로써 직원 생산 성을 개선할 수 있다.
또한 규제 준수를 위한 노력은 예상치 못한 여러 비즈니스 혜택을 가져다주기도 한다. 예를 들어, 앞서 언급한 인포메이션 위크의 조사에서, 40%의 응답자들이 컴플라이언스가 기업 비즈니스의 변화를 유발하는 촉매제가 되고 있다고 답했다. 예를 들면 HIPAA 프라이버시와 보안 규제는 의 료 서비스 업체들로 하여금 전자 의료 기록 시스템을 도입하는 발단이 됐고, 이로 인해 종이가 아 닌 중앙 집중화된 데이터베이스에 환자 기록을 저장해, 분실이나 오용 같은 취약점으로부터 벗어 날 수 있었다.
어떤 기업들은 사베인스-옥슬리 법안을 위한 계획을 Y2K에 대응하기 위한 노력에 비유하는 경우 도 있다. 즉, 근본적으로 재정 보고를 향상시킬 수 있는 체계적인 비즈니스 변화를 만들어낼 기회 라는 것이다. 몇몇 금융 서비스 업체 운영자들은 사베인스-옥슬리가 요구하는 빠른 리포팅이 ‘실 시간 기업’을 실현하기 위한 자극이 된다고 지적하기도 했다.
기록 보존의 의무, 투명성, 리스크 관리, 관리의 의무와 표준화는 현대의 어떤 조직도 무시할 수 없는 가장 기본적인 비즈니스 신조다. 또한, 이 다섯 가지는 많은 컴플라이언스 규제가 기본적으 로 원칙으로 삼고 있는 것들이다. 그리고 이런 다섯 가지 원칙을 지키는 것은 발전 가능한 비즈니 스를 실현하는데 핵심적으로 필요한 조건이라고 할 수 있다.
글로벌 선도 기업들의 베스트 프랙티스
그렇다면 글로벌 규모의 선도 기업들은 어떻게 컴플라이언스를 수행하고 있는지 알아보자. 시만 텍이 구성한 SCC(Security Compliance Council, www.securitycompliance.com), 내부 감사자 모임인 IIA(Institute of Internal Auditors), 그리고 CSI(Computer Security Institute)가 전세계 다양한 산 업군의 671개 기업을 조사한 결과, 흥미로운 사실이 발견됐다. 먼저, 컴플라이언스 규제 준수의 결과를 향상시킬 수 있는 다음과 같은 5가지의 주요 단계가 있다는 점이다.
· 과정을 구축한다.
· 감사의 빈도, 인력 필요 사항 등 성공적인 컴플라이언스 준수에 필요한 중요 사안을 파악한다.
· 향상된 결과를 가져올 수 있는 방안을 파악한다.
· 필요한 부문의 경우 조직을 재정비한다.
· 필요한 수준에 맞춰 능력과 자원을 향상시킨다.
또한 시만텍 SCC의 설문조사에 따르면, 성공적인 IT 보안과 컴플라이언스 충족을 위한 몇 가지 베스트 프랙티스는 다음과 같았다.
· 최소 월 1회의 내부 규제와 IT 보안 감사를 실행한다.
글로벌 선도 기업들은 내부 감사와 IT 보안 모니터링을 평균적으로 최소 월 1회 실시하고 있다.
이는 낙후된 기업들과 비교했을 때 8배 더 많은 회수이며 산업 평균에 비해서는 7배 더 자주 실 행하는 수치다. 물론 감사의 빈도수 자체가 컴플라이언스 향상의 유일한 요소라고 할 수는 없다.
· IT 직원 업무 시간의 최소 25%를 규제 준수에 투자한다.
선도 기업들은 컴플라이언스를 위해 30%의 IT 직원 업무 시간을 배정하고 있다. 이에 반해, 산업 평균치의 기업들은 25%, 낙후 기업들은 16%를 투자하고 있는 것으로 드러났다. 연 근무일수를 250일 기준으로 봤을 때, 선도 기업들의 경우 한 달에 6일, 평균 기업의 경우 5일, 낙후 기업의 경 우 3일을 투자하는 것으로 볼 수 있다.
· IT 예산의 10% 이상을 IT 보안에 배분한다.
선도 기업들은 평균적인 기업에 비해 IT 보안에 비용을 170% 더 투자하고 있으며, 300% 더 적은 결핍을 경험하고 낙후 기업에 비해서는 1000% 더 적은 결핍을 기록했다. 컴플라이언스를 위한 IT 직원 업무 시간과 비용 사이의 연관성에도 불구하고, IT 보안에 기업이 얼마나, 어떻게 금전적 인 투자를 하는지에 따라 컴플라이언스 충족의 결과가 달라지는 양상을 보인다.
· 정기적으로 명확한 목표와 측정 방법을 규정한다.
선도 기업들은 컴플라이언스를 충족하고 유지하기 위해 월별로 결과를 측정하고 부족한 부분을 관리하고 있으며, 컴플라이언스를 위한 역할과 책임은 명확하게 정의하고 그 결과를 측정할 수 있도록 하고 있다. 이에 반해, 평균 혹은 낙후된 기업들의 경우에는 컴플라이언스 준수 과정이 거 의 정의돼 있지 않은 것은 물론 대부분 수작업으로 이뤄진다.
· IT 관련 툴을 이용해 컴플라이언스와 IT 보안 통제 과정을 자동화한다.
선도 기업들의 IT 보안 기술 통제와 과정은 대부분 자동화돼 있다. 대부분의 기업들이 IT 보안 정 책과 표준, 문서화를 향상시키고 있는데 반해, 선도 기업들은 문서화 작업에만 단일하게 집중하 면서 비즈니스와 기술 과정을 최적화하고 자동화하는데 힘을 쏟고 있다.
컴플라이언스의 기초 : 자동화와 포괄적인 프레임워크
그렇다면 컴플라이언스를 고민하기 시작한 기업들은 어디서부터 시작해야 하는지 알아보자.
먼저, 다양한 규제를 충족시킬 수 있는 프레임워크를 선택해야 한다. 컴플라이언스 준수를 증명 하기 위한 기본은 여러 가지 법률이 대부분 비슷하게 적용되지만, 세부 사항을 관리하고 통제의 공통 부문을 찾는 것은 여전히 복잡한 문제다.
하지만 ISO17799와 같은 프레임워크를 보안 정책에 도입할 경우, 기업들은 하나의 정책을 통해 전체 컴플라이언스 작업을 관리할 수 있게 된다. 이런 프레임워크를 도입하는 것은 소요되는 자 원의 양을 줄여 비용의 절감을 가져온다. 간단히 말해, 포괄적인 컴플라이언스 솔루션은 특정 규 제 준수만을 타깃으로 한 프로젝트가 아닌, 전사적 레벨의 컴플라이언스 요구 사항을 충족시키게 된다는 것이다.
또한 컴플라이언스 비용 절감을 위해 자동화를 활용해야 한다. 자동화된 솔루션을 이용하는 것 역시 컴플라이언스의 관리와 유지, 리포팅 과정의 시간과 자원 소모적 업무를 줄여, 인력과 금전 적 자원 소모를 줄일 수 있게 해준다. 기업들은 기존에 여러 사람이 많은 시간을 소모해 만들어내 던 리포트를 한 사람이 쉽게 만들어낼 수 있게 됨에 따라 효율성을 크게 높일 수 있다. 시만텍의 SCC가 수행한 조사에서도, 3분의 2에 달하는 기업들이 노동 비용을 줄이고 IT가 더 생산적인 일 에 집중할 수 있도록 하기 위해 감사 프로세스 자동화를 이미 시도하고 있었다.
현재의 복잡한 컴플라이언스 환경을 분석하고 관리하는 것은 기업들에게 매우 어려운 작업이다.
적절한 자동화 툴을 도입함으로써, 기업들은 비즈니스 프로세스 전반에 걸쳐 비용과 복잡성을 줄 일 수 있으며, 이를 통해 컴플라이언스 프로그램에도 쉽게 대응할 수 있게 된다.
효과적인 컴플라이언스 솔루션의 기준
규제 준수는 기술에서 관리, 운영 프랙티스, 프로세스, 제어까지 비즈니스의 다양한 활동과 모두 연결돼 있다. 그러나 자세히 관찰해보면, 기술 제품의 경우 사용자 프로비저닝, 시스템 취약점 패 치 작업, 바이러스와 악성 소프트웨어 방어와 같이 컴플라이언스의 한 단면에만 집중하고 있다.
하지만 어느 하나의 소프트웨어 애플리케이션, 통합 제품 혹은 회사가 모든 컴플라이언스 과제를 해결할 수 있다는 것은 거의 불가능한 이야기다. 즉 소프트웨어는 컴플라이언스 관리의 비용과 효율성을 높여주며, 비즈니스의 요구와 컴플라이언스 관리 간에 균형을 맞춰줄 수 있는 툴인 것 이다.
따라서 컴플라이언스 솔루션의 핵심적인 역할은 수백 개의 규제와 베스트 프랙티스 제어 관리,
수천 혹은 수만 개의 시스템을 관리하는 것이다. 이런 복잡성을 적절하게 관리하기 위해서 기업 들에게 필요한 컴플라이언스 솔루션의 특징은 다음과 같다.
· 규제와 정책을 이해하고 컴플라이언스 수준을 측정할 수 있다.
· 핵심 규제와 베스트 프랙티스 프레임워크, 표준을 위한 템플릿과 미리 설정된 정책을 제공한다.
· 다양한 종류의 새로운 규제에 대한 맵 컨트롤(Map Control)과 백업이나 정책 스캐닝 유틸리티 에서 제공하는 컴플라이언스 준수 증거물의 컨셉을 지원한다.
· 다양한 시스템의 로그를 통합해 높은 수준의 저장과 법적 증거 요구 사항을 충족시킨다.
· 수백 수천 개의 시스템에 대한 컴플라이언스를 평가할 수 있다.
· 네트워크 환경에서 초당 수천 개씩 발생하는 이벤트를 실시간으로 분석해 네트워크 인프라스트 럭처를 모니터링, 상관관계 분석을 진행하고 기업 정책에 기반해 응답한다.
· 외부의 전세계 위협 요소에 대한 상황 정보를 제공하고 내부 네트워크 활동과의 상관 관계를 파 악한다.
특히 컴플라이언스 솔루션은 수천 개의 IT 자산을 모니터링하고 관계를 분석하며 보고해야 하기 때문에 서로 다른 위치, 심지어 다른 플랫폼 상의 핵심 제어 시스템의 상태를 빠르고 쉽게 보고할 수 있어야 한다. 이렇게 되면 최소한의 인력으로 쉽게 의미 있는 컴플라이언스 보고서를 생성할 수 있기 때문에, 비용과 효율성 측면에서도 높은 효과를 거둘 수 있다.
또한 컴플라이언스 프랙티스의 일관성을 증명하기 위해, 기업은 제어 시스템의 효능을 정기적으 로 검증하고 있음을 보여줄 수 있어야 한다. 따라서 효과적인 컴플라이언스 측정 툴은 시스템 검 사의 스케줄을 정하고 검증 작업을 거치는 것까지 사람의 손을 거의 거치지 않고 자동으로 해결 한다. 이 밖에도 자동화된 보고 기능뿐만 아니라 컴플라이언스 설정이 시간에 따라 어떻게 변화 했는지에 대한 보고서 생성까지 자동으로 해결해주는 솔루션이면 더욱 좋다.
컴플라이언스를 비즈니스 성장의 기회로
컴플라이언스 규제는 정부 기관 등의 요구뿐만 아니라 정보 보호 등에 대한 고객의 요구가 늘어 나는 현 상황에서 기업들에게 가장 핵심적인 비즈니스 목표 중 하나다. 이런 내외부의 컴플라이 언스 요구를 준수하지 못할 경우 큰 비용이 드는 것은 물론이고 비즈니스 실패와 고객 신뢰 상실 이라는 결과가 기다리게 된다. 따라서 기업들은 자신들의 핵심 정보에 대한 기밀성, 투명성, 가용 성을 보장해야만 한다.
컴플라이언스는 단순히 시스템 도입을 여부나, 성공 여부와 같은 이분법적으로 해결되는 과제가 아니다. 기업은 IT 시스템 제어와 그 이면에 숨어있는 비즈니스의 요구 사항을 정확하게 파악하 고 이를 규제나 정책과 연결시켜 포괄적으로 해결할 수 있어야 한다. 그리고 이런 작업은 선도적 인 기술을 갖춘 솔루션, 분석/문제 해결 전문가, 감사가 가능한 프로세스, 지속적인 관리와 모니 터링이 없이는 불가능하다. 따라서 기업은 당장 눈 앞에 닥쳐온 컴플라이언스 과제를 비즈니스의 긍정적인 결과물로 만들 수 있도록 그에 맞는 솔루션, 내부 프로세스와 인력 삼박자를 모두 갖추 는데 노력을 기울여야 할 것이다.
CopyRight 2004 Information Age, Co.,Ltd All rights reserved.
