정보보호 컴플라이언스(Compliance, 준법 감시)란 기업 내 모든 임직원들이 정보보호 관련 법률, 규정 등을 보다 철저하게 준수하도록 사전 또는 상시적으로 통제·감독하는 것을 말한다. 이러한 정보보호 컴플라이언스는 최근 개인정보 유출사건, 금융전산망 마비사건 등으로 기업에 대한 정보보호 관련 규제가 더욱 강화됨에 따라 그 중요성이 더욱 부각되고 있다.
 
이에 금융보안연구원에서는 ‘금융IT보안 컴플라이언스 연구보고서’를 통해 금융회사가 준수해야 하는 정보보호 관련 법률, 표준 등의 컴플라이언스 요구사항에 대해 효율적으로 대응할 수 있는 금융IT 보안 컴플라이언스 프레임워크를 제안했다.
 
◇컴플라이언스 중요성 대폭 강화=2011년 9월 30일 시행된 개인정보보호법의 경우 법적 처벌 대상 및 수준 강화, 집단분쟁조정 및 단체소송제도 근거 마련을 통한 개별 피해자들의 손해배상 가능성 등에 따라 컴플라이언스 위험은 더욱 높아질 예정이다. 또한 금융회사의 경우 지난 6월에 발표된 “금융회사 IT보안강화 종합대책”에 따라 금융회사의 IT보안사고에 따른 제제 수준이 대폭 강화될 예정이므로 해당 기업은 보다 철저한 컴플라이언스 준비가 필요하다.

                       <금융보안연구원 '금융IT보안 컴플라이언스 연구보고서' 이미지>

금융IT보안 컴플라이언스 연구보고서(이하 보고서)에 따르면, 최근 46개 다국적 기업을 대상으로 컴플라이언스 활동과 관련된 직·간접 비용은 Non 컴플라이언스 비용이 컴플라이언스 비용보다 약 2.65배 높은 것으로 조사되었다. 즉 비용적인 측면에서 컴플라이언스를 위한 보다 적극적인 대응이 오히려 그렇지 못한 경우보다 더욱 효과적이라는 사실을 보여준다.
 
그러나 기업의 컴플라이언스 준수는 쉬운 일이 아니다. 금융회사만 보더라도 준수해야 하는 정보보호 관련 법률이 전자금융거래법, 전자금융감독규정 등과 개인 신용정보보호 관련 신용정보보호법, 신용정보업감독규정 등이 있다. 그리고 타규제 기관에 의한 정보통신망법, 개인정보보호법, 정보통신기반보호법 등이 있다.
 
이와 같이 금융회사가 준수해야 하는 법률은 서로 다른 규제 기관마다 다양하게 존재하고 각 법률마다 요구하는 사항이 서로 중복되거나 상충될 가능성이 항상 존재한다. 또한 법률 자체의 특성상 정보보호를 위한 구체적인 방법 등이 제공되지 않는 점도 정보보호 컴플라이언스 대응을 어렵게 하고 있다.  
 
보고서가 제시하는 금융IT 보안 컴플라이언스 프레임워크는 다음과 같다.
 
◇ 금융IT 보안 컴플라이언스 프레임워크=금융IT 보안 컴플라이언스 프레임워크는 다음과 같은 4가지 기본 원칙이 보장될 수 있도록 구축되어야 한다.
-실효성 : 컴플라이언스 업무에 실제 적용 가능
-효율성 : 컴플라이언스에 소요되는 비용 최소화
-신뢰성 : 컴플라이언스 산출물에 대한 충분한 신뢰성 확보
-확장성 : 다양한 통제 프레임워크로 확장 가능
 
또한 금융IT 보안 컴플라이언스 프레임워크는 전사적인 차원에서 IT거버넌스와 연계되는 것이 필요하다. 그리고 정보보호 컴플라이언스가 요구되는 영역을 좀더 세분화하여 컴플라이언스 위험을 관리하는 것이 필요하다. 예를 들면 조직 내 정보보호 컴플라이언스가 필요한 핵심 영역으로 거버넌스 영역, 정보보호 영역, 개인정보보호 영역 등으로 구분할 수 있다. 또한 컴플라이언스 준수에 대해 지속적인 모니터링 및 측정이 필요하다.
 
보고서는 최근 금융보안사고 등으로 정보보호 관련 법률 위반 사항이 기업의 생존과 직결될 수 있는 위험으로 인식되면서 관련 규제 기관 및 주주 등 이해 당사자에게 정보보호 컴플라이언스에 대한 기업의 적극적인 노력과 성과에 대한 사실을 보여줄 필요가 있다고 강조했다.
 
이러한 관점에서 금융IT 보안 컴플라이언스 프레임워크는 금융당국의 정책 및 기업의 비즈니스 전략 등과의 연계가 반드시 필요하다. 또한 금융IT 보안 컴플라이언스는 정보보호 관련 법률, 표준 등을 관리하는 “컴플라이언스 통제 매트릭스 관리” 영역과 이러한 통제 매트릭스에 기반하여 금융회사의 업무 특성에 맞게 구축하는 “컴플라이언스 운영 관리” 영역으로 구분한다.
 
컴플라이언스 통제 매트릭스 관리 영역은 4가지 프로세스가 반복되는 구조를 갖는다. 통제 매트릭스 관리는 금융회사 내부에서 운영할 수도 있지만 보다 효율적인 운영관리를 위해 별도의 관리기관에서 운영하여 금융회사에 서비스할 수 있는 구조도 고려해봐야 한다고 보고서는 말한다.
-정보보호 컴플라이언스 문서 수집
-정보보호 컴플라이언스 상관관계 분석
-정보보호 컴플라이언스 영향도 분석
-정보보호 컴플라이언스 통제 매트릭스 갱신
 
또한 컴플라이언스 운영 관리는 컴플라이언스 통제 매트릭스 관리 영역의 통제매트릭스에 따라 금융회사 내부의 자체적인 컴플라이언스 체계를 구축 및 운영하는 것을 말한다. 컴플라이언스 운영 관리 영역은 PDCA 사이클에 기반한 다음의 5가지 세부 프로세스로 구성된다.
-컴플라이언스 요구사항 분석
-컴플라이언스 위험 분석
-컴플라이언스 대책 선정 및 구현
-컴플라이언스 자가 진단
-경영진 보고
 
◇컴플라이언스 변경사항 즉시 반영해야=보고서는 가장 핵심적인 과정인 문서 관리 방안과 상관관계, 영향도 분석에 대해서 상세히 설명하고 있으며 특히 국?내외 공식 사이트를 조사하여 금융회사 관련 정보보호 관련 법률, 표준 등의 문서를 수집하고 관리할 것을 강조했다. 이러한 문서의 특성상 수시로 제?개정이 이루어지기 때문에 지속적이고 체계적인 문서 관리 방안 마련이 필요하다.
 
또 컴플라이언스 상관관계 분석을 강조했다. 통제 매트릭스 관리 영역에서 가장 핵심적인 과정이다. 이러한 과정을 통해 각 정보보호 관련 법률, 표준 등이 Security, Privacy 영역의 각 통제 항목과 얼마나 많은 연관이 있는지를 파악할 수 있다. 또한 이러한 분석 결과는 신규 정보보호 관련 법률, 표준 등에 대해 조직 내 컴플라이언스 활동을 보다 전략적으로 운영할 수 있게 해준다. 뿐만 아니라 정보보호를 위한 보호대책 선정 시 컴플라이언스 위험도 함께 고려할 수 있는 장점을 가지고 있다는 것이다.
 
보고서는 특히 “정보보호 관련 법률, 표준 등은 필요한 요구사항이 발생할 때마다 제정, 개정, 폐기 등의 과정이 계속해서 일어난다. 따라서 이러한 변경사항을 즉시 반영하여 가장 최신의 자료를 유지하는 것이 컴플라이언스의 시작”이라고 강조했다. 금융기업뿐만 아니라 일반 기업도 컴플라이언스 압박에 자유로울 수 없다. 철저히 준비해야 한다. [데일리시큐=길민권 기자]