Offcanvas

How To / 리더십|조직관리 / 보안

칼럼 | 생각 없는 규제 준수가 기업 리스크를 위협하는 이유

2013.10.15 John Schroeter, Tom Pendergast  |  CSO
미 보건복지부(Department of Health and Human Services)는 최근 훈련의 부재가 건강 보험 양도 및 책임 법률(HIPAA, Health Insurance Portability and Accountability Act) 준수에 부정적 영향을 미침을 입증한 바 있다.

그리 놀라운 발표는 아니었다. 수많은 기관들이 인식 훈련에 소홀해왔다는 점이나, HIPAA 위반 사례가 증가하고 있다는 사실 모두 이미 알고 있던 것들 아닌가? 이번 보고서의 의의는 이 사실이 공식적으로 증명되었다는 것뿐일 것이다.

법률적 의미의 ‘준수(compliance)’를 따르기 위해서는, 어떠한 형태로던 일정 수준의 훈련이 필요하다는 것은 명확한 사실이다. 그러나 여기에 더해 이번 보건복지부의 보고서(그리고 이와 맥을 같이하는 기타 보고서들)는 올바르지 못한 훈련을 진행하는 것은 아예 훈련을 하지 않는 것과 별반 다르지 않은(혹은 그보다 더 좋지 않은) 결과로 이어진다는 데까지 논의를 확장시키고 있다. 이것이 많은 준수 훈련이 실패로 끝나는 이유일 것이다.

이제는 지켜야 할 최소한의 사항들만을 교육하는 것만으론 충분치 않다. 만약 이 문제와 관련해 초보 단계에 머무르고 있다고 느낀다면, 단순히 어떻게 원칙을 준수할 지만을 고민하는 대신, 당신의 기관이 ‘준수'라는 개념의 본질을 명확하게 이해하고 있는지를 먼저 고민해보라.

당신이 준수 문제의 핵심을 이해하고 있다고 생각된다면, 다음으로는 고객과 환자, 주주, 그리고 다른 모든 관계자들의 이해를 존중하는 문화를 양성하고 있는지 확인해보자.

기관의 모든 구성원이, 건강 정보나 신용카드 데이터 등 보호가 필요한 모든 유형의 개인 정보의 보안에 자신들 모두가 책임이 있음을 이해하고 있는가? 기관의 임원진은 프라이버시와 보안의 중요성을 이해하는데 적극적인가?

이 물음들에 대한 대답이 ‘아니다'라면, 당신의 기관엔 프라이버시 경쟁력뿐 아니라, 준수 역량 역시 갖춰져 있지 않다고 해석하는 것이 옳을 것이다. 여기 미흡한 ‘준수' 상태가 어떻게 당신을, 그리고 당신의 고객들을 위험한 상황으로 몰고 가는지를 설명해 줄 4가지 단서들을 소개한다.

1. 최소한의 의무 훈련만으로 기관이 책임에서 벗어날 수 있으리라 생각한다
HIPAA 준수 과정에서 어려움과 직면한 여러 기관들에게 물어보라. 말 그대로 ‘수 많은’ 기관들이 HIPAA 규정을 따르는 상황 속에서도, 그리고 규제 요구를 충족하는 수준의 훈련을 진행하면서도 법률적 무지에 관한 어려움을 호소하고 있는 것이 현실이다.

왜? HIPAA 규제의 초점은 행동 양식 변화에 있다는 것을 간과한 점이 주요한 이유일 것이다. 그 결과 기관들은 진료 표준의 위배, 바꿔 말해 부적절한 건강 정보 공개라는 오류를 범하게 될 수 있다. 준수 문제의 본질을 이해하지 못함으로써 훈련의 효율성이 떨어지고, 결국 문제가 발생하게 되는 것이다. 법률이 제시하는 사항만을 따름으로써 문제를 경험하게 되는 사례는 점점 더 증가하고 있다.

2. 목표를 규제 준수로 설정한다
규정을 준수하는 기관은 절대 안전하고 안정적인 기관과 동의어가 아니다. 목표가 규제 위반으로 인한 패널티를 회피하는 것이라 생각한다면, 그것은 큰 오산이다. 과태료는, 정보 유출 등의 문제로 잃게 될, 고객 신뢰나 고객 수 자체, 시장 지위 등과 비교하면 말 그대로 새 발의 피에 불과한 것이다. 준수는 기관과 고객을 보호하는 첫 단추임을 기억하자. 다시 한 번 강조하지만 법률의 지향은 보안 인식의 문화를 자리잡게 하는데 있기 때문이다.

3. 요구 항목들을 점검하면 전반적인 리스크 프로파일이 개선될 것이라 믿는다
결론부터 말하자면, ‘항목 체크' 접근법은 리스크 프로파일을 매우 취약하게 만들 것이다. “모든 항목을 확인했으니, 점검 끝!”이라는 식의 잘못된 보안 감각을 심어줄 수 있기 때문이다. 그리고 이는 재앙으로 이어질 수 있는 인식이다.

보안 점검 항목이란 점점 더 증대되어만 가는 오늘날의 위협 상황과 비교하면 정말 기초적인 수준에 불과하다. 이러한 사실을 간과함으로써 발생하는 타격은 단순한 기업 정보 유출 및 고객 프라이버시 침해뿐만이 아닌, 보다 근본적으로, 당신의 평판에까지 가해질 수 있음을 명심하자.

4. 기초적 표준 준수 이상의 훈련이 만들어내는 차이를 믿지 않는다
여기 두 기관이 있다. 한 기관은 단기적 인식 훈련만을 시행하고 있고, 다른 한 조직은 문제를 보다 심도 있게 고민하는 모습을 보여준다. 고객이라면 어느 쪽이 더 믿음직할까? 일 년에 삼십 분의 파워포인트 프레젠테이션만으로 훈련은 충분하다고 믿는 기관의 보안 수준이 연중 정기적인 점검을 진행하는 기업의 그것보다 뛰어날 가능성은 절대 없다.

자신이 효율성을 강조하는 CEO여서 이 조언을 믿지 못하겠다면, 둘 사이에 정말 차이가 없는지 한 번 실험해봐도 좋다. 그 실험을 위해선 당신의 기관에 제대로 된 인식 훈련 프로그램이 갖춰져야 하고, 결과적으론 의미 있는 가치가 창출될테니 말이다.

정리하자면, 준수해야 될 것은 몇 줄의 법률 문구가 아닌, 그 이면의 본질적, 전략적 의미인 것이다. 이 과정이 소홀히 된다면 당신의 기관은 위협에 노출될 것이고, 따라서 고객의 신뢰를 잃고 브랜드의 명성이 악화되는, 그리고 물리적 손실 역시 경험하는 결과를 경험하게 될 것이다.

직원들의 습관을 변화시키는 훈련에는 그리 많은 돈이 들어가지 않는다. 하지만 그것을 통해 당신의 보안 장벽이 강화됨으로써 얻어지는 법률적, 고객 서비스적 가치는 막대할 것이다.

* John Schroeter은 보안 의식 훈련 솔루션 기업 미디어 프로의 마케팅 디렉터다. Tom Pendergast 박사는 미디어프로에서 제품 전략 및 지침 디자인 담당 디렉터다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.