brunch

You can make anything
by writing

C.S.Lewis

by STEVE HAN Dec 28. 2022

GRC의 개념과 주요 기업 현황

거버넌스, 리스크, 규정 준수(컴플라이언스)

이 글은 NIA의 디지털 서비스 이슈 리포트 2022년 12월에 기고한 글입니다. 원 소스는 여기를 참고하시기 바랍니다.

GRC의 정의와 필요성

GRC는 거버넌스, 리스크, 규정 준수(컴플라이언스)를 의미하는 영어 약자이며 기업 거버넌스 정책, 기업 리스크 관리 프로그램, 규율과 회사 규정 준수 세 가지 구성요소 사이의 상호 종속성을 처리하기 위한 조직의 전략을 말한다. 특히 기업들이 GRC를 관리하는데 사용하는 사람, 프로세스 및 기술을 조정하면 두 가지 방식으로 이익을 얻을 수 있다는 사실을 인식한 21세기 초에 새로운 규율로 등장했다.


GRC의 세 가지 구성 요소를 다시 정의하면 다음과 같다.

거버넌스 – 승인한 사업 계획 및 전략에 따라 리더가 조직을 윤리적으로 관리하는 것을 의미한다.

리스크 관리 – 운영을 방해하는 위험을 최소화하고 운영을 향상하다 생기는 위험을 제어하기 위한 전략을 식별, 분류, 평가 및 제정하는 조직의 프로세스를 의미한다. 

규정 준수 - 조직이 비즈니스와 관련한 관리 기관 및 법률에서 요구하는 표준, 규정 및 모범 사례를 준수하는 수준을 말한다.

GRC 접근에서는 이 세 가지 구성 프로그램이 지속적으로 기존의 비즈니스 기능과 상호 작용하고 지원하지만 세 가지 교차점에서 이점이 분명해진다. 


그림 1 GRC에 대한 통합 접근 [출처: TechTarget]

GRC를 제대로 구현하면 정책, 관행, 소프트웨어를 통해서 다음과 같은 이점을 제공한다.

비용 절감

거버넌스의 모든 측면에서 향상된 리더십 효율성

리스크, 위협 및 취약성에 대한 가시성 향상

요구되는 표준 및 규정에 대한 지속적 준수

불리한 내부 감사, 재정적 처벌 및 소송으로부터 보호

비즈니스 위험, 재무 위험, 운영 위험 및 보안 위험을 포함한 전체 조직의 위험 감소

최근에 기업이 관심을 갖고 준수해야 하는 주요 규정을 살펴보면 다음과 같은 규율과 법률이 있다. 

GDPR - 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미친다.

PCI DSS - 신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항

데이터 침해 통지법 - 개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었으며, 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있다.

GLBA(그램 리치 블라이법 규정 준수) - 금융 서비스 현대화 법으로도 알려진 GLBA(Gramm-Leach-Bliley Act)은 미국 금융 기관에 적용되며 금융 기록, 기타 개인정보를 포함한 비공개 개인정보를 안전히 처리하도록 통제한다.

NCUA(미국 신용 조합 감독청) - 미국 연방 보험에 가입한 신용 조합이 고객 기록·정보의 프라이버시, 개인정보 보호를 해결하는 보안 프로그램을 구축하도록 요구한다. NCUA는 FFIEC(Federal Financial Institutions Examination Council, 연방 금융기관 검사 협의회)에서 정한 원칙과 기준에 따라 신용 조합 감사를 시행하며, FFIEC 표준은 데이터 접근 제어, 암호화 및 키 관리, 보안 모니터링을 포함한 다양한 보안 제어 조치를 요구한다. 

SOC(서비스 조직 제어) 2 - 미국 공인회계사협회(AICPA)의 기존 트러스트 서비스 원칙(TSC)의 감사 표준 위원회를 기반으로 하는 보고서이다. 이 보고서의 목적은 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호와 관련된 조직의 정보 시스템을 평가한다. AICPA는 SSAE18을 발표했고 이는 국제 회계사 연맹(IFAC)이 후원하는 기구인 IAASB가 발행한 ISAE 3402와 유사하며 조직이 자체 통제에 대해 주장하는 일련의 진술을 입증하는 보고서를 객관적인 제3자가 작성하는 데 사용한다. 

HIPAA - 1996년 미국 의료 정보 보호법이며 의료 서비스 제공자, 보험사 및 IT 전문가가 개인 건강 정보(PHI)를 처리, 저장 및 전송할 때 대상 엔터티 및 비즈니스 관련자가 안전한 환경을 사용하여 개인 건강 정보를 처리, 유지 관리 및 저장할 수 있도록 해야 한다. 2009년에 HITECH(경제적 및 임상적 건전성을 위한 의료정보기술에 관한 법)에서 HIPAA 규칙을 확대했다. 이를 준수하기 위해 헬스 정보 신뢰 얼라이언스 (HITRUST)에서는 커먼 보안 프레임워크(CSF)을 제공하고 있다. 

SOX(2022년 사베인스 옥슬리법) - 미국의 경우 이 법은 상장 기업의 재무 보고와 감사 활동에 대한 규율이며, 보고, 공개, 내부 제어에 대해 엄격한 요건을 확립하고 미준수에 따른 처벌을 정의 한다. SOX법은 기업 거버넌스 구조를 형성하며 기업에 더 높은 재정 책임 준수를 부여한다. 기업 임원은 규정을 준수하지 않는 것으로 판명될 경우 형사 소송과 처벌의 대상이 될 수 있다. 특히 302항과 304항은 데이터 보호와 관련한 표준 수립이며 상장 기업과 회계 기업에 적용한다. 

CMMC(사이버보안 성숙도 모델 인증) - 2022년 7월 27일에 Cyber AB가 의결 전 초안을 발표했으며, 미국방부가 발주하는 사업에 참여하기 위해 요구하는 자격제도이다. CMMC 2.0은 미 국방부의 CMMC 사이버 보안 모델의 다음 버전이며 NIST 사이버 보안 표준에 맞춘다.

CCPA(캘리포니아 소비자 개인 정보 보호법) - 미국 최초의 포괄적인 개인 정보 보호법이며, 2018년 6월 말에 법으로 제정되어 캘리포니아 소비자에게 다양한 개인 정보 보호 권리를 제공한다. 

CIS (인터넷 보안 센터) - 사이버 위협에서 조직을 보호하기 위한 모범 사례 권장 사항을 나타내는 사이버 보안 프레임워크이다. 2021년 봄에 CIS v8이 나왔으며 좀 더 광범위한 사이버 보안 프레임워크와 달리 18개의 CIS 제어 목록은 프로그램 성숙도에 관계없이 조직의 최우선 순위로 간주한다.

GRC 솔루션 관련 글로벌 시장 규모는 그랜드뷰 리서치에 따르면, 2021년 기준 408억 4천만 달러 수준으로 파악하고 있으며 2022년부터 2030년까지 연평균 14% 성장할 것으로 예상한다. 이는 2028년에 1,348억 달러로 성장함을 의미한다. 


GRC 소프트웨어 및 도구


GRC 소프트웨어는 GRC의 핵심 기능을 관리하는 애플리케이션을 단일 통합 패키지 형식으로 결합해 제공한다. 이를 통해 조직은 GRC 관련 전략 및 구현을 관리하기 위한 체계적인 접근 방식을 추구할 수 있다. 기능별로 독립적 애플리케이션을 사용하는 대신 관리자는 단일 프레임워크를 사용하여 규칙과 절차를 모니터링하고 시행할 수 있으며, 성공적인 설치를 통해 리스크를 관리하고 여러 설치로 인해 발생하는 비용을 줄이며 관리자의 복잡성을 최소화할 수 있다. 


GRC 플랫폼은 사이버 보안 및 규정 준수 프로그램에 쉽게 접근, 구축, 관리 및 보고할 수 있는 보안 및 규정 준수 관리 플랫폼이다. 이때 고려해야 하는 프레임워크는 CMMC, PCI, SOC2, NIST, CIS v7, GDPR, HIPAA, CCPA 등 매우 다양한 것이 있으며 보안과 함께 개인 정보 프레임워크를 지원해야 한다.


나아가 내부 감사 수행, 리스크 관리, 워크 플로 효율성을 최적화하기 위한 엔터프라이즈 워크플로 엔진을 통해 감사, 리스크 및 규정 준수 프로그램을 간소화한다. 사용자는 식별, 대응, 완화 및 모니터링을 포함한 리스크 관리 프로그램을 매우 시각적이고 직관적으로 통합할 수 있다. 


아마존의 AWS나 구글 클라우드, 마이크로소프트 애저 클라우드 서비스에는 이와 같은 다양한 규정을 지키기 위한 지원과 이를 위한 아키텍처 설계 등을 제공하고 있다. 예를 들어 아마존의 AWS에는 HIPAA 보안 및 규정 준수를 위한 아키텍처 백서를 제공하고 있다. 


그림 2 AWS 기반 HIPAA 참조 아키텍처 [출처: AWS]

또한 많은 전문 기업이 GRC 플랫폼을 제공하고 있는데 GRC 플랫폼은 기업이 리스크를 완화하여 재정적, 법적 책임 및 기타 모든 책임을 최소화하도록 도와준다. 기업은 GRC 플랫폼을 사용하여 리스크 관리를 위한 전사적 전략을 정의, 구현 및 모니터링하며 전사적 리스크 관리(ERM)라고도 하는 이 유형의 소프트웨어는 재무, 위험, 전략 및 운영과 같은 여러 유형의 리스크를 다룬다. 


대부분의 GRC 관련 소프트웨어 클라우드 기반으로 제공하고 있으나 독립적인 솔루션 형식도 아직 있다. 그러나 대부분의 기업이 클라우드 기반으로 시스템을 전환하고 있기 때문에 GRC 소프트웨어는 여러 퍼블릭 클라우드 환경에 맞추거나 통합할 수 있는 기능을 제공하고 있으며 기업의 작업자들이 사용하는 환경이나 협업 도구와도 통합해서 GRC에 관한 모니터링과 관리를 하도록 하고 있다. 


GRC 기능은 리스크 정보를 구성 및 평가하고 전사적 사건을 추적하며 리스크 요소를 측정하고 정책 및 규정을 준수하기 위해 작업을 수정하게 하는 다양한 도구를 제공한다. GRC 플랫폼은 주로 규정 준수 담당자, 분석가 및 관리자가 사용하며, 조직 내의 운영 팀은 GRC 플랫폼을 활용하여 회사의 무결성을 유지하고 소송, 조사 및 상해와 같은 시나리오를 방지한다.


GRC 플랫폼을 보안 및 개인 정보 보호에 중점을 두고 다른 유형의 리스크를 다루지 않는 사이버 보안 소프트웨어와 혼동해서는 안 된다. GRC 소프트웨어는 소매 및 제조와 같은 산업을 위한 환경, 품질 및 안전 관리 소프트웨어와 통합하며, 세 가지 GRC 구성 요소(거버넌스, 리스크 및 규정 준수)는 각각 조직에 영향을 미치고 중요한 정보를 다른 두 구성 요소와 상호 연계한다. 


전 세계 13만 개 이상의 소프트웨어 제품과 서비스 리뷰를 하는 G2 사이트에서는 GRC 소프트웨어 카테고리를 다음과 같이 나누고 있다. 

자금 세탁 방지 소프트웨어

감사 관리 소프트웨어

비즈니스 연속성 관리 소프트웨어

통화 준수 소프트웨어

법인 관리 소프트웨어

공개 관리 소프트웨어

환경, 사회 및 거버넌스(ESG) 보고 소프트웨어

윤리 및 규정 준수 LMS

GRC 플랫폼

GRC 도구

조사 관리 소프트웨어

운영 리스크 관리 소프트웨어

정책 관리 소프트웨어

규제 변경 관리 소프트웨어

보안 준수 소프트웨어

제3자 및 공급업체 리스크 관리 소프트웨어

이 가운데에서 GRC 플랫폼 범주에 들어가는 제품은 다음을 충족해야 한다.

비즈니스 관련 리스크를 분류, 평가 및 완화

직원에게 리스크를 알리는 도구 제공

회사 정책 및 규정 준수 보장

사용자가 감사 프로그램 및 작업을 계획하고 구현하도록 지원

비즈니스 연속성 관리를 위한 기능 포함

규정 준수를 위한 교육 및 학습 제공

제3자 리스크 평가 및 실사 수행

여러 리스크 관리 방법론 지원

G2에서는 시장 입지와 만족도를 기준으로 G2 그리드 스코어링을 카테고리 별로 제공하는데 GRC 플랫폼의 경우는 그림 3과 같다. 여기에는 리더, 고 성과자, 경쟁자, 니치 플레이어 네 가지 그룹이 있다. 

그림 3 GRC 플랫폼 소프트웨어의 G2 그리드 [출처: G2]

또 다른 분석기관인 차티스(Chartis) 리서치에서는 기업용 GRC 솔루션의 리더 그룹으로 메트릭스트림, IBM, SAP, LSEG 등을 선정했다. 포레스터 리서치 역시 써드 파티 리스크 관리 플랫폼이라는 영역에서 솔루션을 비교 평가하고 있으며 여기에서는 원트러스트와 서비스나우가 리더로 평가 받고 있다.

그림 4 포레스터 웨이브로 비교한 리스크 관리 플랫폼 [출처: 포레스터 리서치]

G2의 평가에서 GRC 플랫폼 카테고리에 올라온 소프트웨어를 보면 다음과 같은 것들이 있다.

오디트보드(AuditBoard)

로직게이트 리스크 클라우드

하이퍼프루프

젠GRC

엔콘트랙츠

딜리전트 하이본드

워키바

온스프링

앱테가

스트라이크 그래프

브이콤플라이

캠스리스크

스탠다드퓨전

소테리온

이센셜 ERC

로직매니저

리졸버

SAI360

슈어클라우드

아처

오스텐디오

네이벡스 원

SAS GRC

오라클 GRC

IBM 오픈페이지 위드 왓슨

애큐이티 리스트 매니지먼트

SAP GRC

서비스나우 거머넌스, 리스크, 컴플라이언스

어댑티브GRC

Comyl

리스트에서 알 수 있듯이 전문 기업 외에 IBM, 오라클, SAP, SAS, 서비스나우 등 대형 기업 역시 GRC 플랫폼을 제공하고 있음을 알 수 있다. 


리더 그룹에서 가장 평가가 좋은 오디트보드를 보면 제품군으로는 SOXHUB, RiskOversight, OpsAudit, CrossComply, TPRM, ESG가 있으며 이를 위한 플랫폼과 통합 기능을 제공하고 있다. 또한 다양한 생태계를 위해서 기존의 클라우드 서비스와 통합해 제공하고 있다. 통합 지원하는 클라우드 생태계는 다음과 같다.

알터릭스, AWS, 애저, 패스트패스, 깃허브, 구글 드라이브, Jamf, 지라, KnowBe4, 루시드차트, 마이크로소프트 오피스, 마이크로소프트 팀스, 마이크로소프트 비지오, 옥타(Okta), 퀄리스, 서비스나우, 슬랙, 스노우플레이크, 테너블


IBM의 경우는 모든 클라우드에서 실행되는 인공지능 기반의 확장 가능한 거버넌스, 위험 및 규정 준수 솔루션으로 오픈페이지를 제공한다. 이 플랫폼은 50개 이상의 언어로 문서를 번역하고 연중무휴 지원을 제공할 수 있는 GRC 가상 도우미를 제공한다. 또한 오픈페이지는 셀프 서비스 데이터 탐색을 위해 IBM 코드노스 애널리틱스를 사용하여 조직 전체의 리스크 상태에 대한 통찰력을 제공할 수 있다. 공통 리스크 라이브러리는 공유 문서, 프로세스, 위험 및 제어를 통해 중복을 제거한다.


오픈페이지에는 운영 리스크 관리, 규정 준수 관리, 정책 관리, IT 거버넌스, 내부 감사 관리, 모델 리스크 거버넌스, 비즈니스 지속 관리, 제3자 리스크 관리, 금융 제어 관리, 데이터 프라이버시 관리 등의 솔루션을 모듈로 제공하고 있다. 


SAP 역시 GRC 서비스로 내장된 분석 및 인공지능을 통해 비즈니스 전반에 걸쳐 리스크, 제어, ID, 사이버 위협 및 국제 무역을 자동화하고 관리할 수 있는 기능을 사용자에게 제공한다. 사용자는 전사적 규정 준수 노력을 합리화하고 모범 사례 내부 제어 프로세스를 활용하여 중요한 프로세스 리스크 및 제어를 문서화, 평가, 테스트 및 수정할 수 있다. 또한 SAP GRC는 자동화된 사용자 프로비저닝, 역할 관리, 권한 있는 액세스 및 주기적 인증을 제공하는 동시에 사용자와 애플리케이션의 위험을 지속적으로 모니터링한다.


서비스나우의 GRC 솔루션은 내부 프로세스를 측정, 테스트 및 감사하여 리스크를 사전 예방적으로 관리하는 데 필요한 도구를 조직에 제공한다. 이 플랫폼은 조직이 특정 요구 사항에 따라 모든 지표를 추적하고 측정할 수 있는 직관적인 보고 및 분석 기능을 제공한다. 서비스나우는 채팅 및 커뮤니케이션 기능을 통해 차별화해서 외부 및 내부 팀 간의 간소화된 워크플로우 관리 및 협업을 가능하게 하고 있다.


이제 기업의 GRC 이슈는 점점 강화되는 국가별 규율과 새로 생기는 법률에 따라 모든 기업이 그 준수 여부를 추적하고 리스크를 사전에 최소화해야 한다. 세금과 자금 관리에 대한 법적 책임 외에도 개인 정보에 대한 중요성이 더욱 강조되면서 이제 기업이 검토해야 하는 법률과 규율은 크게 늘어나고 있다. 이를 위해서는 단지 규정 준수만을 확인하는 퍼블릭 클라우드 서비스 외에도 기업의 특성에 맞춰 모니터링과 리스크 완화를 지원하는 독자적인 솔루션과 서비스에 대한 시장은 앞으로도 크게 늘어날 것이며, 대부분 클라우드 기반으로 제공하고 있기 때문에 상황에 따라 필요한 기능을 활용하면서 서비스 최적화 하는 방안에 기업들이 관심을 가질 수밖에 없다. 


특히 정책과 규율이 계속 바뀌고 범위가 달라지고 있기 때문에 이에 대한 개별적 추적을 기업이 일일이 하는 것보다는 전문적인 도구와 서비스를 사용해서 정책과 규율의 변화에 대응하는 것이 효과적이며 인공지능 기술과 같이 새로운 리스크를 가져올 수 있는 기술의 응용을 위해서는 기존 GRC 관리와 통합을 위한 노력이 앞으로 더 필요할 것이다. 

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari