"준수와 인증, 검증의 차이를 아시나요", 혼란스러운 컴플라이언스 용어 5가지

Network World
* 본 기고문은 업체 관계자가 작성한 것이지만 업체 솔루션이나 시각과 관련한 내용을 직접 포함하지 않도록 네트워크 월드 편집진의 편집을 거쳤다.

컴플라이언스(Compliance)과 거버넌스(Governance)의 분야에서 인증과 준수, 승인 등의 용어는 의미가 서로 다르지만 같은 것으로 오해하는 사람이 많다. 이들 용어의 의미를 정확히 알아야 업계에서 어떻게 사용되는 지도 제대로 파악할 수 있다.


Credit: Getty Images Bank

구체적인 차이를 살펴보기에 앞서 초기 감사(audit) 가운데 그 기준을 충족하는 범위를 판단하는 증명(Attestation)과 확약(Assurance) 등 두 가지 기본적인 절차가 이루어진다는 사실을 알아야 한다.

이를 통해 기업은 서드파티 위험을 인식하고 컴플라이언스 요건을 충족하며 고객과 기타 이해당사자에게 관련 정보를 제공한다. 쉽게 말해 추천서 또는 특정 주장을 뒷받침하는 증거 자료를 생각하면 된다.

- 증명(Attestation): 감사자(auditor)가 증명서에 서명함으로써 소속 기업의 명성을 걸만큼 주장의 사실성을 입증하거나 확인한 경우다. 이 검증에서는 최선을 다해 프로세스를 직접 검토하고 제품 코드를 검사하며 증명 요건의 증거를 확인한다. 예를 들어, ISO-27001, SOC-2, FIPS 등의 감사를 증명으로 본다.

- 확약(Assurance): 회사가 감사자에 제공한 증거를 기초로 회사의 프로세스 또는 제품을 검토한 경우다. 겉으로는 증명과 유사해 보이지만 그렇지 않다. 감사자가 "우리가 알고 있는 한 그리고 회사가 제공한 증거에 기초해 그들이 적절한 지침을 준수하고 있다고 판단된다"고 말하는 것과 같은 의미다. HIPAA 또는 ISAE-3000 등이 좋은 예이며, 둘 다 Type II 확약으로 알려져 있다. 'Type II'라는 용어는 감사 프로세스의 길이를 나타낸다. 예를 들어, HIPAA 및 ISAE-3000은 감사자가 6개월간 검토한 것이다.

여기까지가 기본이다. 지금부터는 일반적인 컴플라이언스 용어에 대해 살펴보자.

- 준수(Compliant): 규제를 준수하기 위해 기업은 반드시 자사의 프로세스와 통제를 규제 요건과 일치시켜야 한다. 예를 들어, 필자가 근무하는 드루바(Druva)는 KPMG가 실시한 6개월 '확약'에 기초해 HIPAA를 '준수'한다. 즉 우리는 증거를 제시했고 감사자는 이를 근거로 우리의 프로세스와 통제가 HIPAA의 지침을 만족한다고 결론내렸다. 기업이 컴플라이언스를 확보하는 또 다른 방법은 자체 프로세스와 제어에 대한 자체 평가를 한 후 이를 규제의 요건 및 의도와 일치시키는 것이다. 예를 들어, ITAR 등이 있다.

- 인증(Certified): 인증이란 감독 기관이 공식적인 프로세스를 통해 회사의 업무 절차, 통제, 제품을 감사한 후 인증서를 제공한 것을 의미한다. 세이프 하버(Safe Harbor)가 대표적인 사례인데, 여기에는 자체적인 공식 인증 프로세스가 있다. 반면 모든 규제에 인증 프로세스가 있는 것은 아니다. HIPAA는 이런 프로세스가 없으므로 기업은 HIPAA를 '준수'할 수 있을 뿐 '인증'을 받을 수는 없다.

- 검증(Validated): 일부 규제는 준수 외에 한 걸음 더 나아가 인증된 구성 요소의 진정성에 대한 검증을 요구한다. FIPS 140-2 인증이 대표적으로, 인증된 암호화 모듈에 대한 검증을 요구한다. 기본적으로 암호화 모듈 또는 라이브러리 안의 코드를 미국 정부가 모두 검토해 인증했다는 의미다.

기업이 자사 제품에 사용하기 위해 이런 모듈을 획득하는 경우 사전에 컴파일(Compile)돼 모듈의 무결성을 확보하기 위한 식별 지문과 함께 제공되므로 암호화 코드를 변경할 수 없다.

이런 모듈을 제품에 통합하면 FIPS 모듈을 감사하는 것으로 인정받은 외부의 서드파티가 이행을 감사하고 지문을 통해 진정성을 검증한다. 감사를 통과하면 서드파티에서 증명서를 작성하고 서명해 해당 기업의 FIPS 이행이 FIPS 암호화 표준을 준수함을 명시한다.

이런 보편적인 용어를 이해하면 기업과 관련된 규제의 복잡성 증가에 더 잘 대처할 수 있다. 또한 최고의 기술 솔루션을 도입하는 지침으로 활용해 컴플라이언스 규제를 관리하고 기업 전체를 보호하는 데 도움이 된다. 단, 최근 GDPR 법률처럼 컴플라이언스 용어는 국가와 상황 별로 다를 수 있으므로 사업을 진행하는 각 국가의 컴플라이언스 규제 요건을 파악하는 것이 중요하다.

Dave Packer는 Druva의 기업 및 제품 마케팅 담당 부사장이다. ciokr@idg.co.kr