“IT 컴플라이언스 구현 위한
계층적 스토리지 환경은 필수다”

ILM과 IT 컴플라이언스는 그 출발점이 동일하다. 덕분에 ILM과 IT 컴플라이언스 이슈에 따른 계층적 데이터 저장은 국내에서도 활발하게 추진되고 있다. 그 중 의료 분야와 공공기관의 자료관 사업에서 빠르게 확산되는 추세다. 병원들은 의료정보화 사업의 일환으로 의료 관련 IT 컴플라이언스를 구현하고 있으며, 공공기관들은 각종 기록물에 대한 효율적인 관리의 필요성에 따라 계층화된 스토리지 환경을 구축한다. | 임상순 한국썬 차장·sangsoon.im@sun.com |

오늘날 컴퓨팅 환경을 살펴보면 매일 수 천만 개의 트랜잭션, 수 백만 개의 이메일, 수 천 개의 온라인 데이터베이스가 생성된다. 정보는 비즈니스의 중심이며 핵심이 됐고 엄청나게 빠른 속도로 성장하고 있다. 핸드폰에서 PDA, 심지어 자동차에 이르기까지, 모든 것들이 네트워크에 연결돼 데이터를 소비하고 또한 데이터를 만들어 내고 있다. 또한 오늘날 비즈니스 환경에서 정보는 단순한 자산 이상의 가치를 가진다. 즉, 기업은 보유한 정보를 통해 비즈니스의 경쟁력을 창출하고 이를 통해 수익을 창출한다.
이러한 폭발적으로 증가하는 정보를 관리하고 이를 이용해 비즈니스 경쟁력을 창출하기 위해 모든 기업이나 기관들은 정보를 보다 효율적으로 관리하면서도 법적인 요구사항을 만족시키고 스토리지 자원을 보다 잘 활용해 ROI를 극대화하기 위한 전략을 찾아 왔고 이러한 전략으로 ILM(Information Lifecycle Management, 정보생명주기관리)이 주목을 받게 됐다.

IT 컴플라이언스
최근에는 바젤 II, 사베인즈-옥슬리법 등 기업의 경영투명성과 업무연속성계획(BCP) 등을 위한 국내외 감독당국의 각종 권고와 규제 법안의 발효가 잇따르면서 이를 충족할 수 있는 IT 컴플라이언스가 기업들의 주요 과제가 됐다.
IT 컴플라이언스란 새로운 규제나 법안, 권고 등 국내외 감독당국이 제시한 각종 요건들을 만족시킬 수 있도록 기업이나 기관의 정보시스템과 업무프로세스를 재정비하는 것을 말한다. IT 컴플라이언스를 구현하기 위해서는 새로운 권고를 충족할 수 있도록 업무프로세스를 재정비하고 필요한 IT 시스템을 구축해야 한다.
IT 컴플라이언스 구현을 위한 양대 구성 요소는 업무 프로세스 재정비를 위한 BPM(Business Process Manage-ment)과 전자기록물의 보관과 관련한 규정 준수를 위한 컴플라이언스 아카이빙(Compliance Archiving)이라고 할 수 있다.
IT 컴플라이언스는 최근에 강력하게 IT 업계의 화두로 등장하고 있지만 궁극적으로는 ILM의 하위개념이나 서브셋(Subset)으로서 ILM과 IT 컴플라이언스는 서로 매우 밀접한 관계에 있다. 즉, 앞으로는 계층적 데이터 저장 시 반드시 컴플라이언스를 준수해야 한다.

국내외 주요 IT 컴플라이언스
◆ 사베인즈-옥슬리법(Sarbanes-Oxley Act)
이 기업 개혁법안은 엔론, 아델피아, 월드콤 등 일련의 회계 부정을 경험한 미국이 기업지배구조(Corporate Gover-nance)를 재확립하기 위해 2002년 7월 30일 제정한 것으로, 기업의 대표와 감사기관이 회계 보고서와 관련된 내부 감사와 절차의 유효성을 문서화하고 증명하는 것을 골자로 하고 있다.
이 법안은 법률안을 제출한 민주당 상원의원 폴 사베인즈(Paul Sarbanes)와 공화당 하원의원 마이클 옥슬리(Michael Oxley)의 이름을 따서 사베인즈-옥슬리법이라고 명명됐다. 미국 내 주식시장에 상장된 자본금 7천500만달러 이상 기업에 대해서는 이미 2004년 6월 15일 발효됐고, 올해 4월 15일에 자본금 7천500만달러 이하 기업에 대해서도 발효될 예정이다.
이 강력한 기업 개혁법안은 규정을 준수하지 않을 경우 엄청난 벌금을 부과하고 있어서 특히 실적이 좋지 않은 상당수의 해외 기업들이 이 규정을 준수하기 위한 비용 및 규정을 준수하지 않았을 경우에 따르는 벌금을 감당할 여력이 없어 미국의 주식시장에서의 상장을 포기하거나 이미 상장된 기업도 상장 폐지를 검토하고 있을 정도이다. 뉴욕 주식시장도 예외는 아니어서 신규 등록기업이 예년의 절반 수준으로 감소했으며, 이미 2개 업체는 자진해서 상장폐지를 했다. 미국 주식시장에 상장된 국내 기업들도 당연히 이 기업 개혁법안의 대상이며, 올해 4월 15일까지 이 규정을 준수하도록 모든 준비를 끝내야 한다.

◆ HIPAA
HIPAA는 ‘의료 개방’에 따른 의료보험의 상호 이동성을 위한 병원간 의료보험 적용(Health Insurance Portabil-ity) 및 회계 문제에 관한 규정(Accountability Act)이며, 한마디로 얘기해서 미국건강보험법이자 세계 의료규정의 표준이라고 할 수 있다. HIPAA는 전자문서 보존과 정보 보호에 대한 수많은 규정을 담고 있으며, 특별히 저장매체의 종류에 대해 규정하고 있지는 않지만 장기간 데이터를 손대지 않고 보관하도록 규정하고 있다.
또한 HIPAA는 재해 등 사고 발생에 대비해 데이터를 보호하고 백업 사이트가 빠른 시간 내에 운영되도록 할 것을 규정하고 있다.

◆ 21 CFR Part 11
미국식품의약청(FDA)에서 제약업체들에게 요구하고 있는 전자문서 관리를 위한 새로운 형태의 규제이다. 특히 이 규제는 세계 시장 진출을 추진하고 있는 국내 제약업체들에게 중요한 이슈이자 과제가 되고 있다.

◆ 바젤 II
바젤 II는 1988년에 발표된 현행 자기자본 규제(바젤 I)을 대체하는 새로운 자기자본 규제다. 기존 바젤 I이 은행들로 하여금 보유 자산의 리스크에 따라 최소 8%의 자기자본 보유를 요구했던데 반해 바젤 II는 금융시스템의 안정성과 건전성을 높이기 위해 상호 연관되는 3가지 기준들을 통해 이전 보다 더욱 정교하게 리스크를 관리하도록 하고 있다.
금융감독원은 2004년에 바젤 II 준비 미비은행을 1차로 탈락시키고, 2005년말 2차로 탈락시킨 후 2007년 시행을 목표로 하고 있다. 금용감독원의 기본 방침은 국내 모든 은행에 대해 획일적인 시행이 아니라, 사전준비가 가능한 리스크 관리 선도은행들은 일정에 맞춰 먼저 시행하고 나머지 은행들은 준비 상황에 맞춰 시행하는 것이다.

◆ 금융권 재해복구시스템 의무화
금융감독원은 2003년 9월 9일 ‘비상시 금융기관 전산망 안전 강화대책’이라는 지침을 통해 그동안 권고사항으로 추진했던 ‘DR센터 구축’에 대해 DR센터의 실효성을 확보하기 위해 구축 의무화를 결정했다. 이 대책에 따르면 국내에 고객원장을 보유하고 있는 외국계 금융회사를 포함해 모든 금융기관은 핵심 업무에 대해 은행, 증권, 카드, 거래소 등은 3시간 이내, 보험사는 24시간 이내에 복구할 수 있는 시스템을 구축하도록 했다. 이에 따라 이미 많은 금융기관들이 이미 재해복구시스템을 구축했으며 올해 말까지 구축 완료해야 한다.

◆ 회계 컴플라이언스
정부는 기업의 회계 및 경영 투명성을 확보하고 회계제도 선진화를 유도하기 위한 이른바 한국판 ‘사베인즈-옥슬리’가 될 다양한 법령을 개정 또는 준비중이다. 증권거래법, 공인회계사법, 주식회사의 외부감사에 관한 법률 등 이른바 회계 3법 개정법이 시행된데 이어 지난 1월 1일부터 회계기준을 지키지 않는 공개기업에 대한 집단 소송을 제기할 수 있는 증권 관련 집단소송법도 시행됐다.
개정된 회계 3법에 따르면 기업최고경영자(CEO)와 재무최고책임자(CFO)의 공시 인증 의무, 내부 통제시스템 구축 및 검증, 대주주나 CEO의 내부 거래 금지, 외부 감사법인의 독립성 강화 같은 규제가 새롭게 도입되면서 기업은 회계 사실이 왜곡 없이 포착되고, 이러한 사실이 회계 기준에 따라 투자자 등 이해관계자들에게 정확하게 전달되는 환경을 구축해야 한다. CEO와 CFO 인증 부분은 회계 부정 사건이 발생했을 경우 책임소재를 분명히 해 경영진이 대외적으로 책임지도록 하기 위한 조치다.
당장 올해부터 자산 2조원 이상의 80여개 기업이, 2007년부터는 주식시장에 공개된 모든 기업이 개정된 법령에 따른 회계시스템을 보유해야 한다. 앞으로 공개기업은 고의적인 회계 분식은 물론, 과실로 인한 회계 오류의 경우에도 거액의 손해배상을 해야 하는 집단소송을 당할 수 있기 때문에 이 같은 위험을 피하기 위해 회계 정보의 정확성과 적시성 확보를 위한 시스템 확보가 필수적이다.

IT 컴플라이언스와 스토리지
ILM과 IT 컴플라이언스를 위한 전자문서 기록의 보유 프로세스에서 가장 중요한 요소는 기록의 정확성, 무결성, 확실성, 신뢰성을 장기간 유지하는 것이며, 최근의 비즈니스 환경은 저장된 전자문서 기록에 대한 신속하고 손쉬운 접근성을 요구한다.
그러나 국내의 ‘공공기관 기록물 관리에 대한 법률 시행규칙 제22조’와 같이 상당수의 기록 관련 법안 및 규정들이 최종적인 기록물 저장매체를 마이크로필름과 광디스크로 한정하고 있다. 이는 과거 재기록 불가(Unrewritable) 저장장치인 WORM(Write Once Read Many)이 유일한 시대에는 적합했으나 기술 발전에 따라 그리고 법적 요구 강화에 부응하기 위한 솔루션을 찾는 업체에게는 부적합하다.
실례로 미국의 단속 기관이 총 8명의 검사관을 통해 한 명의 브로커 딜러의 부정 거래와 관련된 검사를 진행했지만, 광디스크의 느린 속도 때문에 2개월이 지나도록 전자 정보 기록물에서 19개의 지정된 키워드를 검색하지 못했다고 한다. 다행히 이러한 데이터 접근의 불편함, 느린 검색 시간 등의 비효율성 등을 해결하기 위한 움직임이 있다.
금융 서비스 업체들을 대상으로 미국 증권거래위원회(SEC)는 SEC 240.17a-4(f) 규정에서 이메일과 업무 기록 등에 대한 데이터를 재기록 및 삭제 불가능한(Unrewritable & Unerasable) 미디어에 저장할 것을 요구했다. 또한 SEC 240.17a-4(f)는 지정된 보존 기간 동안 각 데이터 항목들의 시간과 날짜를 지속적으로 감시할 수 있는 스토리지 미디어에 사본을 둘 것을 요구했다.
이 때문에 초기에는 WORM 광디스크를 뜻하는 것으로 받아들여졌지만 2003년 5월 SEC는 스토리지 저장장치 자체에서 저장되는 기록에 대한 보존 기간을 보장하고, 이 기간 동안에는 재기록 및 삭제를 원천적으로 봉쇄하는 기술이 적용된 경우 규정을 만족한다는 추가 의견을 내놓은 것이다.
이와 때를 같이해 이러한 엄격한 레코드 보유 표준을 준수할 수 있도록 설계된 스토리지 하드웨어(EMC 센테라 컴플라이언스 에디션, 넷앱 락볼트, 썬 컴플라이언스 아카이빙 시스템 등) 및 소프트웨어(썬 SAM-WORM-FS 등)와 저장매체(LTO-3 WORM 등)가 출시돼 기업들은 각종 규정에 맞게 전자문서 기록들을 장기간 저장할 수 있게 됐으며, 이를 통해 보다 현실적으로 ILM과 IT 컴플라이언스를 구현할 수 있게 됐다.

국내 IT 컴플라이언스 계층적 데이터 저장 추진 현황
ILM과 IT 컴플라이언스 이슈에 따른 계층적 데이터 저장은 여러 가지 분야에서 국내에서 활발하게 추진되고 있다.
첫 번째 분야는 의료 분야다. 이미 의료영상정보시스템(PACS), 처방전전달시스템(OCS) 등을 통해 의료정보를 관리함으로써 비용절감 및 진료정보의 공유를 통한 의료서비스 개선을 이뤄왔다.
최근 개정된 의료법에서는 전자의무기록(EMR)과 전자서명을 허용하고 전자의무기록에 대해 일정 기간 동안 의무보존을 요구함으로써 병원들의 의료정보화 사업이 더욱 가속도를 더할 수 있게 됐으며, ILM과 의료관련 IT 컴플라이언스도 훨씬 손쉽게 구현가능할 수 있게 됐다.
두 번째 분야는 공공기관의 자료관 사업이다. 공공기관의 업무와 관련해 연평균 50만건씩 지속적으로 생산되는 기록물(일반문서, 카드, 대장, 도면, 시청각, 전자문서 등)에 대한 효율적으로 체계적인 관리의 필요성에 따라 2004년부터 ‘공공기관의 기록물관리에 관한 법률’이 전면 시행된다. 이에 따라 전국 709개 각급 기관에서는 정부기록보존소에서 개발한 표준자료관시스템 규격에 만족하는 자료관시스템을 도입 중에 있다.

데이터 관리와 보관에 드는 비용의 급격한 상승
정보는 폭발적으로 증가하고 있다. 일부의 주장에 따르면 스토리지의 가격이 저렴해지고 지속적으로 가격이 내려가고 있으므로 별 문제가 없다. 수년 전 만 해도 그런 주장이 설득력이 있었다. 그러나 오늘날 정보는 스토리지 가격 하락 속도보다 훨씬 빠른 속도로 증가하고 있다. 조사 결과에 따르면 스토리지 시스템에 저장되는 정보는 매년 100% 이상 증가하고 있으며 스토리지 관리 비용은 구입 비용의 90% 이상 수준으로 증가하고 있다. 더욱 문제인 것은 스토리지 사용률이 거의 절반 수준인 40∼60% 정도라는 것이다. 정보를 좀 더 효율적으로 저장하고 관리할 수 있는 전략이 점점 더 필요해지고 있다.

◆ IT 컴플라이언스
컴플라이언스는 많은 분야에서 요구되고 있다. 전자메일, 비즈니스 프로세스, 수출입 규제, 최근 기업 회계 스캔들에 의해 불거진 금융 규제와 보고 이슈들을 다룬 사베인즈-옥슬리법이나 금융기관 고객 데이터를 둘러싼 엄격한 내부 측정의 기준에 관한 그램-리치-블릴리(Gramm-Leach-Bliley) 등과 같은 규제 준수 요건, 고객의 건강정보의 보호와 관련한 미국 HIPAA(Health Insurance Portability and Accountability Act) 법안들이 그 예다.
이러한 규제와 요구사항을 준수하지 않으면 큰 벌금이나 법적 제재 조치를 받게 되며 기업이나 기관의 신뢰성에도 큰 타격을 받게 된다. IT 컴플라이언스 구축에 많은 비용이 들어가는 것도 사실이지만 ILM와 IT 컴플라이언스를 효과적으로 구축하면 데이터 관리 비용을 획기적으로 절감하고 기업의 신뢰성을 높여서 궁극적으로는 비즈니스에 크게 기여한다는 것을 명심해야 한다.

◆ 소송 지원(Litigation Support Readiness)
최근의 여러 사례들에서 알 수 있듯이 제약회사부터 건설회사와 금융기관까지 법률소송이 폭발적으로 증가하고 있다. 또한 올해 1월 1일부터 회계기준을 지키지 않는 공개기업에 대한 집단 소송을 제기할 수 있는 증권 관련 집단소송법도 시행됐다. 만약 어떤 기업이 소송에 관련됐다면 전자메일을 포함, 특정 사건에 관련된 모든 서류들을 준비해야 한다. 주어진 짧은 시간 내에 소송에 필요한 서류를 만들어내고 소송이 진행되는 요구되는 다른 무수한 요구들에 대해 지원하려면 효율적인 정보 관리 솔루션이 반드시 필요하다.

◆ 기업 콘텐츠 관리(Enterprise Content Management)
정보의 폭발적인 증가는 엄청난 잠재적 비즈니스를 창출해 냈다. 데이터가 증가할수록 콘텐츠를 보다 잘 관리해야 하는 요구도 증가하며 동시에 콘텐츠의 가치를 극대화해 기업의 수익을 창출할 기회도 증가한다. 스포츠업계에서 가장 인터액티브하고 다양한 기능을 제공하는 웹사이트인 메이저리그 베이스볼 홈페이지(www.MLB.com)를 운영하는 MLB 어드밴스드 미디어(이하 MLBAM)는 보유한 콘텐츠의 가치를 극대화하는 방법을 잘 알고 있는 대표 사례이다.
수십 년 만에 ‘밤비노의 저주’를 깨뜨려서 전 세계의 관심을 집중시켰던 2004년 메이저리그 베이스볼 아메리칸리그 플레이오프, 보스턴 레드삭스와 뉴욕 양키즈의 경기를 기억할 것이다. MLB.com 웹사이트에서는 9회 경기 종료 장면의 비디오클립을 0.99달러에, 전체 게임은 3.95달러에 팔아서 막대한 이익을 얻었다. 이 비디오클립을 보려는 수요는 수년 동안 지속될 것이며 시간의 경과에 따라 그 수요는 점차 감소할 것이다.
현재 콘텐츠는 고가의 고성능 디스크 스토리지에 저장돼 있지만 시간이 지나면 2차 디스크로, 그 다음에는 테이프미디어와 같은 좀더 값 싼 저장매체로 옮겨져서 경제적으로 저장될 것이다. MLB.com의 사례에서 알 수 있듯이, 콘텐츠 가치의 극대화와 정보생명주기 전반에 걸쳐 효율적인 콘텐츠 관리는 비즈니스의 수익창출에 직접적으로 기여한다.

ILM 및 IT 컴플라이언스의 3대 구축 전략
ILM 및 IT 컴플라이언스 구축 전략은 반드시 DLM(Data Lifecycle Manage-ment), 보안(Security), 그리고 통합(In-tegration)의 3가지를 반드시 포함해야 한다.
일부에서는 DLM과 ILM을 거의 동일한 의미로 사용하거나 혼동해서 사용하는 경우가 있는데 이것은 아마도 ILM에서 실체가 보이는 것들이 DLM이기 때문에 그런 것이며 매우 잘못된 접근 방법이다.
첫째, DLM은 올바른 액세스, 올바른 성능, 올바른 미디어/디바이스를 결정짓는 정보의 가치에 기반한 인프라다. 즉, DLM은 ILM을 구현하고 정보를 효율적으로 저장 관리하고 사용자가 손쉽게 접근하기 위한 물리적 인프라이다.
둘째, 보안(Security)은 완벽한 ILM 전략에서 두 번째로 중요한 요소이다. 누가 접근했고 어떻게 인증을 받을 것인가? 그리고 어떻게 정보를 보호할 것인가? 보안은 중요한 정보로의 접근을 제한하고 위협을 완화시킴으로써 기업을 보호해준다.
셋째, 특히 IT 컴플라이언스를 위해 무엇보다 중요한 것이 시스템과 애플리케이션 통합(Integration)이다. IT 컴플라이언스 구축을 위해서 반드시 필요한 것이 BPM(Business Process Management)과 내부통제시스템이며, 이것들이 DLM 및 보안과 유기적으로 통합돼야 한다.

결론
정보의 폭발적인 증가는 기업에게 많은 도전을 요구한다. ILM과 IT 컴플라이언스는 비용 절감, 규정준수, 소송 대비, 콘텐츠 관리를 통한 비즈니스 확대 등의 다양한 요구 사항에 따라 필요성이 점점 더 증가하고 있다. ILM과 IT 컴플라이언스로의 구체적인 접근방법은 다를 수 있지만 필요성과 이것이 점점 더 절박해지고 있다는 것에는 이견이 없다.