brunch
매거진 디지털 세상의 빛과 그리고 그림자

[덕] 규제와 보안, 3축 체계로 동거

인간, 프로세스, 기술로 선순환 구조 만들기

by 김정덕
Jul 29. 2025

많은 조직에서 '컴플라이언스(규제 준수)'와 '보안'은 한 지붕 아래 사는 어색한 가족과 같습니다. 서로의 중요성은 알지만, 대화는 자주 엇나가고 우선순위는 늘 부딪히죠. 컴플라이언스팀은 "규정부터 맞춰야 합니다"라고 말하고, 보안팀은 "실제 해커는 규정대로 공격하지 않습니다"라고 항변합니다.

이러한 ‘위험한 동거’는 결국 조직 전체의 힘을 빼는 결과를 낳습니다. 서류 작업을 위한 보안, 실제 위협을 막지 못하는 규정 준수라는 악순환에 빠지게 되는 것이죠.


하지만 이 문제를 해결할 열쇠가 있습니다. 바로 규정 준수가 곧 실질적인 보안 강화로 이어지고, 보안 활동이 자연스레 규제 요건을 충족시키는 ‘선순환 구조’를 만드는 것입니다. 이 견고한 구조는 인간(People), 프로세스(Process), 기술(Technology)이라는 세 개의 단단한 기둥 위에 세워집니다.


첫 번째 기둥: 사람, 모든 변화의 시작


어떤 훌륭한 시스템도 그것을 운영하는 사람들의 생각과 문화를 바꿀 수는 없습니다. 모든 변화는 ‘사람’에서 시작합니다.


‘한 팀’으로 만들기: 가장 먼저 할 일은 보안, 컴플라이언스, 법무, 현업 부서의 전문가들을 모아 ‘공동 작전 본부’를 꾸리는 것입니다. 이들은 각자의 성과가 아닌 ‘조직의 안전’이라는 공동의 목표에 함께 책임을 집니다. 문제가 생겼을 때 ‘네 탓’을 외치던 문화가 ‘우리 문제’를 고민하는 문화로 바뀌는 결정적 전환점입니다.


‘같은 언어’ 쓰기: 보안팀의 기술 용어와 컴플라이언스팀의 법률 용어는 마치 외국어 같습니다. 조직 전체가 이해할 수 있는 ‘공통의 언어’ 즉, ‘리스크 번역기’가 필요합니다. 예를 들어, ‘서버 접근 제어 미흡’이라는 기술적 문제가 ‘개인정보 유출 시 최대 10억 원의 과징금’이라는 사업적 리스크로 즉시 번역되어야 합니다. 그래야만 경영진부터 실무자까지 문제의 심각성을 동일하게 인식하고 올바른 결정을 내릴 수 있습니다.


두 번째 기둥: 프로세스, 낭비를 없애는 똑똑한 길


탄탄한 문화가 자리 잡았다면, 이제 두 기능의 활동을 하나의 물 흐르듯 자연스러운 길로 연결하는 ‘프로세스’를 설계해야 합니다.


‘한 번의 노력으로 열 가지 일하기’: ISMS-P, GDPR, ISO 인증 등 조직이 지켜야 할 규제는 많습니다. 각각을 따로 준비하는 것은 엄청난 낭비입니다. 핵심은 여러 규제가 공통으로 요구하는 항목들을 묶어 ‘마스터키’를 만드는 것입니다. 예를 들어, ‘접근 권한 정기 검토’라는 하나의 보안 활동을 제대로 수행하면, 그 결과가 여러 규제의 증거 자료로 동시에 활용되도록 길을 터주는 것이죠. 중복 업무가 사라지고, 모두가 더 중요한 일에 집중할 수 있게 됩니다.


‘변화의 순간에 멈춰 서서 생각하기’: 새로운 서비스를 출시하거나 중요한 시스템을 변경할 때, “이 변화가 새로운 위험을 만들지는 않는가?” “법규에 저촉되지는 않는가?”를 점검하는 단계를 의무화해야 합니다. 이는 마치 장거리 운전을 떠나기 전 타이어와 브레이크를 점검하는 것과 같습니다. 이 작은 ‘멈춤’이 미래의 큰 사고를 막는 가장 현명한 방법입니다.


세 번째 기둥: 기술, 사람을 돕는 현명한 조력자


사람과 프로세스가 유기적으로 움직일 수 있도록 돕는 것이 바로 ‘기술’의 역할입니다. 기술은 사람을 대체하는 것이 아니라, 더 현명한 판단을 내리도록 돕는 ‘조력자’가 되어야 합니다.


‘똑똑한 비서’ 두기: 반복적인 증거 수집, 보고서 작성과 같은 업무는 자동화된 GRC(거버넌스, 리스크, 컴플라이언스) 플랫폼이라는 ‘똑똑한 비서’에게 맡길 수 있습니다. 이 비서는 24시간 쉬지 않고 시스템의 상태를 점검하고, 규제 준수 현황을 기록하여 담당자들이 분석과 의사결정이라는 더 창의적인 일에 집중할 수 있게 해줍니다.


‘조종석 계기판’ 만들기: 경영진은 비행기 조종석의 계기판처럼 조직의 리스크 현황과 규제 준수 상태를 한눈에 볼 수 있어야 합니다. “규제 준수율은 95%로 양호하지만, 특정 시스템의 위험 지수가 급등하고 있습니다.”와 같은 입체적인 정보를 실시간으로 제공하는 대시보드는, 감에 의존하는 결정이 아닌 데이터 기반의 빠르고 정확한 의사결정을 가능하게 합니다.


신뢰라는 이름의 선순환을 향하여


이 세 개의 기둥이 조화롭게 세워질 때, 비로소 꿈에 그리던 선순환이 시작됩니다. 새로운 규제가 생기면, 이는 단순한 ‘업무’가 아닌 ‘관리해야 할 리스크’로 인식됩니다. 리스크를 줄이기 위한 보안팀의 활동은 자연스럽게 규제 준수의 증거가 되고, 그 결과 조직 전체의 방어력은 한 단계 더 강해집니다.


컴플라이언스와 보안의 통합은 더 이상 선택의 문제가 아닙니다. 불확실성이 가득한 시대에 조직의 생존과 성장을 담보하는 핵심 전략입니다. 결국 이 모든 노력은 ‘신뢰’라는 단 하나의 가치를 향합니다. 고객과 시장, 그리고 동료로부터의 신뢰.


당신의 조직은 어떤 기둥부터 단단하게 세우시겠습니까?

keyword
김정덕 소속 중앙대학교 직업 교수 프로필

김정덕 중앙대 명예교수의 브런치입니다. 디지털 경제에 적절한 보안전략과 방법을 고민하는 사람으로, 같이 고민해야 하는 이슈들을 소개하고 나름의 해결방안을 제시하고자 합니다.

구독자 52
매거진의 이전글[덕] 컴플라이언스 vs. 보안 갈등?