기업규제는 갈수록 심화되고 있다. 정보화 추세에 맞춰 규제 또한 변화·발전하고 있으며, 이에 따라 기업은 컴플라이언스 이슈 충족을 위한 시스템 구축의 부담을 느끼고 있다. 그러나 달리 생각하면 이는 기회로 작용할 수 있다. 기업 투명성 확보와 업무 프로세스의 합리화를 구현할 수 있는 기회가 된다. 기업 규제는 기업의 활동을 제약하는 것이 아니라 건강한 비즈니스를 위한 기본적 원칙 적용을 요구하는 것일 뿐이기 때문이다. <편집자>

지난 수 년 동안 새로운 컴플라이언스 법규가 연이어 발표되면서 IT 부서는 막중한 책임을 떠맡게 됐다. 이제 기업과 공공 기관은 조직의 운영 정보에 대해 전례 없는 수준의 가시성을 확보해야만 하게 됐으며, 여기에는 고객 프라이버시, 데이터 신뢰성, 보안이 포함된다. 기업들이 컴플라이언스에 대한 접근법을 최적화하기 위한 방법을 찾고 이와 동시에 감사 과정에서 컴플라이언스 준수 증명을 위한 노력을 하고 있다는 것은 이제 이상한 일이 아니다.
컴플라이언스 관련 법률들은 이미 다수 존재하고 있으며 기업들은 이를 준수하기 위해 많은 시간과 비용이 투자되고 있다. 다음은 현재 영향력이 확대되고 있는 대표적인 컴플라이언스 법규들이다.

■ 사베인스-옥슬리 법안(Sarbanes-Oxley Act)
- 상장 기업의 임원들은 기업 재무제표의 검증 결과를 확인해야 한다.
- 재무 통제 및 리스크 경감 프로세스를 문서화하고 독립적인 감사 기관을 통해 검증 받아야 한다.
- 사기 행위를 방지하기 위한 광범위한 정책, 절차, 툴을 도입해야 한다.

■ SEC Rule 17A-4
- 사무실 내에서 교환되는 메모를 비롯한 모든 커뮤니케이션 원본은 최소 3년 동안 보존돼야 하며, 최초 2년간은 접근이 용이한 위치에 보관돼야 한다.
- 유지 및 보존이 필요한 기록은 마이크로 미디어(마이크로필름, 마이크로PC 등) 또는 전자적 저장 매체(디지털 저장 매체나 시스템)를 사용해 생성 또는 재생성돼야 한다.

■ 금융 관련, 그램-리치-빌리 법안(Gramm-Leach-Bliley Act, 2003)
- 재무 기록은 적절한 방법으로 보존, 보호돼야 한다.
- 최종적으로는 정보가 더 이상 접근될 수 없도록 완전하게 파기돼야 한다.

■ 의료 관련, HIPAA(Healthcare Insurance Portability and Accountability Act, 1996)
- 사용자들의 의료 정보에 접근 권한 통제, 전산화된 기록 시스템을 위한 감사 로그 제공, 소규모 및 지방 의료 기관의 요구 및 역량을 반영 등이 포함된 보안 표준이 구현돼야 한다.
- 의료 데이터에 대한 불법적인 접근은 차단돼야 한다.
- 물리적, 전자적, 운영적인 차원에서 의료 정보의 기밀을 보장하기 위한 전송 방법이 사용돼야 한다.

■ 테러 대비 관련, Patriot Act(2001)
- 금융 기관은 계좌를 개설하는 개인의 정보를 검증하기 위한 정보를 유지하는데 필요한 적절한 절차를 구현하고 있어야 한다.
- 법률 집행 기관에 광범위한 조사 권한을 부여한다.

■ 국방 관련, Department of Defense Rule 5015.2-STD
- 기록의 분류, 생성, 삭제, 유지, 재생성, 사용 등에 관련한 체계적인 기록 관리가 있어야 한다.

■ 미국 국립 문서 기록 보관청(National Archives and Records Administration)
- 정부 기관의 기록 관리를 감독한다.
- 미국 정부 기관의 업무 수행 내용에 관련한 문서 자료(각 기관의 정책, 절차 자료 포함)를 요구한다.
- “공공 업무의 수행에 관련해 연방 정부 기관이 생성 또는 수신한 전자적 자료”로 기록을 정의한다.
- 특정 주제 또는 업무에 대한 전자적 기록을 기록 관리가 용이한 형태로 조직화할 것을 요구한다.

■ 통신업계 관련, CFR Title 47, Part 42
- 통신 업체는 업체 내부적으로, 또는 업체 명의로 작성한 메모, 문서, 서류, 통신 기록 등의 원본 또는 사본을 보존해야 한다.

■ 제약 업계 관련, CFR Title 21, Part 11
- 전자적 레코드의 신빙성, 무결성을 보장하기 위한 목적에서 오픈/폐쇄형 시스템에 저장된 콘텐츠 보호를 위한 통제 방안을 수립해야 한다.
- 기록의 전자적 복제본을 정확하고 완전한 형태로 생성하고 FDA에 의해 감사가 수행될 수 있도록 해야 한다.
이러한 다양한 법규로 인해 정보의 보존 및 검색 작업이 불완전하게, 또는 부적절하게 수행될 경우 비용은 기하급수적으로 증가할 수 있다. 소송 관련 증거 자료 요청에 대응하기 위해 전산 컨설턴트를 고용하고, 아카이브 검색을 수행하는데 적게는 수십만달러에서 많게는 수백만달러에 이르는 비용이 지출되기도 한다는 보고도 있다.
비용부담이나 시스템의 한계로 인해 정보 요청에 불충분하게 응답한 경우에는 법규를 위반하거나 기업이 정보를 조작, 은폐하려 한다는 불필요한 오해를 받을 수도 있다. 소환장 또는 자료요청서가 발부된 상황에서 잘못 설계된 정보 관리 시스템으로 인해 자료 요청을 이행하는데 어려움을 겪을 수 있는데, 대부분의 경우에 법은 이러한 의무를 이행하지 않거나 데이터의 삭제를 허용한 기업을 대상으로 적용된다.
이유를 막론하고 법규를 준수하지 않는 기업과 개인은 벌금은 물론이고 심지어는 징역형까지도 감수해야 하는 상황에 처할 수도 있는 것이다. 이를 방지하기 위해 기업은 ‘법적 보존’의 관점에서 IT 시스템을 설계함으로써 법적 조사 또는 소환 요청이 접수됐을 때 자료를 보존하고 즉각적으로 응대할 수 있는 준비를 갖춰야 한다.

건강한 비즈니스 원칙 적용의 기회
정보 접근에 관련한 정부 및 법률 시스템의 요구사항은 IT 부서에 엄청난 부담으로 작용하고 있다. 200명의 비즈니스 기술 전문가들을 대상으로 인포메이션위크가 실시한 설문에 따르면, 다섯 가운데 네 명 정도가 자신의 조직이 컴플라이언스를 준수하고 있는지를 검토하는 것만도 큰 도전 과제라고 응답했다. 또한 응답자의 3분의 2 가량이 올해 컴플라이언스 비용 지출이 증가할 것이라고 답했다.
기업 경영자의 관점에서 보았을 때 컴플라이언스는 불가피하게 비즈니스에 수반되는 비용 소비며, 기업의 가치 창출 목표와는 무관한 비용을 수반하는 것으로 인식될 수 있다. 또한 보다 실질적인 매출 증대를 위한 활동에 투자해야 할 예산을 오히려 축내는 결과를 가져오는 것으로 볼 수도 있다.
그러나, 더 넓은 관점을 가지고 미래를 내다보는 기업들은 컴플라이언스를 긍정적으로 생각하고 있다. 컴플라이언스를 근본적으로 건강한 비즈니스 원칙이 기업 운영에 적용될 수 있는 최적의 기회로 보고 있다는 의미다.
기록 보존의 의무, 투명성, 리스크 관리, 관리의 의무 및 표준화 등 다섯 가지 원칙은 현대의 어떤 조직도 무시할 수 없는 가장 기본적인 비즈니스 신조이며, 많은 규제 법규들이 기본적 원칙으로 삼고 있는 것들이다. 나아가 이러한 다섯 가지 원칙을 지키는 것은 발전 가능한 비즈니스를 실현하는데 핵심적으로 필요한 조건이기도 하다.
오늘날 비즈니스를 운영하면서 기업이 외부로부터 받는 제제는 점차 증가되고 있는 상황이다. 이는 전 세계적인 움직임으로 우리나라도 예외라고 할 수 없다. 또한 많은 기업이 외국 시장으로 진출하고 있는 상황에서 컴플라이언스는 국내 기업들이 현재와 미래의 비즈니스 경쟁력, 효율성을 크게 향상시킬 수 있는 실질적인 기회가 될 수 있다.

컴플라이언스가 주는 비즈니스 혜택
엔론과 MCI월드컴의 스캔들 이후, 사베인스 옥슬리와 같은 새로운 규제들이 생겨나기 시작했으며, 산업별로 관련 기관에 의한 통제도 대두되고 있다. 금융 업계는 SEC(Securi ties and Exchange Commission)와 NASD(National Association of Securities Dealers), 의료 업계는 HIPAA에 의해 오랜 기간 통제를 받아온 것이 좋은 예다.
이러한 흐름에 따라 다른 업계에서도 연방 법규와는 다른 별도의 법률을 제정하기 위한 노력이 진행되고 있으며, 그램-리치-빌리 법안(GLBA)이나 SOX처럼 광범위한 적용 범위를 갖는 법규가 제정되면서 다양한 업종의 기업들이 재무 정보를 안전하게 보존/배포/저장/추적하기 위한 방안을 강구하고 있다.
미국 및 유럽에서 지속적으로 발생하는 다양한 규제들은 글로벌 비즈니스를 수행하고 있는 다국적 기업에게도 많은 영향을 미치고 있다. 아태지역에서 운영되고 있는 미국 등록 기업 역시 미국의 컴플라이언스 규제를 따라야 하기 때문이다. 역으로 미국이나 유럽 국가들에서 비즈니스를 하고 있는 아시아 기업들 역시 각 국가 및 경제 구역에서 요구하는 컴플라이언스를 반드시 준수해야만 하는 부담을 가지게 된다. 예를 들어, 캘리포니아주의 SB 1386 데이터 프라이버시 법안의 경우에는 기업이 캘리포니아에 위치하지 않고 있더라도 캘리포니아 주에 거주 중인 고객과 거래를 수행하는 기업 모두에게 이 법안이 엄격하게 적용된다.
그렇지만, 적절하게 계획되고 실행된 IT 프로그램을 통해 컴플라이언스를 지원함으로써 기업은 다양한 측면에서 효과를 거둘 수 있다. 우선적인 효과는 정보 보존, 모니터링, 감독 관련 규정의 불이행으로 인한 리스크를 경감하고, 불성실한 기록 보존으로 인해 소송 과정에서 불리한 위치에 놓이는 위험을 예방할 수 있다는 것이다. 또한 정보 아카이빙을 지원하기 위한 스토리지 비용과 아카이브 정보 요청 응답에 수반되는 비용 또한 절감할 수 있게 된다. 특히, 이메일 스토리지 관리의 중앙 집중화는 직원 생산성 개선의 효과를 가져다 줄 수 있다.
규제 준수를 위한 노력은 예상치 못한 비즈니스 혜택을 가져다주기도 한다. 앞서 언급한 인포메이션위크의 조사에서는 40%의 응답자들이 컴플라이언스가 변화의 촉매제가 됐다고 답하기도 했다. HIPAA 프라이버시 및 보안 규제는 의료 서비스 공급자들로 하여금 전자 의료 기록 시스템을 도입하는 발단이 됐고, 이로 인해 종이가 아닌 중앙 집중화된 데이터베이스에 환자 기록이 저장되게 돼 분실이나 오용 같은 취약점으로부터 벗어날 수 있었다.
컨설팅 전문 업체인 딜로이트에 따르면, 사베인스-옥슬리 규제의 요구 사항을 만족시킬 시에는 컴플라이언스로 인해 그 이상의 부가적인 혜택을 거둘 수 있다고 한다.
딜로이트가 제시한 혜택은 ▲SEC 컴플라이언스 ▲문서화된 내부 통제 시스템 ▲통제 효과에 대한 향상된 가시성 ▲통제 향상 행동에 대한 지속적인 전자 모니터링 ▲여러 비즈니스 단위에 걸쳐 활용될 수 있는 지속적인 문서화된 통제 개발 ▲프로세스의 능률과 속도 향상 등이다.
실제로 몇몇 기업들은 사베인스-옥슬리 법안을 위한 계획을 Y2K에 대응하기 위한 노력에 비유하기도 한다. 즉, 근본적으로 재정 보고를 향상시킬 수 있는 체계적인 비즈니스 변화를 만들어낼 기회라는 것이다. 이와 관련 금융 서비스 기업의 운영자들은 “사베인스-옥슬리가 요구하는 빠른 리포팅이 ‘실시간 기업’을 실현하기 위한 자극이 됐다”고 지적하기도 했다.

통합적인 접근 방법 필요
세계 규모의 리딩 기업들은 어떻게 컴플라이언스를 수행하고 있을까? 2006년 시만텍이 구성한 SCC(Security Compliance Council), 내부 감사자 모임인 IIA(Institute of Internal Auditors), CSI(Computer Security Institute)가 전세계 다양한 산업군의 671개 기업을 조사한 결과, 흥미로운 사실이 발견됐다. 컴플라이언스 규제 준수의 결과를 향상시킬 수 있는 다섯가지의 주요 단계가 있다는 점이다.

■ 규제 준수 결과를 향상시킬 수 있는 다섯가지 주요 단계
- 과정을 구축한다.
- 감사의 빈도, 인력 필요 사항 등 성공적인 컴플라이언스 준수에 필요한 중요 사안을 파악한다.
- 향상된 결과를 가져올 수 있는 방안을 파악한다.
- 필요한 부문의 경우 조직을 재정비한다.
- 필요한 수준에 맞춰 능력 및 자원을 향상시킨다.

특히 주목할 것은 최상위 11%의 산업별 리딩 기업들은 명확하고 측정 가능한 목표를 세웠으며, 최소 한 달에 한 번은 보안 및 컴플라이언스 통제에 대한 모니터링 및 보고를 수행했다는 점이다. 또한 이들 기업들은 IT에 쏟는 시간을 기준으로 한 달에 5일은 컴플라이언스에 투자했으며, 10%의 IT 예산을 보안 및 처음에 정해진 목표를 위해 소요했다.
그렇다면 이제 컴플라이언스를 고민하기 시작한 기업들은 도대체 어디서부터 시작해야 할까? 컴플라이언스 준수를 증명하기 위한 기본적인 사항은 여러 가지 법률 모두 대부분 비슷하게 적용된다. 물론 세부 사항을 관리하고 통제의 공통 부문을 찾는 것은 여전히 복잡한 문제다.
하지만, ISO17799와 같은 프레임워크를 보안 정책에 도입할 경우에 기업은 하나의 정책을 통해 전체 컴플라이언스 작업을 관리할 수 있게 된다는 것을 명심해야 한다. 이러한 프레임워크를 도입하는 것은 소요되는 자원의 양을 줄여 비용의 절감을 가져올 수 있다. 간단히 말해 포괄적인 컴플라이언스 솔루션 구축을 통해 특정 규제 준수만을 타깃으로 한 프로젝트가 아닌, 전사적 레벨의 컴플라이언스 요구 사항을 충족시키게 된다는 것이다.
호주에 있는 ‘New South Wales Department of Lands’를 예로 들어 보자. 이 백화점은 시만텍 바인드뷰(BindView) 솔루션을 도입해 포괄적이면서 비용 효율적으로 AS/NZS 7799.2:2003 규제를 준수하고자 했으며, 다양한 플랫폼에 걸쳐 포괄적인 리포팅 기술을 도입함으로써 시간과 비용을 크게 절감했다.
자동화된 솔루션 역시 컴플라이언스의 관리, 유지 및 리포팅 과정의 시간 및 자원 소모적 업무들을 향상시켜 컴플라이언스에 소요되는 인력 및 금전적 자원을 줄일 수 있게 해준다. 기업들은 기존에 여러 사람이 많은 시간을 소모해 만들어내던 리포트를 한 사람이 쉽게 만들어낼 수 있게 돼 효율성을 크게 높일 수 있다.
시만텍 SCC(Security Compliance Council) 조사에서도 3분의 2에 달하는 기업들이 노동 비용을 줄이고 IT가 더 생산적인 일에 집중할 수 있도록 하기 위해 감사 프로세스 자동화를 이미 시도하고 있었다.
현재의 복잡한 컴플라이언스 환경을 분석하고 관리하는 것은 기업들에게 매우 어려운 작업이다. 적절한 자동화 툴을 도입함으로써 기업들은 비즈니스 프로세스 전반에 걸쳐 비용과 복잡성을 줄일 수 있으며, 이를 통해 컴플라이언스 프로그램에도 쉽게 대응할 수 있게 된다.

따라가지 말고 이끌어야
기업들은 비즈니스를 수행하고 있는 각 지역에 맞는 포괄적인 IT 컴플라이언스 솔루션, 컴플라이언스 준수를 또 다른 비즈니스 기회로 전환해줄 수 있는 솔루션을 선택해야만 한다.
컴플라이언스 규제는 오늘날의 기업에게 있어 핵심적인 비즈니스 목표로 과거 그 어느 때보다도 깊은 관심과 면밀한 분석의 대상이 되고 있다. 그리고 이를 준수하지 못할 경우 큰 비용이 들게 되는 것은 물론이고 비즈니스 실패와 고객 신뢰 상실이라는 결과가 기다리게 된다.
따라서 기업은 핵심 정보에 대한 기밀성, 투명성, 가용성을 보장해야만 한다. 이는 능동적인 정보 보안 시스템이 필요하다는 것을 의미한다. 이러한 정보 보안 시스템은 적절한 인력과 프로세스, 기술이 리스크 분석 및 보호 시스템 구현을 위해 투입돼야 구현할 수 있다.
규제가 발효된 후에 허겁지겁 이를 쫓아가는 방식에서는 높은 비용 투자에도 불구하고 눈앞의 이슈에만 대응할 수 있을 뿐 이를 비즈니스 개선의 기회로 삼을 수 없다. 오늘날과 같이 그 어느 때보다도 위협 환경이 확대되고 있는 상황에서, 기업들은 현재에 안주하거나 변화를 따라가는데 급급할 것이 아니라 적극적으로 시장을 이끌 줄 알아야 할 것이다.

데이터넷 관리자