보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Hot Issue] 컴플라이언스가 주목받는 이유

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2012-05-08

금융권 보안 사고가 발생할 때마다 그 대책으로 거론되는 단어가 있다. 바로 ‘컴플라이언스’이다. 특히 최근 들어 클라우드•빅데이터가 핫이슈로 등장하면서 컴플라이언스의 중요성이 더욱 부각되고 있다. 이렇게 IT 혁신의 중요한 열쇠로 자리잡고 있는 ‘컴플라이언스’란 무엇일까. 이 글을 통해 컴플라이언스의 등장 배경과 의미, 그리고 컴플라이언스의 중요성에 대해 알아보고자 한다.

 

최근 정보통신망법이나 개인정보보호법 등이 언론에 자주 등장하면서 ‘컴플라이언스(Compliance)’에 대한 관심이 높다. 컴플라이언스는 금융권에서는 이미 10여 년 전부터 사용된 용어이다. 2001년 미국의 대표적인 회계 부정 사건인 엔론(Enron)사 사태 이후 사베인-옥슬리(Sarbanes-Oxley, 이하‘SOX')법이 등장했는데 여기서 위험 통제를 위한 사전 감시 활동을 지칭하는 용어가 ’컴플라이언스‘이기 때문이다. 우리나라도 국제 기준을 반영하여 은행법, 자본시장과 금융투자업에 관한 법, 금융지주회사법 등에 컴플라이언스 관련 사항을 규정하고 있으며 컴플라이언스는 ’준법 감시‘라는 용어로 통일하고 있다. 은행법은 컴플라이언스 이행을 위해 내부통제기준을 수립할 것과 준수 여부를 점검하는 인력을 1인 이상 둘 것을 의무화하고 있는데 그런 인력을 ’준법 감시인(Compliance Officer)’이라고 부른다.

 

[은행법]

제23조의3(내부통제기준 등)


① 은행은 법령을 준수하고 경영을 건전하게 하며 주주 및 예금자 등을 보호하기 위하여 그 은행의 임직원이 직무를 수행할 때 따라야 할 기본적인 절차와 기준(이하 "내부통제기준"이라 한다)을 정하여야 한다.
② 은행은 내부통제기준의 준수 여부를 점검하고 내부통제기준을 위반하는 경우 이를 조사하여 감사위원회에 보고하는 자(이하 "준법감시인"이라 한다)를 1명 이상 두어야 한다. (이하 생략)


[자본시장과 금융투자업에 관한 법률]

제28조(내부통제기준 및 준법감시인)


① 금융투자업자는 법령을 준수하고, 자산을 건전하게 운용하며, 이해상충방지 등 투자자를 보호하기 위하여 그 금융투자업자의 임직원이 직무를 수행함에 있어서 준수하여야 할 적절한 기준 및 절차(이하 "내부통제기준"이라 한다)를 정하여야 한다.
② 금융투자업자(자산규모 등을 고려하여 대통령령으로 정하는 투자자문업자 및 투자일임업자를 제외한다. 이하 이 조에서 같다)는 내부통제기준의 준수 여부를 점검하고 내부통제기준을 위반하는 경우 이를 조사하여 감사위원회 또는 감사에게 보고하는 자(이하 "준법감시인"이라 한다)를 1인 이상 두어야 한다. (이하 생략)


 

컴플라이언스의 등장 배경과 의미


앞서 언급했듯이 컴플라이언스가 중요하게 대두된 배경에는 해외 금융기관의 대형 부정 사건이 있다. 233년의 역사를 지닌, 영국의 대표적인 은행이었던 베어링은 싱가포르 지점 직원인 ‘닉 리슨’의 파생금융상품 불법 거래로 발생한 손실 때문에 1995년 2월 파산했다. 2001년 미국 엔론사는 부정 회계 사건으로 미국 경제뿐 아니라 세계 경제에 막대한 피해를 입혔다. 또한 2008년에는 프랑스의 2위 은행이었던 소시에테제네랄 은행이 주식선물투자 조작거래 부정으로 인해 72억 달러의 큰 손해를 본 사례가 있다.

 
내부 부정 또는 사고로 인해 투자자나 이용자가 금융 피해를 입는 것을 막기 위해 통제 기준으로 각종 법령이나 규제를 만들었다. 하지만 오해하지 말아야 할 것은 그런 규제가 컴플라이언스의 전부는 아니란 사실이다. ‘Compliance’라는 단어를 영어 사전에서 찾아보면 ‘순종’이란 뜻을 지니고 있고, 동사형인 'comply'는 ‘누군가의 희망이나 요구를 따르고 순종하는 행동’을 뜻한다. 즉 컴플라이언스란, 특정 요구 기준뿐 아니라 그 요구에 순응하는 자발적인 의지와 행위까지 포함하는 더 큰 개념이다. 컴플라이언스의 목적은 해당 사업과 조직의 영속성을 유지하고 이해관계자의 안전을 지키는 것이다. 그를 위해 일차적으로는 법령과 같은 국가적 규범을 준수하고 회사의 내부통제기준이나 운영기준 등 조직적 규범을 이해하며 나아가 기업 윤리나 문화와 같이 성문화되지 않은 내재적 규범까지 받아들여 모든 업무에 윤리적 책임을 다하는 것이다.

 

 

컴플라이언스와 감사(audit/inspection)의 차이


'Compliance officer'를 ‘준법감시인’으로 용어화 했기 때문에 컴플라이언스는 ‘준법감시’가 되고 ‘감시한다’는 행위에만 초점이 맞춰져 기존의 ‘감사’ 업무와 혼동하는 경우가 있다. 그러나 실제로 감사 부서와 컴플라이언스 부서는 상호 독립적이고 협력적 관계이며 업무 특성이 다르다.


아이들이 집에서 하는 공부 중 유료 학습지에 비유해보자. 과목별로 선생님이 매주 한 주간 문제 푼 걸 검사하고 지도를 해준다. 이렇게 일정한 주기별로 또는 특별한 사안이 있을 때 정해진 기준에 따라 점검하는 일을 감사(audit)라고 볼 수 있다. 반면 일주일 내내 아이가 예습 복습도 잘 하고 문제지도 풀며 올바른 학습 습관을 갖춰가고 있는지 엄마와 아빠가 늘 챙기는 과정은 ‘컴플라이언스’라고 보면 된다. 시험을 보고 나서야 문제를 많이 틀렸냐 왜 틀렸냐를 따지고 성적이 나쁘다며 혼내기보다는, 평소에 공부를 왜 해야 하는지 아이가 이해하고 스스로 학습하는 습관을 들이도록 훈육하는 것이 더 바람직할 것이다. 보안도 시스템화된 통제나 엄격한 감사보다는 조직 전반에 컴플라이언스를 제대로 정착시키는 것이 근본적인 대책이라 본다.


요약하면, 컴플라이언스는 감사를 받는 입장에서 자발적으로 사전 점검을 통해 업무 전반에 걸쳐 위규적 요소가 없도록 수행하는 활동이며, 감사보다 선행적이고 광범위하며 상시적이고 적극적인 운영체계인 것이다.

 

 

컴플라이언스와 기존 정보 보안의 차이


게임으로 보자면 컴플라이언스와 정보보안은 적(敵)과 선수와 그라운드와 승점 규칙에서 차이가 있다.


먼저 기존의 정보 보안은 적이 명백하게 정해져 있다. 외부에 있는 공격자이거나 내부에 있되 악한 의도를 가진 침해자가 적이고 내부의 정보 자산을 훼손하거나 유출하는 행위가 침해 행위이다. 그러나 컴플라이언스의 침해는 업무를 수행하는 조직 구성원 누구라도 가능성이 있다. 일상적인 업무 관행이 법령을 어기는 상태였는데 그걸 모르고 있었다면 고의성이 있든 없든 처벌 대상인 범죄를 저지르게 되는 것이다. 최근 개인정보보호법은 특히 이런 사례가 많다. 따라서 명백한 적이 정해져 있지 않고 침해 대상은 기업의 자산이 아니라 금융고객의 재산권이나 개인정보에 대한 자기결정권 등 인권인 경우가 많으며, 기업은 정보 자산의 침해와 달리 피해자가 아니라 타인의 권리 침해를 한 가해자 입장에 서게 된다. 그래서 개인정보 침해사고 때는 CEO가 국민들 앞에 사과를 하는 모습을 흔히 보곤 한다.


정보 보안의 경우에 주된 방어는 공격자를 차단하는 것이다. 이런 과정은 주로 침입하는 길목을 막는 기술적 방어 비중이 높고 주된 역할을 IT 조직이나 보안 조직에서 담당하게 된다. 방어에 투입해야 할 선수는 당연히 IT나 보안 인력이 될 것이다. 반면 컴플라이언스는 모든 업무 영역에서 ‘위규’의 위험을 갖고 있기 때문에 특정 인력이 감당할 수가 없다. 업무를 하는 과정에서 규범을 어길 소지가 있는지 여부는 그 일을 하는 당사자가 가장 정확히 알아차릴 수 있다. 따라서 컴플라이언스가 게임이라면 모든 현업의 담당자들이 전부 선수가 되어야 한다. 그 선수들이 어떤 규칙으로 싸워야 할지 가르쳐야 하는 보안 조직과 준법 감시 조직은 코치 역할에 가까울 것이다.


선수에 대한 차이를 이해했다면 그라운드는 자연스럽게 이해된다. 정보 보안에서 공격과 방어가 이루어지는 그라운드는 서버와 네트워크 같은 IT 시스템이나 보안 장비가 될 것이다. 컴플라이언스는 IT 인프라를 포함한 모든 업무 현장이 규범 침해와 준수의 싸움이 벌어지는 그라운드이고 그 기업이 주 영역으로 삼는 사업 현장에 가까울수록 침해의 위험이 높다.


승점규칙은 어떨까? 정보보안은 침해자가 명백하니 침해자와 침해공격을 잘 막으면 이기는 것이다. 컴플라이언스는 규범을 어기는 것 자체가 조직에 해를 끼치는 일이니 특정 침해를 막는 것이 아니라 아무도 규칙을 어기지 않는 것 자체가 게임에서 승리하는 규칙이다.

  

 

‘100-1=0’


윤리경영이란 법규적 책임의 준수는 물론이고 나아가 사회가 요구하는 윤리적 기대를 기업의 의사결정 및 행동에 반영하는 것을 뜻한다. 법적 책임이 문제되지 않더라도 사회 통념에 어긋나는 경우라면 사회가 요구하는 윤리 기준을 선택하는 경영방식이며, 윤리 규범을 기준으로 회사 경영 및 기업 활동을 투명하고 공정하며 합리적으로 수행하는 것이다.


미국 증권회사의 최고경영진들은 기업 윤리와 컴플라이언스야말로 회사의 최대 자산이며 성공적인 영업을 위한 척도라고 인식하고 여기에 대한 가시적인 실천의지를 ‘대고객 강령’ 또는 ‘최고경영진의 관심 표명’ 등의 형태로 명문화하는 것으로 알려져 있다. 이런 대고객 강령에는, 명성이 회사의 최대자산이며 이런 명성의 보호가 회사, 고객, 주주 및 직원 각자에게 모두 이익이 될 것이라는 점, 고객의 이익 최우선이 회사의 정책이라는 점 등이 담겨 있다고 한다. 요컨대 윤리경영에서 법규범 위반 등으로 인한 사고는 단 한 건이 발생하더라도 기업의 명성 전부를 훼손할 수 있다는 생각에서 ‘100-1=0’을 상징적 수식으로 내세우고 있다. 한국에 있는 글로벌기업 대표이사가 전 직원에게 보낸 메일에도 이 공식이 써 있는 걸 본 적이 있다.


따라서 컴플라이언스가 왜 중요하냐고 물으면 이렇게 대답해도 좋을 것이다. 기업의 영속적 가치 실현을 위해선 윤리 경영이 필수적이고 윤리 경영을 위해서는 컴플라이언스가 필수불가결한 요소이기 때문이라고.@

 

국내 주요 법령

주요 내용

정보통신망 이용촉진 및 정보보호 등에 관한 법률

전기통신사업자, 정보통신서비스제공자와 영리적 관계의 이용자 보호를 위한 관리적 기술적 조치 사항

개인정보보호법

비영리단체개인을 포괄하는 일반법으로서 개인정보보호에 대한 통합 기준

신용정보의 이용 및 보호에 관한 법률

신용정보자산시스템의 안전보호 및 개인신용정보의 수집, 이용 등에 관한 규제

전자금융거래법

전자금융거래 안전성 확보 및 이용자보호 의무사항

금융실명거래 및 비밀보장에 관한 법률

실명확인 의무 및 실명거래정보의 비밀보호, 누설금지 등 의무

자본시장과 금융투자업에 관한 법률

금융투자회사의 내부통제기준 수립 및 운영의무

 

국외 주요 규제

주요 내용

BASEL-II

글로벌적용, 자기자본기준에 관한 협약

SOX

미국적용, 금융 정보처리에 대한 보호 기준

HIPPA

미국적용, 전자건강기록에 관한 정보보호 규정

PCI-DSS

신용카드업계 정보보호 국제표준규정

[표 1] 주요 법령 및 규제

  • AhnLab 로고
  • 관리컨설팅팀 이장우 부장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.