CIO가 조심해야 할 컴플라이언스 실수 7가지

CIO와 다른 기술 임원들은 데이터, 프라이버시, 보안, 기타 기술 요소가 포함된 모든 규정을 인지해야 한다. 그들은 조직이 미준수로 인해 엄청난 벌금을 선고받지 않도록 하는 데 중요한 역할을 할 수 있다.

의료 및 관련 분야의 IT 임원들은 오랫동안 전자 의료 정보의 보안 및 프라이버시를 의무화하는 HIPAA 등의 영향에 대응해야 했다. 하지만 규제 환경이 점차 복잡해졌고, EU의 GDPR과 CCPA 등 데이터 프라이버시에 관한 너무나 많은 새로운 규칙이 등장하면서 상황이 좀더 심각해졌다.

수십 개의 국가 및 미국의 주정부들은 개인 정보를 보호하기 위해 유사한 규정을 따르고 있다. 가트너는 2023년 말까지 현대의 프라이버시 법률이 전 세계 인구의 75%의 개인 정보에 적용될 것으로 전망했다.

IT시스템, 네트워크, 장치, 데이터와 관련된 규제 컴플라이언스는 오늘날 기업들이 피할 수 없는 현실이며, CIO들에게 상당한 우려를 유발하고 있다. 핵심은 문제를 유발하지 않으면서 컴플라이언스 노력을 돕는 것이다. 전문가들이 말하는 피해야 할 실수에 관해 알아본다.

감사를 적으로 취급하기
방어적인 자세를 취하지 않는 것이 쉽지 않다고 미들필드 뱅킹(Middlefield Banking)의 CIO 개리 컨이 말했다. 감사자와 조사자가 IT 이니셔티브와 컴플라이언스에 대한 영향에 관해 질문할 때 특히 그렇다. 그는 “잘 수립된 전략을 들쑤시고, 이에 대해 의견을 이야기할 것이다”라고 말했다.

하지만 마찰은 도움이 되지 않는다. 컨은 “항상 면대면으로 논의하고 그들의 관점에 관해 대화하며 그것이 환경을 개선할 수 있는 가능성에 관해 고민하는 것이 더 좋다. 컴플라이언스 규칙을 만든 사람들을 포함하여 모든 사람들이 같은 것을 추구하는 것이 좋으며, 이를 통해 실수를 방지하고 환경을 개선할 수 있으며 프로세스 투명성이 개선된다”라고 말했다.

컨은 은행 분야의 조사에서 이를 실감했다. 그는 “IT 조사 책임자와의 심층적인 논의를 통해 의견을 제시한 ‘이유’를 파악하고 우리가 대신에 하고 있는 일에 관해 방어적이지 않은 자세로 설명하기 위해 노력했다. 우리는 합의점에 도달했으며, 다음으로 넘어갔다”라고 말했다.

약 6개월 후, 조사자는 컨에게 조사자 연례 국내 교육 컨퍼런스에 뱅커 패널로 참석해 달라고 요청했다. 그는 “전체적인 프로세스에 대한 더 나은 인사이트를 얻을 수 있는 좋은 경험이었다”라고 말했다.

규제자들은 내부 감사(IA) 보고서에서 정보를 얻는 경우가 많다고 컨설팅 기업 프로티비티(Protiviti)의 기술 컨설팅 상무이사 사미르 다트가 말했다. 그는 “CIO가 숨는 대신에 협업하고 IA 프로세스를 포용하면 규제 검토에 앞서 규제 컴플라이언스를 선제적으로 해결할 수 있게 된다”라고 말했다.

잘못된 예외 처리
대부분의 규칙에는 예외가 있다. 이는 다양한 측면을 다루는 IT 규정에도 적용된다. 컨은 “모든 경우에 정답이 있는 경우는 드물며, 비즈니스, 보안, 고객 영향 균형이 있는 경우는 특히 그렇다. 따라서 예외 관리 프로세스를 마련하는 것이 좋다”라고 말했다.

여기에는 하고 있는 일 및 기존 컴플라이언스 규칙과 충돌할 수 있는 것, 컴플라이언스 목표를 달성하기 위해 취하고 있는 추가적인 조치, 규칙 우회를 영구적으로 수행하거나 정기적으로 검토하고 있는지 여부, 고위 비 IT 이해관계자가 예의 적합성에 대해 승인한 것 등을 문서화하는 것이 포함된다.

컨은 “당연하겠지만, 우회할 수 없는 규칙들이 있다. 하지만 ‘위험을 감수하는’ 비즈니스 결정을 내리는 상황에서는 완벽한 설명이 필요하다. 컴플라이언스 규칙의 의도는 다른 방식으로 처리할 수 있는 방법이나 각 상황에서 적절하지 않은 이유 등을 기록해야 한다”라고 말했다.

준비 실패
다른 측면과 마찬가지로 필요한 스킬, 경험, 지식의 부족은 컴플라이언스와 관련해서도 문제로 이어질 수 있다.

기술 제공기업 HPE의 CIO 라쉬미 쿠마르는 “강력한 컴플라이언스 전략을 팀에서 시작된다”라고 말했다. 그는 CIO는 IT와 관련된 규제 요건 변화를 해결하는 데 있어서 지속적인 개선 접근방식을 사용하는 컴플라이언스팀을 구성해야 한다고 말했다.

쿠마르는 “HPE의 글로벌 IT 컴플라이언스팀은 지속적인 개선 계획에 의지하며, 보고, 참여, 컨트롤 관리 영역에서 컴플라이언스 프로그램에 필요한 변화를 지속적으로 확인한다. 컴플라이언스에 대한 우리의 접근방식을 활용하면서 증거 제공 시간을 5일이나 개선할 수 있었다”라고 말했다.

컴플라이언스 노력은 교차 기능적이어야 한다고 쿠마르가 말했다. 그는 “우리는 (IT 내부와 외부의) 개인의 목표에 포함시킴으로써 모두가 컴플라이언스를 책임지도록 한다. 이를 통해 [회사는] 조직 전체의 지원과 참여를 확보하여, 궁극적으로 컴플라이언스 문화를 조성한다”라고 말했다.

컴플라이언스를 보안 기회로 바라보지 않기
의료 결재 기업 젤리스(Zelis)의 CISO 러셀 프루익스는 “IT와 사이버 보안 리더는 컴플라이언스 문제, 특히 규제 의무를 지속적으로 파악해야 하지만 목표는 항상 비즈니스, 회사 목표, 운영하는 영역을 적절히 지원하는 건전한 보안 프로그램이어야 한다. 그렇게 하면 컴플라이언스가 단순한 목표를 넘어설 수 있다”라고 말했다.

기본적인 보안 조치를 제대로 관리하지 못해 컴플라이언스에 장애물이 되는 경우가 많다고 프루익스가 말했다. 여기에는 적절한 패치 및 취약성 관리, 사용자 계정 보안 위생(직원이 조직을 떠날 때 시의적절하게 계정 없애기), 원격 액세스 시 이중 인증 사용, 모바일 장치를 위한 적절한 보안 및 모바일 장치 관리 등이 포함된다고 그가 말했다.

프루익스는 “적절한 보안은 하향식 접근방식이 필요하다”라며, “컴플라이언스를 지원하는 것을 포함하여 사이버 보안 프로그램 이니셔티브의 구현을 시도하기 전에 이사회, CEO, 임원진의 지지를 확보하여 분위기를 조성해야 한다”라고 말했다. 

그리고 IT와 보안이 비즈니스 부문과 협력하여 데이터 보호와 유동성을 확보하고 기업이 성장하고 경쟁력을 유지할 수 있도록 해야 한다고 그는 덧붙였다.

주요 기술 도구의 부재
컴플라이언스 요건을 해결하는 다양한 기술이 존재하며, 법률 및 컴플라이언스 팀들은 이를 조달할 책임이 있을 수 있지만 IT 리더는 분명 가장 적절한 솔루션을 선택하여 배치하도록 도울 수 있다.

2021년 9월, 가트너는 컴플라이언스 리더가 기술 투자를 집중해야 하는 3가지 영역을 제시했다. 하나는 기본적인 기록 시스템이다. 이런 컴플라이언스용 시스템에 투자하면 컴플라이언스를 위해 분석과 AI의 잠재력을 발현할 수 있는 데이터세트를 보고하고 구축하기 위해 필요한 즉석 데이터 캡처를 줄일 수 있다고 해당 기업이 밝혔다.

또 다른 하나는 디지털로 지원되는 워크플로우이다. 법률 및 컴플라이언스 팀들은 그 어느 때보다도 관리할 것들이 많으며, 규모가 큰 워크플로우를 디지털화 하는 것은 기술을 통해 가능하고 워크플로우를 크게 개선할 수 있다고 가트너가 밝혔다.

세 번째 영역은 디지털 위험 관리이다. 규제 변동성, 디지털 비즈니스 전환, 사이버 보안 위험 증가, 모니터링되는 위험 및 보안 활동으로부터 발생하는 정보의 규모로 인해 조직이 전통적인 아날로그 수단을 통해 위험을 효과적으로 관리하는 능력이 저하되고 있다고 해당 기업이 밝혔다.

컴플라이언스 리더는 위험 관리 및 컴플라이언스 관련 활동을 간소화하고 운영 수준 데이터 소스와의 시스템 통합을 통해 위험에 대한 이해를 개선할 수 있는 기회를 모색해야 한다는 설명이다.

일반적인 컴플라이언스팀을 위한 기술 도입 시 기업의 다른 기능에 뒤쳐진다고 가트너의 법률 및 컴플라이언스 활동 자문가 책임자 잭 후토가 말했다. 팀은 우선 근본적인 기록 시스템을 마련한 후 주요 워크플로를 용이하게 하는 도구에 투자한 후에 디지털 지원 위험 관리 등의 더욱 정교한 기회를 연구해야 한다고 그가 말했다.

규제의 의도를 파악하지 않기
경우에 따라 조직이 규제 의도를 제대로 파악하지 못해 혼란으로 이어질 수 있다. 이는 데이터 프라이버시 등의 IT 관련 문제에 적용될 수 있다.

다트는 “규제당국의 요구를 제대로 이해하지 못하고 답변하는 기업들을 많이 목격했다. 규제당국은 의견/MRA[Matters Requiring Attention]를 제공하는 경우가 많으며, 이것은 그들이 문제라고 생각하는 것에 대한 ‘힌트’가 된다”라고 말했다.

따라서 MRA 또는 의견의 장황함에 집중하는 대신에 조직은 그것이 의미하는 것이 무엇인지 파악해야 한다. 다트는 “규제당국과의 건전한 대화는 그 의미를 파악하는 데 도움이 된다”라고 말했다.

구조화된 거버넌스의 부재
조직에 실질적인 프로세스와 컨트롤이 있을 수 있지만, 위험 범위뿐 아니라 규제 요건에 대한 프로세스와 컨트롤의 일치도를 확인하는 구조화된 거버넌스와 위험 프레임워크가 없는 경우가 많다고 다트가 말했다.

다트는 “구조화되고 문서화된 프로세스가 없으면 기업 아키텍처/컨트롤이 정당화되지 않거나 규제 또는 기타 이탈의 문의에 응답할 때 상황이 복잡해지거나 잠재적인 맹점이 노출될 수 있다”라고 말했다.

CIO와 다른 기술 리더는 정보 보안, 기업 아키텍처, 애플리케이션, 인프라 팀들이 협력하여 설계상 기술 제공 시 규제 컴플라이언스를 통합할 수 있도록 전반적인 거버넌스 구조를 지원해야 한다.

dl-ciokorea@foundryco.com