Offcanvas

CIO / CSO / How To / 보안

CIO가 조심해야 할 컴플라이언스 실수 7가지

2021.11.25 Bob Violino  |  CIO
컴플라이언스는 거의 모든 기업에게 피할 수 없는 현실이다. 특히 의료, 금융서비스, 정부 등 규제가 엄격한 산업에서는 더욱 그렇다. 컴플라이언스를 법률, 컴플라이언스, 위험 관리, 기타 부서가 담당하는 경우가 많지만 IT 또한 분명 조직의 컴플라이언스 노력에 개입돼 있다.

CIO와 다른 기술 임원들은 데이터, 프라이버시, 보안, 기타 기술 요소가 포함된 모든 규정을 인지해야 한다. 그들은 조직이 미준수로 인해 엄청난 벌금을 선고받지 않도록 하는 데 중요한 역할을 할 수 있다.

의료 및 관련 분야의 IT 임원들은 오랫동안 전자 의료 정보의 보안 및 프라이버시를 의무화하는 HIPAA 등의 영향에 대응해야 했다. 하지만 규제 환경이 점차 복잡해졌고, EU의 GDPR과 CCPA 등 데이터 프라이버시에 관한 너무나 많은 새로운 규칙이 등장하면서 상황이 좀더 심각해졌다.

수십 개의 국가 및 미국의 주정부들은 개인 정보를 보호하기 위해 유사한 규정을 따르고 있다. 가트너는 2023년 말까지 현대의 프라이버시 법률이 전 세계 인구의 75%의 개인 정보에 적용될 것으로 전망했다.

IT시스템, 네트워크, 장치, 데이터와 관련된 규제 컴플라이언스는 오늘날 기업들이 피할 수 없는 현실이며, CIO들에게 상당한 우려를 유발하고 있다. 핵심은 문제를 유발하지 않으면서 컴플라이언스 노력을 돕는 것이다. 전문가들이 말하는 피해야 할 실수에 관해 알아본다.
 
Image Credit : Getty Images Bank


감사를 적으로 취급하기
방어적인 자세를 취하지 않는 것이 쉽지 않다고 미들필드 뱅킹(Middlefield Banking)의 CIO 개리 컨이 말했다. 감사자와 조사자가 IT 이니셔티브와 컴플라이언스에 대한 영향에 관해 질문할 때 특히 그렇다. 그는 “잘 수립된 전략을 들쑤시고, 이에 대해 의견을 이야기할 것이다”라고 말했다.

하지만 마찰은 도움이 되지 않는다. 컨은 “항상 면대면으로 논의하고 그들의 관점에 관해 대화하며 그것이 환경을 개선할 수 있는 가능성에 관해 고민하는 것이 더 좋다. 컴플라이언스 규칙을 만든 사람들을 포함하여 모든 사람들이 같은 것을 추구하는 것이 좋으며, 이를 통해 실수를 방지하고 환경을 개선할 수 있으며 프로세스 투명성이 개선된다”라고 말했다.

컨은 은행 분야의 조사에서 이를 실감했다. 그는 “IT 조사 책임자와의 심층적인 논의를 통해 의견을 제시한 ‘이유’를 파악하고 우리가 대신에 하고 있는 일에 관해 방어적이지 않은 자세로 설명하기 위해 노력했다. 우리는 합의점에 도달했으며, 다음으로 넘어갔다”라고 말했다.

약 6개월 후, 조사자는 컨에게 조사자 연례 국내 교육 컨퍼런스에 뱅커 패널로 참석해 달라고 요청했다. 그는 “전체적인 프로세스에 대한 더 나은 인사이트를 얻을 수 있는 좋은 경험이었다”라고 말했다.

규제자들은 내부 감사(IA) 보고서에서 정보를 얻는 경우가 많다고 컨설팅 기업 프로티비티(Protiviti)의 기술 컨설팅 상무이사 사미르 다트가 말했다. 그는 “CIO가 숨는 대신에 협업하고 IA 프로세스를 포용하면 규제 검토에 앞서 규제 컴플라이언스를 선제적으로 해결할 수 있게 된다”라고 말했다.

잘못된 예외 처리
대부분의 규칙에는 예외가 있다. 이는 다양한 측면을 다루는 IT 규정에도 적용된다. 컨은 “모든 경우에 정답이 있는 경우는 드물며, 비즈니스, 보안, 고객 영향 균형이 있는 경우는 특히 그렇다. 따라서 예외 관리 프로세스를 마련하는 것이 좋다”라고 말했다.

여기에는 하고 있는 일 및 기존 컴플라이언스 규칙과 충돌할 수 있는 것, 컴플라이언스 목표를 달성하기 위해 취하고 있는 추가적인 조치, 규칙 우회를 영구적으로 수행하거나 정기적으로 검토하고 있는지 여부, 고위 비 IT 이해관계자가 예의 적합성에 대해 승인한 것 등을 문서화하는 것이 포함된다.

컨은 “당연하겠지만, 우회할 수 없는 규칙들이 있다. 하지만 ‘위험을 감수하는’ 비즈니스 결정을 내리는 상황에서는 완벽한 설명이 필요하다. 컴플라이언스 규칙의 의도는 다른 방식으로 처리할 수 있는 방법이나 각 상황에서 적절하지 않은 이유 등을 기록해야 한다”라고 말했다.

준비 실패
다른 측면과 마찬가지로 필요한 스킬, 경험, 지식의 부족은 컴플라이언스와 관련해서도 문제로 이어질 수 있다.

기술 제공기업 HPE의 CIO 라쉬미 쿠마르는 “강력한 컴플라이언스 전략을 팀에서 시작된다”라고 말했다. 그는 CIO는 IT와 관련된 규제 요건 변화를 해결하는 데 있어서 지속적인 개선 접근방식을 사용하는 컴플라이언스팀을 구성해야 한다고 말했다.

쿠마르는 “HPE의 글로벌 IT 컴플라이언스팀은 지속적인 개선 계획에 의지하며, 보고, 참여, 컨트롤 관리 영역에서 컴플라이언스 프로그램에 필요한 변화를 지속적으로 확인한다. 컴플라이언스에 대한 우리의 접근방식을 활용하면서 증거 제공 시간을 5일이나 개선할 수 있었다”라고 말했다.

컴플라이언스 노력은 교차 기능적이어야 한다고 쿠마르가 말했다. 그는 “우리는 (IT 내부와 외부의) 개인의 목표에 포함시킴으로써 모두가 컴플라이언스를 책임지도록 한다. 이를 통해 [회사는] 조직 전체의 지원과 참여를 확보하여, 궁극적으로 컴플라이언스 문화를 조성한다”라고 말했다.

컴플라이언스를 보안 기회로 바라보지 않기
의료 결재 기업 젤리스(Zelis)의 CISO 러셀 프루익스는 “IT와 사이버 보안 리더는 컴플라이언스 문제, 특히 규제 의무를 지속적으로 파악해야 하지만 목표는 항상 비즈니스, 회사 목표, 운영하는 영역을 적절히 지원하는 건전한 보안 프로그램이어야 한다. 그렇게 하면 컴플라이언스가 단순한 목표를 넘어설 수 있다”라고 말했다.

기본적인 보안 조치를 제대로 관리하지 못해 컴플라이언스에 장애물이 되는 경우가 많다고 프루익스가 말했다. 여기에는 적절한 패치 및 취약성 관리, 사용자 계정 보안 위생(직원이 조직을 떠날 때 시의적절하게 계정 없애기), 원격 액세스 시 이중 인증 사용, 모바일 장치를 위한 적절한 보안 및 모바일 장치 관리 등이 포함된다고 그가 말했다.

프루익스는 “적절한 보안은 하향식 접근방식이 필요하다”라며, “컴플라이언스를 지원하는 것을 포함하여 사이버 보안 프로그램 이니셔티브의 구현을 시도하기 전에 이사회, CEO, 임원진의 지지를 확보하여 분위기를 조성해야 한다”라고 말했다. 

그리고 IT와 보안이 비즈니스 부문과 협력하여 데이터 보호와 유동성을 확보하고 기업이 성장하고 경쟁력을 유지할 수 있도록 해야 한다고 그는 덧붙였다.

주요 기술 도구의 부재
컴플라이언스 요건을 해결하는 다양한 기술이 존재하며, 법률 및 컴플라이언스 팀들은 이를 조달할 책임이 있을 수 있지만 IT 리더는 분명 가장 적절한 솔루션을 선택하여 배치하도록 도울 수 있다.

2021년 9월, 가트너는 컴플라이언스 리더가 기술 투자를 집중해야 하는 3가지 영역을 제시했다. 하나는 기본적인 기록 시스템이다. 이런 컴플라이언스용 시스템에 투자하면 컴플라이언스를 위해 분석과 AI의 잠재력을 발현할 수 있는 데이터세트를 보고하고 구축하기 위해 필요한 즉석 데이터 캡처를 줄일 수 있다고 해당 기업이 밝혔다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.