[CIOBIZ+]Analysis-GRC 성숙도 높을수록 전사적 정보공유 환경 정착

관련 통계자료 다운로드 기업 GRC 성숙도 5단계

 ECM, 기업 GRC 요구 늘면서 내부통제 툴로 변모

컴플라이언스 이슈는 기업콘텐트관리(ECM)의 범위와 기능을 확장시키고 있다. 이전에는 이메일, 워드 문서, 이미지 파일 등 비정형 데이터의 관리에 집중했다면, 최근 들어서는 ERP와 ECM을 연동시켜 정형 데이터와 관련 비정형 데이터를 매칭해 통합 관리하는 것으로 발전돼 가고 있다. 또 디지털 자료와 종이 문서는 물론이거니와 블로그와 인터넷 게시판 등 기업 외부의 콘텐츠까지 ECM의 관리 대상이 늘어나고 있다. E디스커버리, 아카이빙, 디지털자산관리(DAM)를 모두 포괄하는 솔루션으로 확장하고 있으며 기업 GRC에서는 내부통제 툴로서 재조명되고 있다.

◇포괄적인 데이터 보호/보존 관리 필요=기업 GRC(Governance, Risk and Compliance) 정책을 수립하거나 관련 시스템을 구축할 때 전문가들의 조언에서 빠지지 않는 것이 데이터 공유와 관리다.

미국의 IT전문 웹사이트 e비즈큐는 기업GRC의 성숙도를 5단계로 나눴는데, GRC 성숙도가 낮은 기업일수록 애플리케이션은 연동·통합되지 않는 사일로 형태로 존재하며, 이 사일로간 정보 공유 또한 되지 않는다고 지적했다. 반면 GRC 성숙도가 높아질수록 기업 전사적인 정보 공유 환경이 정착되는 것으로 설명했다.

e비즈큐의 지적이 아니더라도 기업 GRC에서 데이터의 보존과 보호는 절대적인 위치에 있다. 데이터 저장 및 운영 관리 정책은 기업 리스크 관리와 컴플라이언스에 특히 중요하다. 기업의 데이터는 경영 투명성의 원천 자료가 될 뿐 아니라, 예기치 못한 미래의 갈등 분쟁과 법적 소송 등에 신속히 대응해 기업의 금전적 피해와 이미지 추락을 방지할 수 있는 근거가 되기 때문이다.

덕분에 이메일 아카이빙과 E디스커버리의 중요성이 부각되고 있으며, 폭증하는 데이터와 다양한 법규제 적용이 맞물리면서 기업의 데이터를 저장 보관하는 솔루션의 종류도 디지털자산관리(DAM), 기록관리(RM) 등으로 다양해지고 있다. 하지만 가트너는 이를 모두 ECM의 구성요소로 보고 있다.

가트너는 2009년 2분기 WCM 매직쿼드런트 보고서에서 WCM이 ECM 소프트웨어 시장의 25%를 차지하고 있으며, WCM이 DAM, RM, DM, 콘텐츠 중심적 협업 솔루션 등 다른 ECM 컴포넌트들과 함께 사용될 때 시너지를 발휘한다고 설명하고 있다. 다시 말해 이 다양한 정보 관리 솔루션이 모여 ECM을 이룬다는 설명이다.

ECM의 범위가 늘어나는 것은 기업이 관리해야 할 데이터의 종류와 규제가 늘어나고 있기 때문이다. 이제는 기업 내외부 온라인, 즉 소셜 미디어 사이트에 게재돼 있는 웹 콘텐츠까지 ECM의 대상이 되고 있다. 외부 소셜 네트워크 서비스를 마케팅 채널로 이용하는 기업들이 늘어나고 있으며 소셜 미디어를 업무 환경에 채택한 엔터프라이즈 2.0 환경에서는 GRC 관점에서 관리해야 할 콘텐츠가 폭증하고 있다. 이는 기업들이 GRC 관점에서 보다 고도화되고 확장된 ECM을 구현해야 할 필요성을 높이고 있다.

◇GRC 이후 비용 혜택 목표=최근 발표된 미국 AIIM 마켓 인텔리전스의 ‘2009 ECM 업계 현황’ 보고서는 ECM이 비정형 데이터를 위한 정보 관리 기술로서 발전해가고 있다며, 사용자들에게 콘텐츠에 대한 단일 접근을 제공해 다양한 애플리케이션에 로그인하지 않고도 정보가 저장돼 있는 위치에 상관없이 정보를 탐색, 복구, 처리할 수 있도록 하는 것이 ECM의 공통된 목표라고 기술하고 있다.

이 보고서에서 한 가지 주목할 점은, 문서와 기록 관리 등 ECM에 대한 최근의 투자 동인은 컴플라이언스가 아닌 비용 혜택이라는 것이다. 이에 대해 AIIM 마켓 인텔리전스는 최근 몇 년간 컴플라이언스가 ECM 투자를 이끄는 최고 동인이었지만 약 2년간 컴플라이언스 투자가 집중되면서 기업들이 한숨 돌리고 있다고 전한다. 이제 기업들은 컴플라이언스 차원에서의 소극적 대처에서 벗어나, 워크플로 프로세스를 개선하고 비용 혜택을 목표로 하고 있다는 것이다.

이는 국내 상황과 큰 대조를 이룬다. 국내 컴플라이언스나 기업 GRC, ERM은 강제적인 법규제가 없는 데다 경기 침체에 따른 긴축 재정 상태여서 기업들의 이슈가 되지 못하고 있다. GRC 관점에서 전체적인 기업 콘텐츠 관리 전략을 바라보는 관점 또한 아직은 없다.

한국EMC, 한국오라클, SAP코리아, 한국IBM 등 주요 ECM 솔루션 제공 업체들은 거버넌스나 리스크 관리, 컴플라이언스 관점에서 ECM을 검토하거나 도입한 기업은 찾아보기 힘들다고 전한다. 다만 기술 유출을 우려해 문서관리에 디지털저작관리(DRM), 문서유출방지(DLP) 등 보안을 접목, 강화하는 사례는 대기업을 중심으로 하나 둘 늘어나고 있는 추세다.

구자일 한국IBM 차장은 “놀랍게도 이미 수년 전에 전자문서관리시스템(EDMS)이 도입됐음에도 문서관리를 위해 반드시 정의되어 있어야 할 요소들, 즉 중요도, 보관기간, 보관기간 경과 후 폐기 방법, 시스템 도입에 따른 정보 재활용도 등이 제대로 관리되지 않고 있다”며 “제대로 관리되지 못하고 방치된 기업의 콘텐츠가 얼마나 큰 위험을 불러올 수 있는지에 대한 경각심은 아예 없는 상황”이라고 말한다.

SAP코리아는 기업 GRC에 대한 고객 수요가 낮기 때문에 ECM 비즈니스도 리스크 관리보다는 ERP와의 통합 문서 보관·액세스 환경 차원에서 접근하고 있다. ERP의 데이터는 대부분 영수증 등 증빙 자료를 요구하는데, 이 증표들을 이미지 파일로 만든 후 ERP 화면에서 특정 회계 자료에 관련 영수증 이미지 파일을 함께 보여주는 것이다.

식대나 주차 영수증 등 소액 영수증들까지도 모두 이미지 파일화한 후 ERP의 데이터와 매치시킨다면 추후 내외부 감사에서 증빙 자료를 일일이 찾거나 자료 유실을 문제 삼을 일이 없어진다. 경영 투명성과 업무 효율성을 크게 높일 수 있다는 점을 고객에게 제안하고 있다.

SAP코리아는 대우조선해양과 모 식품사가 이러한 방식으로 ECM과 ERP을 연동 운영하고 있으며, ERP를 도입한 고객사들이 프로세스 확장 차원에서 문의 및 검토하고 있다. 하지만 김재범 SAP코리아 실장은 “비정형 콘텐츠의 트랜잭션이 제대로 관리되지 않을 때 더 위험할 수 있다며 “기업의 비정형 데이터를 얼마나 효율적으로 정형화된 데이터와 연결시키냐가 리스크 관리에 직결된다”고 주장한다.

오픈텍스트의 ECM 솔루션을 OEM 공급받고 있는 SAP코리아는 ECM 단독 고객은 없으며, SAP ERP 고객들에게 ECM을 함께 제공하고 있다고 밝혔다.

◇BPM에서 내부통제 툴로서 콘텐츠 관리=한국EMC도 SAP코리아와 유사한 시장을 보고 있다. 곽동우 한국EMC 차장은 “ERP 트랜잭션의 증빙들은 오프라인 문서 형태로 존재하는데, 이런 증빙들을 별도로 관리할 경우 감사 기간과 작업 효율성이 크게 떨어진다”고 말한다.

증빙 자료에는 이메일도 해당된다. 이메일로도 업무 결재가 이뤄지는 만큼 이메일 데이터 역시 해당 업무와 관련된 트랜잭션 데이터에 함께 보관돼야 한다. 즉, 이메일 아카이빙, 데이터 아카이빙과 ECM이 연동돼야 하며 궁극적으로는 비즈니스 프로세스 상에서 정형·비정형 데이터가 모두 함께 보관돼 콘텐츠의 형태에 상관없이 관련 데이터는 모두 한번에 볼 수 있어야 한다.

한국EMC는 ECM이 BPM 상에서 ERP 데이터를 포함해 모든 정형·비정형 데이터를 함께 관리하는 모습으로 발전돼 갈 것으로 보고 있다. 임필수 한국EMC 차장은 “컴플라이언스 이슈가 강한 미국에서는 법규제도 한층 강화, 정교해지면서 이전처럼 관련 데이터만 뽑아 제출하는 것이 아니라, 비즈니스프로세스관리(BPM)를 통해 프로세스 흐름에 따라 업무 추진 및 승인 과정을 기록한 데이터를 함께 제출하도록 하고 있다”며 ECM 제품에서도 이를 반영할 수 있도록 발전하고 있다고 설명했다.

한국오라클의 한 관계자는 “국내외 비즈니스 환경이 갈수록 각종 규제 및 컴플라이언스 준수를 강하게 요구하고 있다”며 “기업들은 콘텐츠에 대한 프로세스 관리를 표준화하고 시스템화하기 위해 ECM 도입을 검토하게 될 것”이라고 말한다.

특히 전자문서들의 법적 효력이 발생될 경우 GRC 관점에서 ECM의 내부통제 기능과 역할이 증가한다. ECM은 콘텐츠를 효율적으로 관리할 수 있도록 표준분류체계에 의해 보안 관리되고 검색이 가능한 구조로 되어 있으며, 사용자들의 모든 활동들에 대한 이력을 보관하여 감사추적을 할 수 있다.

통합된 GRC를 위해선 기업에서 유통되는 중요한 정보들이 적절하게 통제되어야 하며, 기업 내 모든 인력이 규제준수를 하고 있는지 평가할 수 있는 원천 자료가 ECM에서 나온다. 구자일 한국IBM 차장은 “ECM은 단순히 기업의 정보를 통합해 보관하는 것이 아니라 생성부터 유통, 폐기에 이르는 전 분야에 걸쳐서 모니터링하고 통제한다. 또한 강제 아카이빙, DRM 연계, 강제 회수(Check-out/in) 등 ECM의 통제 기능을 통해 사용자에게 규제준수를 강제할 수 있다”고 설명했다.

박현선기자 hspark@etnews.co.kr


브랜드 뉴스룸