정보 센터

규정 준수 문제 해결: 반드시 알아두어야 할 사항

규정 준수는 규모에 관계없이 모든 기업이 직면하는 복잡하고 가변적인 과제입니다. 컴플라이언스 상태를 유지하는 것은 물론 최신 규정까지 준수하는 것은 만만치 않을 수 있습니다. 클라우드 스토리지 및 서비스가 폭발적으로 증가하면서 이 주제가 더욱 중요해졌습니다.

각종 규제 요건에 대한 컴플라이언스를 보장하지 않으면 무거운 제재, 평판 손상, 심지어 경우에 따라 형사 기소로 이어질 수 있습니다. 컴플라이언스 불이행에 따른 리스크가 매우 크기 때문에 어떤 기업도 무시하기 어렵습니다.

게다가 컴플라이언스를 달성하고 유지하는 것이 이제 비즈니스 보안의 핵심 요소가 되었습니다. 데이터에 따르면, 제안 요청서(RFP) 제출 시 사이버 보안을 증명해야 하는 기업이 50% 가까이 됩니다.

대부분의 기업에서 규정 준수를 달성하고 유지하기란 쉽지 않습니다. 다행히 업계 표준을 계속 준수하면서 이러한 리스크를 방지하는 방법이 있습니다.

규정 준수가 무엇을 수반하고 기업 전반에 어떤 영향을 미치는지 파악함으로써 기업이 선제적으로 법적 의무를 이행하기 위한 전략을 수립할 수 있습니다.

규정 준수란 무엇이고 어떻게 달성할 수 있는지, 불이행 시 어떤 리스크가 있는지, 그리고 베리타스가 컴플라이언스 요건 이행을 어떻게 돕는지 살펴봅니다.

규정 준수란?

성공적으로 서비스를 제공하려면 무엇보다 소비자와 소통하면서 데이터를 처리하고 저장할 수 있어야 합니다. 이는 지난 수십 년간 기술의 발전으로 훨씬 수월해졌습니다.

하지만 이는 기업이 승인 목적으로 소비자의 데이터를 사용하고, 승인받지 않은 이들의 접근으로부터 보호할 것이라는 소비자의 신뢰를 전제로 합니다. 이러한 신뢰가 지켜지지 않고 공격자들이 취약한 보안 시스템을 노리면서 기업이 반드시 지켜야 할 엄격한 규정이 마련됩니다.

여기서 규정 준수 활동이 시작됩니다. 즉, 지방자치단체, 중앙 정부, 국제적인 차원에서 비즈니스 환경에 적용되는 각종 법률 및 규정을 준수하는 것입니다. 정확한 요건은 산업 유형과 운영 규모에 따라 달라질 수 있습니다.

이러한 규정을 준수하지 않은 기업은 엄격한 제재를 받고 벤더와의 관계도 위태로울 수 있습니다. 규정 준수를 통해 기밀 정보를 보호할 뿐만 아니라 직원의 안전도 보장할 수 있습니다.

규정 준수 요건은 미국 HIPAA(Health Insurance Portability and Accountability Act), 2016년에 제정된 유럽 연합의 GDPR(General Data Protection Regulation), SOX(Sarbanes-Oxley Act) 등 다양한 형태로 나타날 수 있습니다.

규정 준수와 회사 차원의 컴플라이언스를 혼동하기 쉽지만, 이 둘은 서로 다른 개념입니다. 후자는 내부 정책 및 절차를 대상으로 하며, 전자는 정부, 업계, 국제 규정을 준수하는 것을 의미합니다.

규정 준수가 중요한 이유

지난 100여 년간 무수히 많은 법적 의무, 규정, 표준, 지침이 제정되고 시행되었습니다. 여기에는 타당한 이유가 있습니다. 데이터 보안이 중대한 문제가 되었기 때문입니다.

따라서 컴플라이언스는 이제 금융 서비스 또는 의료/보건 업계만의 관심사가 아닙니다. 모든 산업 분야에서 핵심 업무 영역과 관련된 성공의 필수 요소가 되었습니다.

규정 준수는 규모에 관계없이 모든 기업의 중대 과제입니다. 기업이 감사 및 실사를 통과하는 데 도움이 될 뿐만 아니라 데이터 유출 또는 기타 사고에 따른 법적 분쟁으로부터 기업을 보호합니다.

각종 규정을 준수하면 고객의 신뢰를 높이는 데 도움이 됩니다. 고객은 본인의 데이터가 안전한 상태인지, 그리고 기업이 데이터를 보호하기 위해 필요한 조치를 수행하는지 알고 싶어합니다.

기업 역시 컴플라이언스 데이터를 활용하여 성과 개선, 효율성 제고 등과 같은 다양한 이점을 누립니다. 예를 들어, HIPAA를 준수하는 회사라면 기밀 환자 정보를 전자적으로, 안전하게 공유할 것입니다.

데이터 보안 및 정기적인 백업이 수행되는 기업은 운영을 간소화하고 고객 서비스를 개선하는 데 집중할 수 있습니다. 그러면 프로세스의 효율성과 경제성이 향상되면서 회사의 수익도 상승할 것입니다.

기업에 규정 준수가 중요한 이유

해당 산업의 고유한 규제 정책에 대비하고 준수하는 것은 경제적 제재를 방지하는 것 이상의 필수 과제입니다. 재정적 안전성뿐만 아니라 비즈니스 연속성도 보장하기 때문입니다. 규정 준수 요건과 다른 법적 문제의 차이점을 올바르게 이해함으로써 더 효과적인 컴플라이언스 활동으로 뜻하지 않은 상황에서도 비즈니스를 보호할 수 있습니다.

기업의 디지털 자산 및 데이터이 해당하는 모든 규정을 준수하도록 인프라스트럭처를 구축하고 기업 표준을 마련하는 경우 다음과 같은 이유로 규정 준수를 우선적으로 고려해야 합니다.

  • 불필요한 소송 예방 - 컴플라이언스 지침을 따르지 않는 기업은 리스크에 노출되고 향후 소송에 휘말릴 가능성이 커집니다. 데이터 유출이 발생한 기업은 수백만 달러의 막대한 합의금을 지불해야 할 수도 있습니다.
  • 재무 보안 - 규정 준수 불이행으로 심각한 타격을 받을 수 있습니다. 금융 업계에서 이미 경험한 것처럼 한 번의 실수로 인해 회사에 수백만 달러의 과징금이 부과되기도 합니다. 실제로 지난해 컴플라이언스 불이행 과징금 납부액이 113억 9천만 달러에 달합니다.
  • 브랜드 평판 보호 - 데이터 유출 사고가 발생한 기업의 이미지가 크게 실추될 수 있습니다. 이를테면 고객이 해당 브랜드에 대한 신뢰를 잃고 더는 구매하지 않겠다고 생각하면서 서비스의 서브스크립션이 줄거나 제품 매출이 급감합니다. 이는 비즈니스의 전반적인 수익성에 상당한 영향을 미칩니다.
  • 비즈니스 연속성 - 규정을 통한 관리 감독으로 기업에 재해가 발생하더라도 신속하고 효과적으로 복구할 수 있게 합니다. 그렇지 않으면 단 한 번의 실수로 비즈니스가 중단되고 막대한 과징금 부과, 다운타임 장기화, 고객 이탈 등으로 이어질 수 있습니다. 따라서 해당 규정을 충실히 이행하는 것이 장기적인 성공을 보장하는 데 중요합니다.
  • 해킹 차단 - 규정 준수를 위한 디지털 안전 프로토콜을 구현함으로써 외부 공격자로부터 중요 정보를 보호할 수 있습니다. 사이버 보안 표준은 해킹, 악성 코드, 직원에 의한 남용 등의 위협으로부터 데이터를 보호하여 어떤 기밀도 실수로 유출되지 않게 합니다.

컴플라이언스 실패로 인한 리스크와 비용

지방자치단체, 중앙 정부 등에서 마련한 규정을 지키지 않은 기업은 큰 위험에 노출되고 치명적인 결과를 맞이할 수도 있습니다. 수많은 소송에 휘말리면서 막대한 벌금이 부과되는 것은 물론이고 연루된 사람들이 형사 처벌을 받으면서 결국 돌이킬 수 없는 비즈니스 손실과 파산으로 이어지고 회사가 문을 닫기도 합니다.

이러한 심각한 사태가 벌어지지 않게 하려면, 기업 차원에서 필수 규정을 철저히 준수하고 올바른 표준을 구현하는 등 세세하고 선제적인 조치를 해야 합니다.

데이터 유출로 인해 발생하는 평균 비용이 2021년 건당 424만 달러에서 2022년 435만 달러로 늘어나 사상 최고치를 기록했습니다. 규모에 관계없이 단 한 번의 사고가 기업의 재정을 위태롭게 할 수 있습니다. 성장 단계의 기업에서는 더욱 그렇습니다. 이러한 이벤트로 인해 평판이 타격을 입는 순간 예측할 수 없는 판매 손실이 발생하고 진행을 방해하여 장기적으로 연속성을 손상시킬 수 있습니다.

신뢰는 자칫 상실하면 엄청난 파급 효과를 초래하는 매우 취약한 자산입니다. 이는 고객 충성도 및 고객 유지, 그리고 벤더로부터의 상품, 서비스, 금융 지원 확보 능력에 영향을 미칩니다.

데이터 유출 또는 침해 사고의 부수적 영향 중 특히 우려되는 것은 본인의 개인 정보가 제대로 보호되지 않는다고 느끼는 직원의 퇴사입니다. 그로 인해 브랜드 이미지가 더욱 실추되고 향후 인재 채용에 더 큰 어려움이 생길 수 있습니다.

예를 들어, HIPAA 및 기타 규정을 지키지 않아 심각한 상황이 벌어지기도 합니다. 보험사가 귀사에 대한 지원을 중단하고, 그러면 이 보험사를 이용하는 환자가 더는 귀사에 비용을 지불할 수 없습니다.

그러면 귀사의 서비스를 이용할 수 있는 사람들의 수가 제한되므로 수익에 악영향을 미칠 것입니다. 마찬가지로 금융 분야에서도 특정 신용 카드를 제품 또는 서비스 구입에 사용하는 것을 금지하는 등의 규제 기준이 있으며, 위반 시 징벌적 결과를 감수해야 합니다.

컴플라이언스 불이행에 따른 과징금을 납부한 후에도 이미 발생한 문제를 바로잡고 복구하는 데 상당한 리소스를 투입해야 합니다. 인프라스트럭처를 재설계하고 프로세스를 조정하는 데에도 막대한 비용이 듭니다. 게다가 컴플라이언스 위반이 확인된 업계에서 계속 비즈니스를 수행해야 합니다.

여러 산업 분야의 컴플라이언스

공통적으로 적용되는 규정도 있지만, 특정 산업을 대상으로 하는 규정이 대부분입니다. 따라서 규제 컴플라이언스와 관련해서는 귀사가 종사하는 업종에 적용되는 각종 규정을 철저히 파악하는 것이 중요합니다.

귀사의 데이터 관리 및 비즈니스 수행 방식에 각종 표준이 적용될 수 있으나, 귀사가 속한 틈새 영역에 직접적으로 적용되는 표준을 찾아내야 모든 요건을 성공적으로 이행하는 것이 가능해집니다.

표준 규제 프레임워크의 예를 들면 다음과 같습니다.

  • HIPAA(Health Insurance Portability and Accountability Act) - HIPAA에서는 환자 정보의 안전하고 효율적인 처리를 위해 의료 기관의 데이터 저장, 접근, 관리, 공개에 관한 기준을 제시합니다.
  • SOX(Sarbanes-Oxley) - Enron 사태 이후에 상장 기업의 회계 절차를 감시하기 위한 SOX 컴플라이언스 체제가 마련되었습니다. SOX 기준이 생소한 기업에서는 내부 감사를 수행하여 이 법에서 정한 기준에 따라 영업하고 있음을 입증해야 합니다.
  • PCI-DSS(Payment Card Industry Data Security Standard) - 신용 카드 사기가 계속 증가함에 따라, PCI-DSS에서는 판매자와 지불 처리 기관에서 금융 정보를 올바르게 저장하고 인터넷을 통해 안전하게 데이터를 전송할 수 있게 함으로써 이들을 보호합니다.
  • GDPR(General Data Protection Regulation) - GDPR은 CCPA의 유럽 연합 버전이라 할 수 있습니다. GDPR에서는 기업이 EU 소비자의 데이터를 수집하고 사용하는 방식과 관련하여 엄격한 규정을 통해 EU 소비자에게 더 큰 권한을 부여합니다. EU 소비자 정보를 다루는 모든 기업은 고객이 해당 기업에 요청하여 자신의 정보를 삭제할 수 있는 절차를 갖춰야 합니다.
  • CPRA(California Privacy Rights Act) - 이는 캘리포니아 소비자를 보호하기 위해 CCPA(California Consumer Privacy Act of 2018)를 확장한 것입니다. 이 두 규정에 따르면, 캘리포니아에서 소비자 데이터를 관리하는 모든 비즈니스는 해당 데이터를 사용하는 방법을 투명하게 밝혀야 하며 고객이 요청하는 즉시 해당 정보를 삭제해야 합니다.
  • NERC(North American Electric Reliability Corporation) - 악의적 의도 아래 정부 기관의 지원을 받는 사이버 공격이 빈번해짐에 따라, 에너지 기업과 및 공익사업체가 범죄자의 표적이 되는 것을 막고자 NERC가 제정되었습니다. 공익사업체에서는 이러한 표준을 준수함으로써 보안 침해의 리스크 및 그에 따라 시민들이 입을 피해를 최소화하기 위한 전략을 적용할 수 있습니다.
  • FERPA(Family Educational Rights and Privacy Act ) - 학생 데이터를 수집하는 교육 기관은 FERPA 표준을 준수함으로써 학생의 정보를 보호하고 무단 접근을 차단하는 방법을 마련해야 합니다. 이러한 노력으로 학생 정보가 악의적인 공격자의 수중에 들어가는 것을 막을 수 있습니다.

규정 준수 전략이 필요한 이유

규정 준수를 달성하겠다고 말하는 것과 이를 실천하는 것은 별개의 문제입니다. 수행할 작업의 범위 및 위험 요인을 고려할 때 전략적인 접근이 필요합니다. 이런 까닭에 규정 준수 전략 수립이 중요합니다.

규정 준수 전략은 귀사가 영업 지역 사법권의 법률을 충실히 지키는 데 길잡이의 역할을 합니다. 문제가 발생할 때까지 기다렸다가 무엇이 잘못되었고 어떻게 바로잡을지를 파악하판단하기보다는, 강력한 전략을 구사하여 처음부터 문제가 발생하지 않도록 방지할 수 있습니다.

컴플라이언스 팀은 잠재적 리스크를 줄임과 동시에 해당 기업에서 관리 당국이나 입법 기관과 충돌하지 않으면서 계속 성장을 구가하도록 지원할 방법을 찾아야 합니다. 이러한 방법으로 비즈니스를 계속 원활하게 운영하고 장기 목표를 달성할 수 있습니다.

컴플라이언스 전략 개발 시 해당 기업 및 업종의 규모, 그리고 해외 영업 국가에 따라 전략에 포함할 구성 요소가 결정됩니다.

강력한 규정 준수 계획의 개발 단계

효과적인 컴플라이언스 프로그램을 개발하려면 다단계 접근 방식이 필요합니다. 다음 단계를 통해 귀사에 적합한 계획을 마련할 수 있습니다.

1. 기업 문화와 컴플라이언스 연계

조직 내의 각 부서와 직원에게 컴플라이언스의 장점을 알려 새로운 정책을 더 수월하게 받아들이게 할 수 있습니다. 아울러 이러한 프로토콜이 필요한 이유를 항상 설득력 있게 전달함으로써 직원들이 각자의 역할이 중요함을 더 쉽게 이해할 수 있게 됩니다.

성공적인 리스크 관리 계획을 위해서는 경영진부터 임시직까지 지위 고하를 막론하고 모든 조직 구성원의 총체적인 지지가 필요합니다. 이러한 지지를 확보하려면, 컴플라이언스 이행이 모든 전략 영역에서 조직의 리스크 부담을 어떻게 줄일 수 있는지를 입증해야 합니다. 또한 정책과 절차를 통해 잠재적 위협으로부터 보호하려면 투명성이 전제되어야 하는 이유를 모든 사람이 이해해야 합니다.

따라서 각종 표준을 따르면서 혁신을 촉진하는 환경을 조성하려면, 컴플라이언스와 기업 문화를 연계해야 합니다.

2. 선제적으로 리스크 탐지

모든 규정 준수 계획에서는 리스크 탐지를 최우선순위 중 하나로 삼아야 합니다. 조직에 대한 잠재적 리스크에 선제적으로 대응해야 합니다. 즉, 이러한 리스크를 빠르게 식별하고 해결하는 프로세스를 갖추어야 합니다.

사고 대응 프로그램이 있으면 더 수월해집니다. 여기에는 이러한 상황을 모니터링할 팀을 조직하고, 위반 발견 시 대응 절차를 때 마련하는 것이 포함됩니다. 그러면 새롭게 제정되는 규정에 미리 대비하고, 잠재적 리스크가 조직에 문제가 되기 전에 찾아내는 데에도 도움이 됩니다.

3. 기능 범위 설정

컴플라이언스 및 윤리 책임자는 이제 사후 조치에 집중하기보다는 사전 예방에 능동적으로 나서야 합니다. 규제 관련 문제가 분명하게 드러나기 전에 예측하려면 더 많은 리소스를 투입해야 합니다. 따라서 귀사의 전략에서 이러한 성장 궤도를 반영해야 합니다. 특정 수준에서 시작했다가 차츰 그 범위를 확장해야 할 것입니다.

목표를 달성하기 위한 종합 전략을 구상할 때, 로봇 프로세스 자동화(RPA) 및 각종 AI 첨단 기술을 컴플라이언스 예산에 당장 포함하기 어려운 조직도 있음을 고려하십시오.

4. 컴플라이언스 에코시스템 이해

각 팀에서는 현재 속한 분야는 물론 향후 진출하여 비즈니스를 수행할 영역에서도 진화하는 규제 환경과 법적 변경 사항을 파악하는 것이 가장 중요합니다. 이를 인지하는 가장 효과적인 방법은 입법 초안을 시행 시점까지 계속 추적하고 모니터링하는 것입니다.

그런 다음 전략과 규정을 분석할 수 있어야 합니다. 그래야 성공적인 컴플라이언스 프로그램을 위한 필수 지침을 직원에게 제공할 수 있습니다.

5. 명시적 정책 및 프로토콜 수립

컴플라이언스 에코시스템과 그 진화 과정을 이해했다면 이제 컴플라이언스 요건을 이행하기 위한 명시적인 정책을 수립할 차례입니다. 여기에는 리스크 평가 프로토콜, 특정 상황에 대응하기 위한 구체적인 단계 등의 운영 절차를 개발하는 것이 포함됩니다.

6. 교육 및 지원 제공

팀 구성원이 조직에서 자신이 할 역할을 제대로 이해하게 하려면, 프로세스 전반에 걸쳐 교육 및 지원을 제공할 수 있어야 합니다. 여기에는 직원이 부서 또는 역할에 적용되는 규정을 지키면서 일할 수 있도록 명확한 지침을 전달하는 것도 포함됩니다.

7. 컴플라이언스 모니터링 및 실천

마지막으로, 조직 내에서 컴플라이언스를 모니터링하고 관리하기 위한 효과적인 시스템을 마련합니다. 여기에는 해당 규정을 계속 준수하는지를 확인하기 위한 정기적인 운영 평가, 그리고 위반 사항이 발견되면 징계 조치를 하기 위한 프로세스도 포함됩니다.

컴플라이언스 요건 이행을 지원하는 베리타스 솔루션

각 기업에서 컴플라이언스 상태를 유지하려면 복잡한 규제 환경을 헤쳐 나가야 합니다. 베리타스는 기업에서 효과적인 컴플라이언스 프로그램을 개발하고 유지하도록 도울 혁신적인 컴플라이언스 솔루션을 제공합니다.

베리타스의 종합 제품군에는 데이터 보호, 보안, 개인정보 보호, 리스크 관리 툴 등이 포함되어 있습니다. 모두 현지 규정을 준수하는 데 필수적인 요소입니다. 또한 이 플랫폼은 사용자가 컴플라이언스 프로그램을 모니터링하고 관리하도록 돕는 통합 거버넌스 솔루션을 제공합니다.

그뿐만 아니라 베리타스는 기업에서 빠르고 쉽게 데이터를 식별, 수집, 처리, 검토, 분석, 보고하면서 컴플라이언스를 보장하도록 지원하는 혁신적인 고급 이디스커버리 툴을 제공합니다. 이를 통해 언제라도 필요할 때 감사 또는 소송 절차에 대비할 수 있습니다.

베리타스와 함께 컴플라이언스 프로그램이 원활하게 실행되면서 현지 규정을 준수하는 데 필요한 모든 조치가 이루어지고 있음을 확신하면서 안심할 수 있습니다.

따라서 효과적인 규정 준수 계획을 이행하고 싶다면 서둘러 베리타스에 문의하십시오. 귀사의 안전을 보장하는 강력한 컴플라이언스 프로그램을 개발하고 유지하도록 도와드리겠습니다.

 

베리타스 고객 중에는 Fortune지 선정 100대 기업의 95%가 포함되며 NetBackup™은 방대한 데이터를 보호할 방법을 찾는 기업들 사이에서 선택 1순위에 오른 제품입니다.

가상, 물리적, 클라우드 및 레거시 워크로드에서 데이터를 완벽하게 보호하는 베리타스의 방식이 궁금하다면, 엔터프라이즈 비즈니스를 위한 데이터 보호 서비스에서 확인하십시오.

 

FAQ

규정 준수란 기업의 업무 분야 또는 해당 업종에 적용되는 모든 관련 법률 및 규정을 준수하는 프로세스를 말합니다. 규정 준수 활동을 통해 각 기업은 지방자치단체 및 중앙 정부에서 제정한 규칙을 따르면서 고객과 이해 관계자를 위험으로부터 보호할 수 있습니다.

규정 준수는 합법적이고 윤리적인 경영을 뒷받침하므로 필수 조건입니다. 그리고 컴플라이언스 위반 행위로 인한 피해로부터 고객, 이해 관계자, 환경을 보호합니다.

귀사에서 컴플라이언스를 보장하려면 각종 요건을 이행하기 위한 명확한 정책 및 프로토콜을 설정하고, 직원에게 교육 및 지원을 제공하고, 컴플라이언스를 모니터링하고, 필요한 경우 행동에 나서야 합니다. 그리고 프로그램 관리에 도움이 되는 베리타스와 같은 컴플라이언스 솔루션을 사용하는 것도 고려해야 합니다.