– 디지털 리스크관리, 부서간 협업 마인드에서 출발…가시성→통찰력→액션 단계로 해결

“전 산업에서 진행되고 있는 디지털 변혁은 비즈니스 성장의 큰 원동력이지만 디지털화로 인해 기업의 리스크는 증가한다.”

최근 한국을 방문한 샘 오브라이언 RSA 아처(Archer) 아시아태평양·일본 담당 통합 리스크 부문 디렉터는 국내 은행, 증권사, 보험사 등 주요 금융사 고객들을 만나 이같이 지적하면서 디지털 비즈니스에 맞는 리스크 관리 방법을 채택해야 한다고 강조했다.

최근 많은 기업들이 디지털 변혁을 적극 추진하고 있다. 가트너 조사에 따르면, 기업 의사결정권자(leaders)의 89%는 디지털화가 기업의 우선순위이며, 최고경영자(CEO)의 66%는 앞으로 3년 안에 비즈니스 모델을 바꿔야 한다고 여길 정도다.

오브라이언 디렉터는 “디지털 변혁은 디지털 리스크를 증가시킨다. 앞으로 어느 시점이 되면 비즈니스 리스크보다 디지털 변혁으로 야기되는 디지털 리스크가 훨씬 더 커질 것”이라고 전망하면서 효율적인 관리 방법을 제시했다.



 

부서 칸막이 허물고 협업하려는 마음가짐 중요

그동안 기업은 IT의 현대화(Mordernization)를 추진하면서 디지털화 초석을 다졌다. 이같은 최신 IT의 도입은 IT부서가 이끌었다, 새롭게 대두되는 보안위협은 보안팀이, 리스크와 규제(Risk&Compliance)는 리스크·컴플라이언스팀이 책임을 지고 담당해 왔다. 하지만 “이처럼 각 팀에서 문제를 해결하려는 것은 예전 방식”이란 게 오브라이언 디렉터의 진단이다.

그는 “개별 부서가 따로 업무를 수행한다면 그저 위협을 방어해 조직을 보호하고 잘 굴러갈 수 있도록 현상을 유지하는 것에 그칠 것”이라며 “디지털 운영에 걸맞는 조직으로 변화하려면 부서 간에 신뢰를 쌓고 혁신과 민첩성을 높여야 한다. 이를 위해서는 팀 간에 놓인 벽을 깨고 함께 협업해 나가야 한다”고 강조했다.

이어 “사일로(silo)를 없애겠다는 마음가짐을 갖고, 전반적인 가시성과 통찰력을 얻고 액션을 취하는 단계로 디지털 리스크를 관리해야 한다”고 제시했다.

협업을 중시해야 하는 이유는 무엇일까.

오브라이언 디렉터의 설명이다.

“가령 IT 전략 부서에서 클라우드 도입을 계획할 경우 클라우드 이전에 따르는 개인정보보호(프라이버시)를 포함한 규제준수 이슈가 발생할 수 있다. 만일 이를 고려하지 않는다면 기업의 비즈니스는 물론 법규제 위반에 따른 과징금 부과 등과 같은 비용 문제가 발생할 수 있다.”

“만일 IT보안팀이 취약점 스캐너를 돌려 필요한 시스템 패치를 놓쳤던 것을 알게 됐다. 패치가 이뤄지지 않아 문제 발생 소지가 있는 것을 알았지만 긴급한 패치가 아니라고 판단해 나중에 하기로 했다. 만일 리스크 관리 차원에서 접근한다면 다른 팀과 의논해볼 것이다. 리스크·컴플라이언스팀에 전달해 알아보니 문제가 생긴 서버에는 개인식별정보(PII, 개인정보)가 저장돼 있어 중요한 자산이니 당장 해결해야 한다는 것을 알 수 있게 된다. 개인정보 침해와 법규제 위반 문제가 발생할 수 있기 때문에 IT팀에 우선순위로 해결해야 한다고 요구할 수도 있다.”

문제를 파악해 가시성을 얻고 협업을 통해 통찰력을 부여한다면 한 건의 패치 누락이 사소한 것이 아니라는 점을 알게 되고, 바로 조치 시행까지 이뤄지는 과정으로 연결된다는 얘기다.



디지털 리스크관리 워크플로우 – 가시성과 통찰력, 우선적인 실행방법 제시

오브라이언 디렉터는 “RSA 아처는 기업들이 단절된 환경과 복잡성을 제거해 기업에 닥친 비즈니스와 디지털 리스크를 파악해 의사결정을 내리고 실행해야 할 워크플로우를 제시해 효율적으로 문제를 해결하고 디지털 리스크관리를 수행하도록 돕는다”고 부각했다.

RSA 아처의 특징으로는 먼저 “모든 프로세스를 잘 연결해 자동화된 워크플로우를 제시하며 의사결정을 손쉽게 내릴 수 있도록 지원한다”라면서 “준수해야할 수많은 컴플라이언스가 존재하고, 또 컴플라이언스가 계속 변경되는 기업 환경에서 생성되는 수많은 데이터를 인공지능(AI)·머신러닝을 활용해 가시성을 확보해 통합적인 정책(Policy)·제어(Control)를 구현한 뒤 액션 플랜과 비즈니스 변경관리를 지속적으로 수행하도록 한다”는 점을 들었다.

또한 “관리해야 할 리스크를 쉽게 판단할 수 있도록 대시보드와 지수카드(Scorecard) 형태 지표로 나타내 리스크를 중심으로 우선 취해야 하는 액션 플랜을 볼 수 있게 한다”며 “궁극적으로 조직의 컴플라이언스 수준을 단일 포털에서 확인할 수 있다”고 덧붙였다.

오브라이언 디렉터는 특히 “가시성 단계에서는 많은 문제가 도출되지만 모든 것에 대응할 수는 없다. 때문에 중요한 이슈를 판단할 통찰력이 필요하다”라면서 “RSA 아처는 자산 중요도와 비즈니스 목표에 맞춰 대시보드를 통해 리스크에 대한 통찰력을 얻을 수 있도록 제시한다. 이 통찰력 바탕으로 액션을 만든다. 액션 역시 자산 중요도와 비즈니스 목적에 맞춰 만들어 실행하도록 제공한다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network