최근 국내 산업계의 가장 큰 화두 중 하나는 단연코 '규제 리스크'다.
과거 기업들에 컴플라이언스(규제 준수)란 인증 마크를 획득하기 위한 일회성 이벤트이거나, 보안 부서 실무진들이 엑셀을 부여잡고 밤새워 작성하는 '문서 작업' 정도로 여겨졌다. 그러나 이제 상황이 완전히 달라졌다. 컴플라이언스는 이사회와 최고경영진(C-Level)이 직접 챙겨야 할 기업의 생존 문제가 됐다.
이러한 변화의 바람은 전 세계적인 현상이다. 미국 증권거래위원회(SEC)는 상장 기업에 중대한 사이버 보안 사고 발생 시 4일 이내 공시를 의무화했다. 단 한 번의 데이터 유출이나 규제 위반이 천문학적인 벌금과 주가 폭락으로 이어지는 것을 목격한 미국 기업들은 서둘러 GRC(거버넌스, 리스크 관리, 컴플라이언스) 자동화 솔루션을 전사적으로 도입했다. GRC 시스템 구축 비용이 위반 시 감당해야 할 막대한 재무적 타격보다 훨씬 저렴하다는 철저한 '투자 대비 효과(ROI)' 계산이 끝났기 때문이다.
주목할 점은, 이러한 비즈니스 환경이 한국에서는 한층 더 가혹하고 촘촘한 형태로 현실화하고 있다는 것이다. 당장 개정된 개인정보보호법에 따라 고의나 중대한 과실로 대규모 개인정보 유출 사고를 낼 경우 '전체 매출액의 최대 10%'에 달하는 징벌적 과징금 철퇴를 맞게 된다. 이는 단 한 번의 보안 설정 오류나 협력업체 관리 소홀이 기업의 한 해 영업이익을 날려버리는 것을 넘어, 존립 자체를 끊어놓을 수 있음을 의미한다.
규제의 사각지대마저 완전히 사라지고 있다. 당장 2027년부터 기존 '매출액 3000억원 이상'이라는 조건이 폐지되고 코스피 및 코스닥의 '모든 상장사'로 정보보호 공시 의무가 확대된다. ISMS 인증 의무 기업과 그동안 예외를 적용받던 금융회사, 공공기관도 모두 의무화 대상이다. 환경·사회·지배구조(ESG) 공시 의무화까지 맞물리면서 기업이 보안과 리스크 관리에 얼마나 투자하고 있는지를 낱낱이 증명해야 하는 시대가 열린 것이다.
그럼에도 여전히 많은 한국 기업들이 수백개의 통제 항목을 엑셀로 관리하며 수기로 공시 지표를 준비하고 있다. 복잡한 멀티 클라우드 환경과 수많은 협력업체가 얽힌 공급망 속에서, 사람에 의존하는 방식은 필연적으로 휴먼 에러를 낳는다. 실시간으로 변하는 위협과 '매출 10%'라는 메가톤급 규제를 연 1~2회 실시하는 수동 점검으로 막아내겠다는 것은 쓰나미가 몰려오는데 모래성을 쌓는 것과 다름없다.
이제 패러다임을 바꿔야 한다. 그 해답은 바로 'GRC 플랫폼과 제로 트러스트 아키텍처(ZTA)의 결합'에 있다.
GRC가 전사적 리스크를 식별하고 경영진에게 보여주는 '중앙 통제실(대시보드)'이라면, 제로 트러스트는 그 통제실에 실시간 보안 데이터를 공급하고 정책을 현장에서 강제하는 '실행 엔진'이다. 제로 트러스트의 핵심인 '최소 권한 원칙'을 적용하면 취약한 외주 인력이나 파트너사를 통한 공급망 리스크를 원천적으로 통제할 수 있다.
더욱 중요한 것은 '상시 컴플라이언스(Continuous Compliance)'의 실현이다. 제로 트러스트 환경에서 지속적으로 검증되는 모든 사용자 및 기기의 접근 통제 로그는 GRC 시스템과 연동된다. 이를 통해 규제 기관이나 감사인이 요구하는 증적 자료가 실시간으로 자동 수집된다. 문서에만 갇혀 있던 보안 정책이 정보기술(IT) 인프라 전체에 기술적으로 강제되고, 리스크 점수가 동적으로 산정돼 경영진의 의사결정을 돕는 것이다.
“새로운 공시 의무를 따르고 규제를 지키는 데 비용이 너무 많이 든다”고 토로하는 경영진들이 많다. 하지만 규제를 어겼을 때 지불해야 하는 비용은 전체 매출의 10%, 즉 기업의 생명줄이라는 점을 명심해야 한다. 글로벌 스탠더드로 자리 잡은 GRC 자동화와 제로 트러스트의 결합 속에서, 낡은 엑셀 시트를 버리고 선제적인 리스크 관리 체계를 구축하는 기업만이 다가오는 규제 쓰나미 속에서 굳건히 살아남을 수 있을 것이다.
김계연 지니언스 연구개발총괄 부사장 kyeyeon@genians.com
