CIO, 컴플라이언스를 리스크로 인식해야....

기업 규제 준수가 IT 리스크·보안조치 결정하지 말아야

[보안뉴스 김태형] 규제 준수가 더 이상 IT 리스크 및 보안 조치 계획에서 CIO의 1순위 고려사항이 되지 않아야 한다는 주장이 나왔다.

글로벌 컨설팅 기관인 가트너(Gartner, Inc.)는 9일 컴플라이언스(Compliance)는 리스크 관리 프로그램을 적절하게 운영한 결과이지 CIO의 의사 결정을 좌우해서는 안되며 CIO는 단순한 규제 준수 보다는 적극적인 리스크 관리가 필요하다고 밝혔다.

가트너의 리서치 이사인 존 A. 휠러(John A. Wheeler)는 “기업이 단순히 개별 컴플라이언스 요건을 충족시키기에 급급하다면 위기관리 리더보다는 규칙을 따르는 추종자에 머물게 된다”면서 “CIO는 컴플라이언스가 비즈니스 의사 결정을 좌우하는 상황을 지양하고 기업의 잠재적 위협을 적극적으로 관리하는 리스크 리더가 되어야 한다”고 말했다.

리스크 리더는 주요한 규제 및 비즈니스 변화를 추적함으로써 예상되는 컴플라이언스 리스크를 평가한다. 이후 전략적이고 적극적으로 컴플라이언스 요건을 충족할 계획을 세움으로써 회복력을 개선하고 비즈니스를 성공으로 이끌 수 있다. 

휠러 이사에 따르면 다수의 기업이 여전히 컴플라이언스 활동을 체크박스 점검 활동 정도로 취급하면서 근본적인 리스크에는 신경을 쓰지 않고 있다. 그는 “기업은 체크박스 점검 차원의 소극적인 태도를 벗어나서 컴플라인언스를 리스크로 인식해야 한다”고 말했다.

기업은 예상되는 리스크 강도나 영향과는 별개로 의무적인 통제 조치를 실행하는 ‘전형적인’ 컴플라언스 방식 대신, 자체적인 리스크 평가 활용을 강화할 수 있다. 휠러 이사는 “CIO가 리스크를 효율적으로 관리하고 있다면, 컴플라이언스 요건이 충족되는 것이지, 그 반대가 아니다”라고 덧붙였다.

급증하는 규제 요건을 감안하면, 기업이 미래 지향적인 적응 방안을 고안하기란 쉽지 않다. CIO는 개별 규제를 따라 가는데 그치는 경우가 많고 이러한 관행은 반드시 중단 되어야 한다.

휠러 이사는 “CIO는 자사 비즈니스에 적용되는 리스크를 선별하고 실제 상황을 바탕에 둔 공식적이고, 논리적인 통제 조치를 만들어야만 한다”면서 “미리 선별된 통제 조치에 규칙과 법을 반영해야 하며, 법이 적절하게 다루어질 수 있도록 방어 가능한 논거를 마련해야 한다”고 말했다.

이러한 측면에서 컴플라이언스는 통제 맵핑 및 방어 활동에서 다루어지는 리스크의 한 카테고리로 볼 수 있다. 급변하는 규제 환경에 적응가능하며 예상 리스크로부터 기업을 보호할 수 있는 공식 프로그램을 구축하기 위해서는 보안 및 리스크 관리 팀과 CIO의 협력이 무엇보다 중요하다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>