최근 몇 년간 우리나라 IT 시장은 컴플라이언스에 대한 기대감으로 잔뜩 부풀어 있지만, 시장의 반응은 냉담하다. 선진국에 비해 규제준수에 대한 요구가 강하지 않기 때문이다. 규제도 많지 않고 대부분 강제사항이 아니라 권고사항이라는데 문제가 있다.

2009년의 컴플라이언스 시장은 어떨까? 업계에서는 기업이 처리해야 하는 데이터가 기업이 감당할 수 있는 한계를 넘어서고 있기 때문에 컴플라이언스가 강화될 것이라고 기대하지만, 정부는 경기활성화를 위한 규제완화를 기본 방침으로 삼고 있기 때문에 새로운 컴플라이언스가 추가적으로 발생할 것이라는 전망을 내놓기는 어려운 실정이다.
공전소, 활기 띌 수 있을지 ‘불투명’
우리나라에서 가장 먼저 시작한 컴플라이언스를 꼽는다면 공인전자문서보관소(이하 공전소)를 들 수 있다. 지난 2005년 전자거래기본법 개정안이 국회를 통과하면서 전자화문서의 법적 인정을 담은 개정법률안이 2007년 11월 시행됐다. 이와 함께 2007년 상반기 KTNET과 LG CNS가 공전소 사업자로 선정돼 공전소 시장의 문이 활짝 열렸다.

그러나 공전소에 대한 기업의 반응은 썰렁했다. 전자문서와 관련된 규제는 ‘권고’ 정도의 수준이며, 공전소를 이용하는데 필요한 서비스 비용이 만만치 않아 공전소 이용을 검토한 기업들이 다시 종이문서로 되돌아간 것이다.

규제 자체의 문제도 있다. 법적인 문제가 불거졌을 때 이를 해결할 근거가 되는 문서인 전자문서가 원본으로 인정되지 않는 것이다. 전자거래기본법에는 전자문서를 인정하도록 돼 있지만, 법무부 등에서는 이를 인정할 근거가 없어 법적인 분쟁이 일어났을 때 법정에서 전자문서를 정식 증거물로 인정받지 못하는 문제가 생긴다. 기업에서는 공전소를 이용해도 종이문서를 함께 보관해야 하므로 비용이 이중으로 소요되기 때문에 공전소를 이용해야 할 이유를 찾지 못한다.

공전소 사업은 3월 삼성SDS, 7월 한전 KDN, 12월 하나아이앤에스가  신규 사업자로지정되면서  2008년의 막을 내렸지만, 장기적인 경제불황과 정부의 규제완화 방침 속에서 강력한 규제를 새롭게 정립해야 하는 공전소 사업이 2009년에 활기를 띨 수 있을지 점치기 어렵다.

솔루션 기업 IFRS에 사활, 실제 시장 규모는 ‘미지수’
올해 컴플라이언스 시장에서 가장 주목받고 있는 분야가 국제회계기준(IFRS)이다. 금융기관을 비롯한 상장기업들은 2010년까지 IFRS에 따라야 한다. 현재 대부분의 제1금융권은 회계법인의 컨설팅 작업을 마치고 IT컨설팅 업체로부터 시스템 구축에 대한 컨설팅과 시스템 구축 작업을 시작하고 있다. 2007년부터 2008년까지 하드웨어 시장을 ‘먹여 살린’ 금융권 차세대 시스템 구축 작업에 이와 관련된 내용이 상당부분 포함돼 있다.

2009년은 IFRS를 따르기 위한 솔루션을 구축하는 단계로 회계법인과 SI업계, 솔루션 벤더들이 목숨을 건 경쟁을 펼치고 있다. 특히 IFRS가 회계부문과 IT부문이 함께 이뤄져야 하다는 특수성 때문에 회계법인과 SI업체의 자존심을 건 한판 싸움도 펼쳐지고 있다. 아직까지는 1차 컨설팅을 맡은 회계법인이 시장을 좌우하고 있지만, 실제 시스템 구축단계에서 회계법인이 주도하지 못하는 부분이 많기 때문에 SI의 비중이 점차 커질 것이라는 예측이다. 이 때문에 일부 SI 기업들은 IFRS 전담조직을 구성하고 솔루션을 개발하며 적극적으로 시장확산에 나서고 있다.

한편 IFRS 관련 솔루션 업체들은 회계법인이나 SI기업과 공조하는 형태로 참여하거나 비 금융권 시장을 공략하는데 주력하고 있다. 대부분 외산기업인 솔루션 벤더들이 국내영업력에 있어서 그만큼 힘을 발휘하지 못하는 면도 있고, 솔루션 벤더가 이 일을 주도하기에는 회계·IT 컨설팅과 관련된 부분의 비중이 크다는 문제도 있기 때문이다.

IFRS 시장이 기대하는 것 만큼 크게 확산되지 않을 것이라는 비관적인 전망도 조심스럽게 나오고 있다. IFRS 적용범위가 확실하지 않아 실제로 시장이 크지 않을 수도 있다는 분석도 나온다.
 
PCI-DSS, 아직은 이른 시점
PCI-DSS(Payment Card Industry Data Security Standard)는 미국 신용카드 협회에서 만든 데이터보안표준을 말한다. 신용카드사의 보안관리, 정책, 절차 등과 관련된 요건을 다방면으로 표준화 한 보안정책으로, 매우 강력한 컴플라이언스 중 하나로 꼽힌다.

우리나라의 경우 이와 관련된 논의가 실제로 진행된 적은 없지만, 미국 신용카드 협회가 내년부터 국내 전자결제시스템 사업자(PG)와 부가가치통신망 사업자(VAN)에게 PCI 요건을 마련하도록 권장하고 있기 때문에 이와 관련된 시장에 대한 기대가 서서히 일어나고 있다.

그러나 PCI-DSS 규정을 위해 구체적으로 시장이 형성될 것이라고 기대하기는 조금 무리한 면이 있다. 이 규정이 만들어진지 2년 밖에 되지 않았고, 포함하고 있는 범위가 너무 넓어 규제를 시행하고 있는 미국에서도 혼란을 겪고 있는 상황이므로 우리나라 컴플라이언스 시장에 큰 영향을 미칠 것이라고 분석하기는 이르다. 다만 현재는 권고 수준인 이 규정이 앞으로 강제규제로 전환될 가능성은 언제든지 있으므로 이에 대한 대비를 해 두는 것이 좋다는 점에서 앞으로 기대할만한 시장 중 하나로 꼽을 수는 있다.

IT업계 “컴플라이언스, 미리 준비해야”
우리나라의 컴플라이언스 시장은 오래 전부터 논의는 돼 왔지만 구체적인 무언가가 형성되고 있다고 보기는 어려운 측면이 있다. 앞서 살펴본 것과 마찬가지로 세계에서 최초로 시작된 공전소 사업은 막대한 예산이 투입됐음에도 불구하고 정부 정책의 부재로 고전을 면치 못하고 있다.

컴플라이언스의 목적은 기업의 리스크 관리와 투명성을 강화하고 기업이 보유한 정보를 보다 안전하게 하며 기업의 프로세스를 재정립해 보다 나은 경영환경을 만들며 비즈니스 경쟁력을 강화하기 위한 것이다. 우리 정부는 규제완화를 통한 기업의 투자촉진을 기본 원칙으로 하고 있기 때문에 앞으로 당분간 컴플라이언스 시장에 어떤 기대를 하기는 어려울 것으로 보인다.

이러한 현실적인 어려움에도 불구하고 IT업계에서는 컴플라이언스 시장 확산을 위한 전략을 보다 강력하게 밀고 나간다는 방침을 밝히고 있다. 기업이 직면한 대내외적인 도전 과제를 고려할 때, 이 시장이 빛을 보지 못하고 사라질 이유가 없다는 전망이다. 또한 해외로 진출하고자 하는 기업들은 해당 국가의 컴플라이언스를 반드시 준수해야 하기 때문에 이와 관련된 이슈는 앞으로 보다 확산될 것이라는 예상도 나오고 있다.

세계 금융IT 30%는 컴플라이언스 예산
우리나라에서 컴플라이언스 시장 확산을 위해서는 어떤 노력이 필요할까? 가장 시급한 것은 정부의 체계적인 정책 마련이다. 공전소 사업처럼 전자거래기본법을 통해 인정된 전자문서가 정작 법원에서 인정을 받지 못한다면 전자문서 보관 서비스를 이용할 하등의 이유가 없다.

언제나 뜨거운 감자가 되고 있는 개인정보보호법의 경우, 지난 몇 년 동안 통합법안의 필요성이 역설되면서 수많은 법안이 상정됐고, 법안 통과를 목전에 두고 있었음에도 불구하고 계속되는 정쟁에 밀려 여전히 표류하고 있다.

강일선 시만텍코리아 상무는 “우리나라에도 삼성이나 LG와 같은 글로벌 기업이 있기 때문에 선진국의 컴플라이언스에 대해 잘 이해하고 있고, 이러한 법안이 필요하다는 사실을 충분히 인식하고 있다”며 “그러나 국내에서는 정책부재와 함께 로컬기업과의 연동이 약해 확산이 더딘 면이 있다”고 말한다.

김종렬 한국넷앱 기술영업 부장은 “세계적으로 금융IT의 20~30%가 컴플라이언스 관련 예산이다. GS칼텍스 사건과 같은 대형 사고가 발생하면 기업의 존폐를 고민하게 될 정도로 규제가 강하기 때문에 컴플라이언스는 기업에 강력한 영향을 미치는 요인이 된다”며 “우리나라도 점차 컴플라이언스에 대한 요구가 늘어나고 있으므로 이와 관련된 인프라를 미리 준비하는 것이 좋다”고 강조했다.

컴플라이언스 기고

미래 규제에 적용·확장 가능한 데이터 관리 필요

김종렬 // 한국넷앱 부장
jongryul@netapp.com

아카이브와 컴플라이언스는 오늘날 모든 기업이 IT 분야에서 매우 중요하게 고려해야 하는 부분이다.

“데이터보호에만 국한 되는 것은 아니다”
오늘날 기업과 단체들은 저장하고 액세스해야 하는 데이터가 폭증하는 상황에 직면해 있다. 전문가들에 따르면 현재 데이터의 양은 9.2엑사바이트(EB)이며, 향후 5년간 10배 가까이 증가해 2013년에는 90EB 가까이 늘어날 것으로 예상된다.

저장해야 하는 데이터 양이 늘어나면 데이터 보안문제와 관리에 대한 요구도 늘어나게 된다. 이러한 데이터의 79% 이상은 매일 사무실에서 일을 하면서 네트워크에 저장되는 문서, 프로젝트 데이터, 디자인 파일과 같은 구조화되지 않은 데이터(비정형 데이터)다. 이러한 데이터가 늘어날수록 정보에 대한 관리는 더 어렵고 까다로워져 데이터 아카이브 및 컴플라이언스가 오늘날 많은 조직에서 주요 이슈가 되고 있다.

최근 컴플라이언스 데이터에 대한 요구가 데이터 보호에만 국한되는 것이 아니라 업계와 기업 환경, 비즈니스 시나리오에 따라 다양하게 변화한다. 이와 함께 운용적인 효율성, 컴플라이언스 규정 충족, 장기 데이터 보유 요구조건 등도 중요하게 고려해야 하는 요소들이다.

데이터 보호하며 무결성·진본성 입증해야
컴플라이언스와 관련된 데이터는 요구 조건에 따라 다음과 같이 네 가지로 구분 할 수 있다.

첫 번째는 백업, 복제 등을 통한 데이터의 보호이며 두 번째는 웜(WORM) 특성을 이용한 데이터의 무결성 및 진본성 확보이다. 세 번째는 보안 및 암호화를 통한 데이터의 기밀 보호이며, 마지막으로 네 번째는 데이터의 분류 및 검색을 통해 지정 기간 내에 필요한 데이터를 추출하는 e-디스커버리다.

2000년 초에는 기본적인 컴플라이언스 구현이 우선시됐다. 이 때문에 컴플라이언스 데이터의 저장과 관리에 있어 아카이브 파트너와 애플리케이션의 연동을 통한 접근성, 데이터의 불변성 보장 및 감사추적을 위한 진본성, 확장 및 성능, 기술의 단종방지를 위한 장기성, 비즈니스연속성과 재해복구, 관리최소화를 위한 관리성 등 컴플라이언스 자체에 대한 요구가 주요 기준이 됐다.

그러나 최근에는 이러한 기준에 변화가 나타났다. 최근 엔터프라이즈 전략그룹(ESG)에서 발표한 보고서에 의하면 향후 5년 동안 데이터량은 현재보다 10배 이상 늘어날 것으로 예상된다. 이에 따라 컴플라이언스 데이터의 장기간 보관이 요구되며, 효율적으로 아카이브 할 수 있어야 하고, 여러 가지 규제사항이 추가되면서 이를 준수하기 위한 비즈니스·IT 요구조건을 만족시키기 위한 또 다른 요구가 발생하고 있다.

이를 초기의 요구기준과 비교해 살펴보면 다음과 같은 변화가 눈에 띈다. 접근성 면에서 보면, 기존에는 폐쇄적인 애플리케이션이 주류를 이뤘지만 최근에는 용이한 검색 및 고성능이 필수적인 요건이 되면서 ‘Open’ ‘범용’이 대세로 떠올랐다. 진본성을 입증하는데 있어 기존에 적용되던 요건 외에 다양한 보안정책과 손쉽게 연동할 수 있는 아키텍처가 필요하게 됐다.
 
규정 준수를 위해 데이터를 장기적으로 보관하고 관리함에 따라 누적된 대량 컴플라이언스 데이터 처리 및 다양한 컴플라이언스를 지원할 수 있는 효율성과 유연성으로 대체됐다. 특히 효율성에서의 중복되지 않은 데이터 저장(Non-duplication)과 중복 데이터 제거(De-duplication), 시장 환경 변화에 대응하기 위한 유연성 등의 중요도가 날로 높아지고 있다.

이러한 컴플라이언스 데이터에 대한 요구의 변화는 급격한 컴플라이언스 데이터의 증가, 애플리케이션의 성능, 가용성, 비용 증대, 정책 기반의 보관, 용이한 자원의 재사용, 업무 협업의 증대 등의 시장 환경 변화를 반영한 것이다.

이 때문에 컴플라이언스 준수 및 경영 목표를 달성하기 위해 아카이빙 또는 기업 콘텐츠 관리 솔루션을 구현하고자 할 경우, 현재 및 향후의 규정과 비즈니스 요구 사항을 충족시킬 수 있는 유연하고 확장 가능한 스토리지 및 데이터 관리 인프라가 필요하다.

고성능 보장, 고확장성 제공, 효율적인 정책 기반의 연동, 각종 컴플라이언스의 완벽한 준수 지원, 비용 절감 및 비즈니스 위험의 최소화, TCO 절감 및 ROI 극대화 등을 제공하기 위한 컴플라이언스 환경 구현을 위해 변화된 요구를 효율적이고 유연하게 지원할 수 있는 데이터관리 인프라 아키텍처를 반드시 고려해야 하며, 이는 앞으로의 컴플라이언스 환경의 시작점이라 할 수 있다.

우리나라는 2008년 컴플라이언스와 관련된 법안이 정비되면서 대기업이나 금융권에서 공인전자문서보관소(이하 공전소) 사업에 참여하려는 움직임이 활발하게 일어나고 있어 본격적으로 공전소 사업이 탄력을 받고 있다.

공전소 사업자인 한국무역정보통신, LG CNS, 삼성SDS, 한전KDN 등에 이어 하나아이앤에스가 금융업계에서는 처음으로 사업자로 선정됐고, 스타뱅크, 코스콤 등이 공전소 사업에 진출을 선언했다. 미국발 금융 위기 여파로 전반적인 경제 침체를 겪고 있어 효율성 제고를 위해 금융권에서 비용절감을 위한 차원에서도 공전소 사업을 검토하는 추세다.

앞서 컴플라이언스 요구의 변화를 살펴본 것과 같이 현재뿐 아니라 미래의 규정이나 비즈니스 요건을 충족하기 위해서는 유연하고 확장 가능한 스토리지 및 데이터 관리가 필요하다. 기존 요구 사항을 충족하면서 추후에 규제요건이 바뀌는 경우에도 확장이나 적용할 수 있어야 하기 때문이다.

데이터센터 또는 원격 사무실에서 정형, 준정형, 비정형의 모든 데이터에 대해 규정을 준수하는 것은 물론 NFS 및 CIFS와 같은 개방형 표준을 사용해 애플리케이션을 쉽게 통합할 수 있어야 한다. 또한 컴플라이언스 위험을 줄이는 동시에 비즈니스 운영은 향상시킬 수 있는 인프라인지까지 검토해보아야 한다.