GDPR 두고 기업들 “가장 도입이 까다로운 규정”
규정 준수 위한 비용 평균 550만불...비준수 시 드는 비용 1480만불

[보안뉴스 문가용 기자] 기업들에 있어 보안 관련 규정 준수 문제는 돈과 직결돼 있다. 이른 바 ‘compliance is expensive.’ 규정과 표준을 지키는 건 값비싼 일이다. 하지만 그건 하나만 알고 둘은 모르는 얘기다. 실상은 규정을 안 지키는 게 더 비싸다. 이른 바 ‘non-compliance is even more expensive.’


최근 시장 조사 기관인 포네몬(Ponemon)은 53개의 다국적 기업들에서 근무하는 전문가 237명을 따로 인터뷰해서 컴플라이언스와 관련된 의견을 수집해 정리했다. 이번 연구의 가장 주요한 주제는 바로 ‘컴플라이언스의 경제적인 효과’였다. 곧 있으면 시행될 GDPR을 염두에 둔 연구였다. 물론 GDPR 외에도 PCI-DSS나 HIPAA와 같은 정책들도 이번 연구에 포함됐다.

연구 결과 2011년의 컴플라이언스 비용은 3백 5십만 달러였는데, 올해는 5백 5십만 달러로 약 43%나 증가한 것으로 나타났다. 그런데 넌컴플라이언스, 즉 표준과 규정을 지키지 않았을 때 드는 비용은 같은 기간 9백 4십만 달러에서 1천 4백 8십만 달러로 치솟았다.

즉 데이터 보호를 위한 여러 규정을 지키는 데에 충분한 돈을 쓰지 않으면 오히려 평균 2.71배의 돈을 더 쓰게 된다는 계산이 나온다고 포네몬은 정리한다. 이번 연구에 참여한 기업들의 경우 규정 및 표준 준수를 제대로 이행하지 않았을 때 드는 비용은 최소 2백 2십만 달러에서 최대 3천 9백만 달러였다.

이러한 연구 결과는 5월에 발효를 앞둔 GDPR 때문에 기업들 입장에서 더 큰 압박으로 다가온다. 이번 포네몬 연구에 참여한 인원들 중 90%가 GDPR을 두고 “가장 도입하기 까다로운 규정”이라고 말했다. 작년에 또 다른 시장 조사 기관인 다이멘셔널 리서치(Dimensional Research)가 비슷한 연구를 진행했을 때, 기업들은 GDPR 규정을 준수하기 위해 1백만 달러 이상 투자해야 할 것으로 예상하고 있었다.

그렇다면 이 ‘비용’이란 건 어떤 항목으로 구성되어 있을까? 포네몬은 규정을 준수할 때의 경우 데이터 보호, 규정 도입, 집행, 감사, 평가, 정책 개발, 사용자 훈련을 꼽았다. 규정을 준수하지 않았을 때는 사업 중단, 생산 차질, 벌금, 위약금, 복구 비용 등의 항목으로 비용이 계산됐다.

이번 연구를 후원한 글로벌스케이프(Globalscape)의 CTO인 피터 머쿨로프(Peter Merkulov)는 “준수 시 비용과 비준수시 비용을 비교했을 때의 결과가 너무나 놀라웠다”고 말한다. 위에 언급한 대로 올해만 ‘5백 5십만 달러(준수) vs. 1천 4백 8십만 달러(비준수)’라는 결과가 나왔기 때문이다. “비용의 측면에서만 봐도 컴플라이언스를 위해 돈을 쓰는 게 훨씬 현명합니다.”

하지만 혹자는 ‘비준수의 비용은 데이터 유출 사고가 터졌을 때만 발생하는 것 아닌가?’하고 물을 수 있다. 이에 대해 포네몬의 래리 포네몬(Larry Ponemon) 박사는 “그렇지 않다”고 잘라 말한다. “물론 사고가 가장 큰 비용을 발생케 하는 요인인 건 맞습니다. 하지만 그것 외에도 기업의 자금을 갉아먹는 요소들도 많습니다.”

예를 들어 국가 기관에 클라우드 서비스를 제공하는 업체라면 어떨까? 애초에 규정을 준수하고 있어야 계약이 성사되기도 하지만, 운 좋게 파트너십을 채결하고 눈속임으로 규정을 비껴간다면 어떻게 될까? 감사를 벗어나기가 어렵게 되고, 계약 파기는 물론 각종 손해 배상과 벌금, 위약금을 다 물어야 하며, 기업의 운영 방식과 워크플로우도 수정해야 한다. “데이터를 잃지 않더라도 이미 막중한 손해를 봐야 합니다. 또한 데이터 손실 없는 디도스 공격을 받더라도 비슷한 처지에 놓이게 되죠. 엄청난 돈이 새나가게 됩니다.”

다행히도 이런 점을 기업들도 이해했던지 이미 컴플라이언스를 위해 솔루션 및 새 장비를 구매하는 데에 평균 2백만 달러를 투자했다고 밝혔다. 2011년과 비교했을 때 이렇게 데이터 보안 기술에 대한 투자 비용은 36% 늘어났고, 사건 대응 툴 구매에 대한 투자 비용은 무려 64%나 늘어났다.

하지만 규정을 준수하는 데에 들어가는 ‘보이지 않는 비용’도 있다. 규정 관리를 하려면 담당자나 시스템을 마련해야 하고, 심지어 아키텍처와 거버넌스 과정을 새롭게 구축해야 할 수도 있다. 즉 인건비와 내부 감사 비용, 자체 평가 비용 등을 더 투자해야 제대로 규정을 준수할 수 있게 되는 것이다. 이 비용들을 다 합하면 만만치 않은 액수가 나온다. 이러한 간접 비용이 전체 ‘규정 준수 비용’의 40%까지 차지한다고 포네몬은 연구 결과를 통해 발표했다.

금융 기관들은 컴플라이언스를 위해 돈을 더 쓰는 편이다. 평균 3천 9십만 달러를 아낌없이 투자했다. 산업 부문과 에너지 부문의 기업들 역시 비교적 높은 액수를 투자하고 있었다(각각 2천 9백 4십만 달러와 2천 4백 8십만 달러).

민감한 정보를 수집, 저장, 관리, 공유하는 걸 업으로 삼는 산업 혹은 기업들일수록 컴플라이언스 비용이 높아진다고 포네몬의 보고서는 짚어내고 있다. “정보를 많이 가지고 있으면 있을수록 더 많은 규정들의 간섭을 받을 테고, 그러니 당연히 규정을 준수하는 데에 있어 더 많은 비용이 듭니다.” 그래서 운송, 기술, 의료 산업도 컴플라리언스 비용이 높은 것으로 나타났다. 그에 반해 미디어 관련 업체들의 컴플라이언스 비용은 평균 7백 7십만 달러로 꽤나 낮은 것으로 측정됐다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>