넘버스
넘버스
2019년 데이터 침해에 대해 상당한 벌금이 부과되는 것은 각국의 규제당국이 소비자 데이터를 제대로 보호하지 못하는 기업에 대해 심각하게 생각한다는 것을 의미한다. 영국에서 영국항공(British Airways)은 2억 3,000만 달러의 사상 최고의 벌금을 냈으며, 매리어트는 1억 2,400만 달러의 벌금을 부과받았다. 미국에서는 에퀴팩스(Equifax)가 2017년 침해에 대해 최소 5억 5,500만 달러를 지불하기로 합의했다.
사고는 계속 발생했다. 우버(Uber)는 2016년 침해 사고를 제대로 처리하지 못해 1억 5,000만 달러의 손실이 발생했다. 엄격하게 규제되는 의료 데이터를 제대로 보안 조치를 취하지 못한 의료 기관도 큰 손실을 입게 됐고, 이로 인해 미국 보건복지부(US Department of Health and Human Services, DHS)는 점점 더 많은 벌금을 징수했다.
에퀴팩스: 최소 5억 7,500만 달러
2017년, 신용 기관인 에퀴팩스는 데이터베이스 가운데 하나에서 패치가 적용되지 않은 아파치 스트럿츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 수개월동안 이 심각한 취약점을 수정하지 못했으며, 침해 흔적을 발견한 후에도 수주동안 대중에게 침해 사실을 알리지 않았다. 2019년 7월, 에퀴팩스는 회사가 네트워크 안전 확보를 위해 합리적인 조치를 취하지 못한 이유로 미 연방거래위원회(Federal Trade Commission, FTC), 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)과 미국 50개 주에 5억 7,500만 달러를 지불하기로 합의했다.
이 가운데 3억 달러는 피해를 입은 소비자에게 신용 모니터링 서비스를 제공하는 기금으로 사용된다. 초기 지불이 소비자에게 보상하기에 충분하지 않는 경우, 1억 2,500만 달러가 추가된다. 1억 7,500만 달러는 48개 주, 컬럼비아 특별구, 푸에르토리코에, 1억 달러는 CFPB로 전달된다. 합의를 통해 에퀴팩스는 2년마다 정보보안 프로그램에 대한 서드파티 평가를 받아야 한다.
FTC 위원장 조 시몬스는 “개인정보로 이익을 얻는 기업은 해당 데이터를 보호하고 안전을 확보해야할 추가 책임이 있다. 에퀴팩스는 약 1억 4,700만 명의 소비자에게 영향을 미치는 침해 사고를 방지할 수 있는 기본적인 조치를 취하지 않았다”라고 말했다.
또한 에퀴팩스는 이 사건에 대해 영국에서 이미 62만 5,000달러의 벌금을 부과받았으며, 이는 GDPR 이전 데이터 보호법 시대의 최대 벌금이었다.
영국항공: 2억 3,000만 달러
EU의 개인정보보호법(General Data Protection Regulation, GDPR) 벌금의 잠재적 규모에 대한 다양한 유언비어가 난무하는 가운데, 시행 이후 첫 1년 동안은 처벌 조치가 거의 없었다. 데이터 유출과 관련해 유럽 지역에서 부과한 벌금은 수십만 유로, 또는 상대적으로 낮은 금액이었으며, 일반적으로 기업들이 이전 법률 규정과 유사한 수준이었다. 규정 준수 노력에 많은 돈을 지출하고, 보안 실패에 대한 가벼운 처벌이 이어짐에 따라 GDPR은 빈깡통이 될 수 있다는 우려가 커졌다. 하지만 영국항공이 기록적인 2억 3,000만 달러의 벌금형을 받은 후, 상황은 빠르게 변했다. 이는 현재까지 가장 높은 데이터 유출 벌금이었으며, 2018년 우버의 1억 4,800만 달러의 벌금을 훌쩍 넘어섰다. 영국항공은 마자카트 그룹(Magecart group)이 카드 스키밍 스크립트를 사용해 2주동안 최대 50만 명의 개인 및 결제 데이터를 수집한 사건으로 인해 영국의 데이터 보호 당국인 ICO(Information Commissioner’s Office)로부터 벌금을 부과받았다.
ICO는 조사 결과, 영국항공의 보안 조치가 부실했던 것으로 밝혀졌다. 영국항공의 벌금은 GDPR 규정이 실제로 살아있고, 데이터 보호 당국이 권한을 행사하는 것을 두려워하지 않는다는 것을 보여줬다. GDPR이 보안을 이사회 이상의 안건으로 끌어올리는 주요 동인 가운데 하나였기 때문에 CSO와 개인정보보호 및 준수는 보안 프로그램을 더욱 강화하기 위한 새로운 동기를 제공할 것이다.
우버: 1억 4,800만 달러
2016년 차량 호출 앱 우버는 60만 명의 운전자와 5,700만 명의 사용자 계정을 유출했다. 우버는 사건을 신고하지 않고 해킹 당한 사실을 감추기 위해 가해자에게 10만 달러를 지불했다. 그러나 이런 행동은 기업 자체에 막대한 손해를 끼쳤다. 우버는 2018년 주 데이터 유출 신고법 위반으로 사상 최대 규모의 데이터 침해 벌금인 1억 4,800만 달러의 벌금을 부과받았다.
매리어트 인터내셔널: 1억 2,400만 달러
ICO는 영국항공에 대한 기록적인 벌금형을 부과한지 불과 며칠 만에 두 번째 막대한 벌금을 부과했다. 메리어트 인터내셔널(Marriott International)은 최대 5억 명의 고객 결제 정보, 이름, 주소, 전화번호, 이메일 주소 및 여권 번호가 유출된 후, 1억 2,400만 달러의 벌금을 부과받았다. 침해의 원인은 메리어트의 스타우드 자회사였다. 공격자들은 2015년 매리어트가 인수한 후, 최대 4년동안 스타우드 네트워크 내부에 있었던 것으로 추정됐다.
ICO는 성명을 통해 메리어트는 스타우드를 인수했을 때 충분한 실사를 하지 못했으며, 시스템 보안을 위해 더 많은 조치를 취했어야 했다고 밝혔다. 메리어트 CEO인 안 소렌슨은 벌금형에 대해 실망스럽다고 말했으며, 이의를 제기할 계획이라고 밝혔다.
또한 메리어트 인터내셔널은 GDPR 법률이 아닌 터키의 데이터 보호 당국으로부터 이 침해 사건으로 26만 5,000달러의 벌금을 부과받았는데, 이는 한번의 침해 사건으로 전 세계 각국으로부터 여러 벌금을 부과받을 수 있다는 선례가 됐다.
야후: 8,500만 달러
2013년 야후는 전체 데이터베이스, 웹 인구의 전체 규모인 약 30억 개의 계정에 영향을 미치는 대규모 보안 침해를 당했다. 그러나 야후는 이 정보를 3년동안 공개하지 않았다. 2018년 4월, 미국 증권거래위원회는 야후가 침해 사실을 공개하지 않은 것에 대해 3,500만 달러의 벌금을 부과했다. 지난해 9월 야후의 새 주인인 알타바(Altaba)는 5,000만 달러 규모의 배임에 따른 집단소송을 해결했다고 시인했다. 30억 계정에 대한 총 청구액은 8,500만 달러로, 레코드당 약 36달러에 달한다.
캐피털 원: 8,000만 달러
2019년 캐피탈 원(Captial One) 은행은 미국에서 1억 명, 캐나다에서 600만 명에게 피해를 입혔다. 캐피탈 원은 나중에 전 아마존 웹 서비스 소프트웨어 엔지니어인 페이지 톰슨으로 알려진 외부 개인이 회사의 웹 애플리케이션 방화벽의 구성 취약점을 통해 캐피탈 원 신용카드 고객과 신용카드 제품을 신청한 사람들의 개인정보를 획득했다고 말했다. 수집된 정보에는 이름, 주소, 우편번호, 전화번호, 이메일 주소, 생년월일, 자체 신고 소득, 신용 점수, 신용 한도, 잔액, 지불 내역, 연락처 정보, 거래 데이터 조각, 일부 사회보장번호 및 일부 은행 계좌번호가 포함됐다.
미국 OCC(The Office of the Comptroller of the Currency)는 캐피탈 원이 운영 시스템을 퍼블릭 클라우드 환경으로 마이그레이션 할 때 효과적인 위험 평가 프로세스를 수립하지 못한 것과 결함을 적시에 수정하지 못한 것에 대해 8,000만 달러의 벌금을 부과했다.
테스코 은행: 2,100만 달러
영국 슈퍼마켓 체인의 소매 금융업체인 테스코 은행(Tesco Bank)은 2016년 9,000개 고객 계정에서 300만 달러가 조금 안되는 돈을 도난 당한 후, 2018년 영국 금융행위감독청(Financial Conduct Authority, FCA)에 의해 2,120만 달러의 벌금을 부과받았다. FCA는 테스코의 직불카드 디자인, 금융 범죄 제어 시스템 및 금융 범죄 운영팀의 결함에 대해 책임을 물었다.
타겟: 1,850만 달러
2017년 대형 소매업 체인인 타겟(Target)은 블랙 프라이데이 기간에 판매가 급증하는 동안 약 4,000만 개의 신용 및 직불 카드 계정이 도난당한 2013년 침해 사건과 관련해 47개 주 및 컬럼비아 특별구와 1,850만 달러의 합의에 동의했다. 이후 조사에서 최대 7,000만 명의 개인 이름, 주소, 전화번호 및 이메일 주소도 유출된 것으로 드러났다. 침해와 관련된 총 비용은 2억 달러가 넘는다.
엔섬: 1,600만 달러
2015년 미국 의료보험업체인 엔섬(Anthem)은 7,900만 명에게 영향을 미친 침해 사고를 당했다. 침해 사항에는 이름, 생년월일, 사회보장번호, 의료 ID가 포함되었다. 2018년 10월, 엔섬은 미국 보건복지부의 건강보험 양도 및 책임에 대한 법(Health Insurance Portability and Accountability Act, HIPAA) 위반으로 1,600만 달러의 벌금을 부과받았다. 이 침해와 관련한 총 비용은 해당 벌금과 함께 데이터 침해와 관련한 집단소송을 해결하기 위해 2017년에 지불해야 했던 1억 1,500만 달러가 추가됐다.
1&1 텔레콤: 1,060만 달러
대규모 GDPR 벌금을 부과한 곳은 영국의 ICO만이 아니다. 독일 웹 호스팅 업체 1&1 텔레콤은 권한이 없는 사람이 고객 서비스 부서를 이용해 고객 데이터에 접근하는 것을 막기 위해 ‘충분한 기술적, 조직적 조치’를 취하지 않은 것으로 독일의 연방데이터보호정보자유위원회(Federal Commissioner for Data Protection and Freedom of Information, BfDI)로부터 1,060만 달러의 벌금을 부과받았다. 고객 데이터 인증 프로세스가 부실해 발신자가 정보를 원하는 사람의 이름과 생년월일만 제공하면 다른 고객에 대한 정보를 얻을 수 있었다. 데이터 침해와 관련이 없지만, GDPR 관련 대규모 벌금으로는 데이터 주체의 정치 참여를 처리한 오스트리아 우체국(Austrian postal service)에 대한 약 2,100만 달러와 더 이상 필요하지 않은 고객 데이터를 보관한 독일 부동산업체 도이체 보넨(Deutsche Wohnen)에 대한 약 1,700만 달러가 있다.
구글: 750만 달러
일반적으로 독점 및 반독점 관련 벌금과 관련해 2020년 구글은 2건의 구글 플러스(Google+) 사건에 대한 집단 소송을 해결하기 위해 750만 달러를 지불하는 데 동의했다. 구글은 원래 개발자가 비공개로 표시된 데이터에 접근할 수 있도록 허용하는 구글 플러스 API 버그를 공개한 후, 2018년 10월에 구글 플러스 소셜 네트워크를 종료할 계획이라고 발표했다. 구글은 이 버그가 악용된 증거가 없다고 주장했지만, 400개 이상의 애플리케이션이 이 API를 사용했고, 50만 개 이상의 계정에 영향을 줄 수 있다는 사실을 인정했다. 2개월 후, 구글은 구글 플러스와 관련해 두 번째 사건을 발표했다. 이는 또 다른 API 문제로 개발자가 5,250만 명의 사용자의 개인 프로필 정보에 접근을 허용하게 되면서, 구글은 원래 언급했던 것보다 4개월 일찍 종료했다. 구글은 이 버그에 대한 악용 사례는 없다고 말했다.
2018년에 2건의 집단 소송이 제기됐지만, 나중에 하나로 통합됐으며, 2020년 1월에 2015년 1월부터 2019년 4월 4일 사이에 구글 플러스 계정을 사용하는 모든 사용자에게 비공개 정보를 노출한 것에 대해 각각 5달러에서 12달러를 지불하도록 합의했다.
텍사스 대학교 MD 앤더슨 암 센터: 430만 달러
2018년 6월, 판사는 HIPAA를 위반한 텍사스 대학교 MD 앤더슨 암센터(The University of Texas MD Anderson Cancer Center)에 대해 430만 달러의 벌금을 부과하기로 한 결정을 지지했다. 이 암 센터는 2012년과 2013년 사이에 3건의 데이터 유출로 인해 3만 3,500명이 넘는 개인의 건강정보를 유출했다. 어떤 경우는 직원의 집에서 암호화되지 않은 노트북을 도난 당했다. 다른 2가지 보안 침해는 암호화되지 않은 USB 도난과 관련이 있다.
프레세니우스 메디컬 케어 노스 아메리카: 350만 달러
2018년 2월, 프레세니우스 메디컬 케어 노스 아메리카(Fresenius Medical Care North America, FMCNA)는 2012년 2월과 7월 사이에 서로 다른 위치에서 5건의 별도 침해를 당한 후, 350만 달러의 벌금을 받았다. 시민권익청(Office for Civil Rights, OCR)은 조사를 통해 FMCNA가 다른 기관에서 저장 중인 모든 건강 정보의 기밀성, 무결성, 가용성에 대한 잠재적 위험과 취약점에 대한 정확하고 철저한 위험 분석을 수행하지 못했다고 밝혔다.
또한 시설 및 장비에 대한 무단 접속을 방지하지 않음, 건강 데이터를 암호화하지 않음, 건강데이터를 보관하는 전자 매체 제거를 통제하지 않음, 보안 사고 절차 미비 등의 책임을 물었다.
코티지 헬스, 터치스톤 메디컬 이미징, 로체스터 대학 메디컬 센터: 각각 300만 달러
2019년에는 3건의 대규모 HIPAA 위반이 있었다. 코티지 헬스(Cottage Health), 터치스톤 메디컬 이미징(Touchstone Medical Imaging), 로체스터 대학 메디컬 센터(University of Rochester Medical Center, URMC)에 각각 300만 달러의 대규모 벌금이 부과됐다. 2013년에 1건, 2015년에 1건의 위반으로 코티지 헬스는 6만 2,500명 이상의 개인전자보호건강정보(electronic Protected Health Information, ePHI)가 유출됐다. 2개의 사건 모두 인터넷을 통해 접속할 수 있는 ePHI를 보유하는 서버와 관련됐다.
미국 테네시 소재 터치스톤 메디컬 이미징은 노출된 FTP 서버를 통해 30만 명 이상의 환자 PHI를 온라인으로 볼 수 있게 노출한 결과, 300만 달러의 벌금을 부과받았다. 터치스톤은 2014년 FBI로부터 이 노출에 대해 통보를 받았지만, 환자 PHI는 노출되지 않았다고 주장했다.
미국 보건복지부(The US Department of Health and Human Services, HHS)는 “터치스톤이 FBI와 OCR에서 침해 사실을 통보받은 후 수개월이 지나도록 보안 사고를 철저히 조사하지 않았다”라고 밝혔다. 또한 침해의 영향을 받은 개인에 대한 통지가 시의적절하지 않았다고. 이에 대해 터치스톤 측은 잠재적 리스크에 대해 정확하고 철저한 리스크 분석을 하지 못했다. 보안 공급업체와 제휴 계약을 맺지 못했다”라고 설명했다.
2019년 11월, 로체스터 대학 의료 센터는 모바일 기기 암호화 실패로 300만 달러의 벌금을 물었다. 의과대학, 치과대학 및 스트롱 메모리얼 병원(Strong Memorial Hospital, SMH)을 포함하는 이 센터는 2013년 암호화되지 않은 플래시 드라이브를 분실했으며, 2017년 암호화되지 않은 노트북을 도난당했다. 2010년 URMC는 암호화되지 않은 드라이브를 통해 보안 침해를 당해, 신고했음에도 불구하고 개인 건강 정보를 제대로 보호하지 못한 것에 대해 벌금을 물었다.
잭슨 헬스 시스템: 215만 달러
미국 플로리다에 있는 여러 병원과 의료 센터를 운영하는 마이애미 비영리 학술의료 시스템인 잭슨 헬스 시스템(Jackson Health System, JHS)에서도 대규모 HIPAA 위반 사건이 발생했다. JHS는 2013년부터 2016년까지 여러 위반 사건에 대해 DHS로부터 215만 달러의 벌금을 부과받았다.2013년 JHS는 756명의 환자에 대한 종이 기록의 손실을 DHS에 보고했지만, 내부 조사 결과 3상자의 환자 기록을 손실한 것에 대해서는 보고하지 않았다. 2015년 JHS는 2명의 직원이 업무 목적성이 없는 환자의 전자의료기록에 접속했음을 발견했다. 2016년 JHS는 직원이 2011년 이후 총 2만 4,000명의 환자 기록을 판매하고 있다는 사실을 발견한 후, 해당 위반 사실을 신고했다.
에퀴팩스, 페이스북, DSG 리테일, 캐세이퍼시픽 항공: 각각 65만 달러
영국의 4개 회사는 운이 좋았다. 2018년 영국 정보당국은 GDPR 전 데이터보호법에 따라 에퀴팩스와 페이스북에 벌금을 부과했는데, 이 법에서는 데이터 유출에 대한 최고 과징금이 65만 달러에 불과했다. GDPR에 따르면, 처벌은 훨씬 더 높을 수 있었다. 페이스북은 케임브리지 애널리티카(Cambridge Analytica) 데이터 사건으로 인해 벌금을 물었고, 에퀴팩스는 2017년 침해로 9월, 최고형을 선고받았다. GDPR이 도입된 지 거의 2년이 지난 2020년 초, 규제 당국은 기존 데이터 보호법에 따라 2개의 회사에 벌금을 부과했다. 영국 소매업체인 DSG 리테일(DSG Retail Limited)은 자회사인 커리스 PC 월드(Currys PC World)와 딕슨 트래블(Dixons Travel) 매장에서 5,000대 이상의 컴퓨터에서 POS 악성코드가 발견돼 벌금을 부과받았다. 다만 GDPR 시행 전인 2017년 7월에 공격이 시작되어 신규 규정 시행 후인 2018년 4월까지 정보를 수집하고 있었는데, 종전 법의 최고형인 65만 달러가 적용됐다.
이 공격으로 공격자는 이름, 우편 번호, 이메일 주소, 내부 서버의 신용 조회 오류 등 약 1,400만 명의 개인정보와 560만 개의 결제 카드 세부 정보에 무단 접속이 가능해졌다. ICO는 회사가 보안 체계가 미흡했다며, 패치 적용, 로컬 방화벽, 망 분리, 일상적인 보안 테스트 등 개인 데이터를 보호하기 위한 적절한 조치를 취하지 않았다고 말했다. 이에 앞서 ICO는 2018년 1월, DSG의 카폰 웨어하우스(Carphone Warehouse)에 유사한 결함으로 52만 달러의 벌금을 부과한 바 있다.
중국 항공사인 캐세이퍼시픽(Cathay Pacific)은 2020년 3월, 고객의 개인 데이터 보안을 지키지 못한 이유로 데이터 보호법 상 최대 벌금을 부과받았다. ICO는 2014년 10월부터 2018년 5월까지 캐세이퍼시픽의 시스템이 적절한 보안 조치를 취하지 못해 고객의 개인정보가 노출됐다고 판결했다. editor@itworld.co.kr
Tags
데이터보호법
GDPR
HIPAA
함께 보면 좋은 콘텐츠
Sponsored
Wolters Kluwer
팀메이트의 닛산 자동차 내부 감사 사례 : 미래 대비와 혁신을 주도하다
ⓒ Wolters Kluer 닛산 자동차(Nissan Motor Co., Ltd.)는 자동차 산업 전반에 걸쳐 혁신과 기술 개발의 최전선에서 높은 품질과 신뢰성으로 명성을 얻고 있다. 사명인 "사람의 삶을 풍요롭게 하는 혁신 추진"에 따라 닛산 자동차는 2019년 지배구조 개선을 위해 과감한 조치를 취했다. 내부 감사 팀은 새로운 비즈니스 요구 사항과 진화하는 위험에 대처하기 위해 빠르게 발전을 이뤄야 했다. 변화의 속도와 복잡성으로 인해 글로벌 내부 감사 팀의 진화는 조직의 가치를 보호하고 강화하고자 하는 목적을 지원하는 기술에 기반해야 했다. 또한, 확장 가능하고 유연하며 쉽고 빠르게 구현하는 기술을 채택해야 했다. 월터스 클루어(Wolters Kluwer)는 6개월 동안 닛산 자동차의 성공적인 혁신을 지원했으며, 내부 감사 팀이 신뢰할 수 있는 파트너로서의 입지를 계속 유지하고 있다. 닛산 내부 감사가 요구한 내용 닛산의 부사장/최고 내부 감사 책임자(최고 감사 경영자)인 미셸 바론은 다음과 같은 명확한 목표를 세우고 연구를 시작했다. 내부 감사 부서는 전 세계 여러 곳에 근무하는 약 100명의 내부 감사자로 구성되어 있다. 지리적으로 분산된 내부 감사 부서를 동일한 기술 플랫폼으로 전환해 더 강력한 팀 응집력, 협업 및 일관성을 지원해야 한다. 감사자가 문제를 식별하고 실시간으로 보고할 수 있도록 지원하고 관리 조치를 추적하는 데 수반되는 수작업을 줄이는 동시에 이를 투명하고 경영진이 액세스할 수 있도록 함으로써 보다 투명성과 민첩성을 높일 수 있어야 한다. 팀이 경험을 공유하고, 공통된 발견 사항을 강조하고, 서로 협력하여 배울 수 있도록 기록하는 방법을 비롯, 문서화에 대한 내부 감사 관행을 표준화해 높은 품질을 구현해야 한다. 종합적으로, 이러한 결과는 전략적 가치를 높인다는 측면에서 더 큰 성과를 추진하고 운영생산성 및 효율성을 향상해야 한다. 기능적인 결과 외에도 바론은 내부 감사자가 '경찰관'이 아닌, 비즈니스에 가치와 지원을 더할 수 있는 전략적 파트너임을 보여줌으로써 조직 내 문화를 변화시키기를 원했다. 바론은 규정을 준수할 수 있는 보장 조치를 제공할 뿐만 아니라, 새로운 프로젝트 및 비즈니스의 중요한 개발에 대한 논의에서 내부 감사 팀을 파트너로 재배치함으로써 내부 감사 팀이 비즈니스 성장을 주도하면서 핵심 기여자로 거듭나는 조직을 구상했다. 실현을 위해서 팀은 새로운 리스크와 기회를 평가하고 통제 프레임워크 강화에 대해 조언하며 성공적인 성장에 필요한 거버넌스 구조의 효율성을 개선하는 데 집중해야 했다. 모든 혁신과 마찬가지로 첫 번째 중요한 단계는 팀 구성원을 설득하는 것이었다. 구성원에게 더 광범위한 역할과 더 큰 책임을 부여하고, 동시에 더 전략적으로 사고하고 새로운 기술을 사용하여 문제를 더 빠르게 보고하고 추적하도록 격려하는 것은 굉장히 부담이 가고 기존의 틀을 깨는 파괴적인 일이다. 직원 동의가 없다면 어떤 시스템이든 실패할 수 있다. 반면, 적절히 관리할 경우 내부 감사 역할과 범위를 개발할 수 있는 기회는 무척 흥미로웠고 직원들에게 활력을 불어넣고 동기를 부여하며 새로운 인재를 유치할 수 있는 잠재적인 가치도 있었다. ⓒ Wolters Kluer 팀메이트(TeamMate)와 함께하는 여정 바론과 팀이 목표를 달성하고 미래로 성장할 수 있도록 지원하는 감사 관리 솔루션으로 팀메이트+ 오딧(TeamMate+ Audit)이 선정되었다. 바론의 팀은 내부 감사 동료가 적절히 문서화한 성공 사례와 과거 팀메이트 사용 직원의 경험을 검토하는 등 광범위한 실사를 조사하고 수행했다. 팀메이트가 제공하는 기능 중에 꼭 필요한 것이 있었다. 중앙 집중식 플랫폼과 더 빠른 보고 바론은 “J-SOX 규정 준수 보고, 추적, 관리를 포함하여 포괄적인 감사 프로세스 전반에 걸쳐 다양한 방식으로 사용할 수 있고 또 여러 가지 요소를 수용할 수 있다는 점이 마음에 든다. 유연성이 중요하기 때문”이라고 말했다. 중앙 집중식 플랫폼은 여러 지역과 시간대에서 일하는 감사자에게 더 나은 협업, 공유, 결과 비교를 지원할 뿐만 아니라, 재택 근무자가 많은 시기에는 효과적인 커뮤니케이션까지 가능했다. 닛산에서 글로벌 내부 감사실의 총괄 책임자를 맡고 있는 타케시 마시코는 이렇게 말했다. “팬데믹으로 출장이 훨씬 줄어들어 개인적인 관계를 구축하기가 어렵다. 팀메이트 플랫폼은 공통 언어를 제공한다.” 또한 감사 위원회는 보고된 감사 문제의 적시 해결에 중점을 둔다. 문제나 권장 사항 정보가 중앙 집중화된 팀메이트는 감사 위원회 구성원에게 실시간 정보를 제공해 예전처럼 긴 검토 및 질문 프로세스가 필요하지 않다. 보고서 작성이 쉬워진 덕분에 감사 팀은 보고 횟수를 늘릴 수 있었고 감사 위원회는 감사의 품질을 높일 수 있었다. 따라서 공개 권고가 급격히 감소했으며 구현 이후 1년 동안 계속 매우 낮은 수준을 유지하고 있다 마시코는 “닛산 자동차처럼 전 세계 여러 곳에서 운영되는 회사의 경우 문화를 초월해 모든 사람들이 동시에 같은 내용을 볼 수 있는 단일 플랫폼을 갖추는 것이 중요하다고 생각한다”라고 말했다. 사용 및 구현의 용이성 새로운 감사 관리 솔루션을 구현하려면 닛산의 두 가지 귀중한 리소스인 시간과 비용이 필요했다. 따라서 적절한 솔루션을 구현하는 것이 필수적이었다. 바론은 "팀메이트를 통해 감사 위원회와 경영진을 완벽하게 지원할 수 있는 부서로 전환할 수 있었다”라며 “경영진은 답을 얻기까지 몇 주씩 기다리기를 원하지 않는다. 감사 진행 상황을 알아보기 위해 누군가에게 이메일을 보내야 한다면 그만큼 지연이 발생하고 시간이 낭비된다”라고 설명했다. 관리 협업 및 보고 바론은 "규정 준수 보장은 중요한 기준이지만 수동 입력을 줄이면 미리 생각하고 추세를 파악하고 전략적으로 행동할 수 있다"라고 말했다. “더 영향력 있고 흥미로운 역할을 원하는 경영진과 내부 감사자는 이러한 변화를 원한다. 감사자 역할을 맡을 사람들에게 내부 감사는 전체 비즈니스를 이해하고 새로운 리스크를 관리하는 데 중요한 역할을 하는 곳이라고 말할 수 있다.” 바론의 팀은 ‘신뢰할 수 있는 조언자’라는 명성을 더욱 높였을 뿐만 아니라 이제 이사회와 주주에게 적시에 완전하고 정확한 정보를 제공함으로써 비즈니스 성장을 적극적으로 지원하는 역할을 맡고 있다. ⓒ Wolters Kluer 속도와 민첩성 향상 닛산 자동차의 중심에는 성과가 있다. 따라서 바론은 내부 감사 작업을 빠르게 처리하고 민첩성을 높이기를 원했다. 전 세계의 감사 보고서가 적시에 제출되게 하는 방안을 모색한 것이다. 보고 기한을 정한 후 팀메이트는 내부 감사 리더가 다른 사람들과의 비교를 지원했고, 동료보다 먼저 보고서를 제출하려는, 의도하지 않은 건전한 경쟁이 벌어졌다. 마시코는 투명성으로 관리자가 권장 조치를 완료해야겠다는 동기를 얻었으며 이것이 진정한 동력이라고 덧붙인다. 또한, “드러난 문제를 더 민첩하게 파악하고 싶었다. 그래서 PDCA(Plan-do-check-act) 감사 결과에 대한 후속 조치 빈도를 연 2회에서 연 4회로 늘렸다. 대시보드를 통해 해결되지 않은 문제의 수를 한눈에 볼 수 있어 동기 부여가 더 높아진다”라고 말했다. 닛산 자동차 내부 감사의 지속적인 진화 팀메이트는 팀이 감사 계획을 매년 실시하던 것에서 더 지속적인 프로세스로 전환했다. 바론과 팀은 더 광범위한 비즈니스 환경의 변화에 대처할 수 있는 더 민첩한 계획 프로세스로의 전환을 모색하고 있다. 팀메이트 기능은 새로운 감사 계획 방법론의 정착에 매우 중요한 요소였다. 바론은 “팀메이트는 매우 중요한 솔루션이다. 리스크가 끊임없이 변하므로 변화를 수용할 수 있는 계획 프로세스가 필요하기 때문”이라고 말했다. “전 세계의 리소스와 작업을 살펴보고 새로운 요구 사항을 충족하도록 계획 일정을 재조정하는 방법을 찾아야 한다. 모든 데이터를 한 곳에서 확인하고 완전한 투명성을 갖추고 있는 경우에만 이러한 방법이 가능하다. 언제든 방향을 바꿀 수 있어야 한다.” 환경, 사회, 거버넌스(ESG)라는 미션은 자동차 산업에서는 유독 어려운 과제다. 닛산 자동차는 야심 찬 목표를 세우고 전기화, 커넥티드 카, 인공 지능 개발을 계획하고 있다. 바론은 팀이 이러한 목표를 향한 진행 상황을 모니터링하고 측정할 뿐만 아니라 목표를 실현할 수 있는 도구를 갖추고 있다고 확신한다. 바론은 "새 목표는 기술에 기반한 변화이므로, 변화에 맞춰 조직의 요구 사항을 충족하는 것이 중요하다"라고 말한다. 또한 “모든 해답을 가지고 있지는 않지만 진정한 비즈니스 파트너가 되기 위해 계속 역할을 조정해야 하는 상황에서 필요한 것을 지원하는 감사 관리 플랫폼으로 팀메이트는 필수 요소"라고 강조했다. 마시코는 "팀메이트는 더 성장해 나갈 여지를 제공한다."라고 말했다. “다양한 기능이 내장되어 있지만 시간이 지나면서 팀은 더 많은 기능을 유연하게 사용할 수 있다. 확장과 발전의 여지가 있는데, 복잡한 조직 구조를 가진 조직일수록 이러한 여지가 중요하다. 마시코는 이제 막 출발점에 도달했다며 “향후 감사 팀의 기반이 될 플랫폼을 갖추게 되었다. 다음 단계는 데이터를 분석하고 사용하는 방법에 초점을 둘 것”이라고 덧붙였다. 팀메이트를 사용하면서 닛산 자동차의 내부 감사 팀은 지난 한 해 동안 전 세계적으로 업무 방식을 혁신했다. 그러나 그 여정이 여기에서 멈추지 않을 것은 분명하다. 팀메이트는 경영진과 감사 위원회가 요구하는 보장을 제공하고 투명한 협업과 데이터 및 실시간 정보 사용을 통해 더 많은 가치를 더하는 새로운 방법을 원하는 팀을 계속 지원할 것이다. 빠르게 변화하는 자동차 산업에서 내부 감사의 진화와 새로운 개발 지원 능력은 닛산 자동차의 기업 엔진이 원활하고 안전하게 작동하도록 유지하는 동력이 될 것이다.
Wolters Kluwer
내부 감사 소프트웨어 구입 시 고려해야 할 5가지 사항
ⓒ Getty Images Bank 내부 감사 소프트웨어를 구입할 때에는 가격 외에도 여러 가지 요소를 살펴야 한다. 물론 예산을 우선순위에 두고 검토해야겠지만, 가격만 고려해 소프트웨어를 도입하다 보면 장기적으로 감사 품질을 저하하고 결국 더 많은 비용이 드는 결과를 초래할 수 있다. 예를 들어 감사 데이터가 제대로 전달되지 않으면 이해 관계자가 특정 위험을 간과할 가능성이 있으며, 이러한 위험이 조직에 피해를 입힐 수 있다. 강력한 감사 소프트웨어를 사용하면 감사 계획을 간소화하고 보고서를 쉽게 공유할 수 있어 내부 감사 부서뿐 아니라 조직 전체가 감사 결과에 따른 조치를 취할 수 있다. 따라서 내부 감사 소프트웨어를 구입할 때 다음의 5가지 범주에서 각각의 플랫폼 차이를 검토하는 것이 중요하다. 1. 데이터와 분석 내부 감사 소프트웨어의 가장 중요한 영역은 데이터와 분석 기능이다. 우수한 감사 관리 도구라면 API를 사용하여 다른 리스크 관리 도구나 재무 시스템과 동기화함으로써 데이터 수집과 같은 영역을 간소화해야 한다. 또한 리스크 식별용 데이터 시각화 등의 영역은 물론, 수치 분석(예: 벤포드의 법칙) 같은 자동화 영역에도 분석 기능을 제공해야 한다. 그렇지 않으면 단지 스프레드 시트 프로그램 수준만의 가치 이상을 얻을 수 없을 것이다. 2. 협업 또한 감사 소프트웨어의 데이터와 분석 기능은 부서 간 협업 촉진에 활용될 수 있어야 한다. 다른 시스템과의 강력한 데이터 통합 기능을 통해 내부 감사 팀은 규정 준수, 정보 보안 등의 다른 영역에서 무슨 일이 일어나고 있는지 쉽게 파악할 수 있다. 데이터 측면에서 모든 사람이 같은 수준에 있기 때문에 내부 감사자는 다른 그룹과 더 쉽게 협업하여 여러 팀의 결합된 보증과 전반적으로 더 강력한 감사 프로세스를 제공할 수 있다. 3. 보안 내부 감사 관리 소프트웨어를 선택할 때 중요하게 고려해야 할 세 번째는 기술 자체의 보안이다. 내부 감사자가 시스템에서 충분한 보안 프로토콜을 사용하고 있다는 확신이 없으면 중요한 데이터가 리스크에 노출될 수 있다. 이 경 오히려 우수한 데이터 및 분석 기능을 보유할 수록 불리하다. 방식은 기업에 따라 다르다. 기술과 보안 요구 사항을 충족하기 위해 자체 서버에서 내부 감사 소프트웨어를 호스팅하는 옵션을 원하는 조직도 있고 클라우드 배포를 선호하는 조직도 있다. 4. 보고 기업은 감사 분석 도구의 보고 기능도 고려해야 한다. 먼저 감사 보고서를 생성하는 데 걸리는 시간과 노력을 고려할 수 있다. 특히 내부 감사 팀이 지속적인 리스크 평가 접근 방식을 취하는 경우에는 더욱 그렇다. 또한 감사 결과를 이해하기 쉬운 형식으로 경영진, 이사회, 외부 감사에 보고할 수 있기를 원할 것이다. 이해하기 쉬운 형식은 다시 감사 결과 데이터를 시각화할 때 유용한 데이터 분석 기능과 연결된다. 5. 사용 편의성 마지막으로, 어떤 유형의 감사 소프트웨어든 구입하기 전에 사용 편의성을 고려해야 한다. 이때 구현 시간과 같은 영역을 살펴볼 수도 있다. 시스템을 구축에 드는 시간이 궁금하겠지만 거기에 더해 사용자 경험 그리고 기존에 사용하던 시스템과의 유사성도 고려하는 것이 좋다. 내부 감사 직원이 새 도구에 익숙해지는 시간을 짐작할 수 있기 때문이다. 또한 일부 감사 분석 도구는 조직에 있는 기존 시스템과의 상호 운용성을 기반으로 다른 도구보다 더 사용하기 쉬울 수 있다. 기존 도구와 새로운 감사 소프트웨어 간에 데이터를 쉽게 공유할 수 있으면 결과에 대해 협업하고, 리스크를 식별하고, 내부 통제를 조정하기가 더 쉬워진다. 구매 전 검토 이 5가지 고려 사항에 집중하면 내부 감사 프로세스에 적합한 감사 소프트웨어를 선택하고 플랫폼 ROI를 최적화하는 데 도움이 될 것이다. 이러한 평가를 진행한 후 많은 기업이 팀메이트+(TeamMate+)를 선택했다. 팀메이트+는 강력한 데이터 및 분석 기능, 간소화된 보고 기능, 강력한 보안 관행을 갖춘 최고의 내부 감사 소프트웨어 플랫폼으로 조직의 감사 기능을 개선하는 데 활용된다. 솔루션을 실제로 실행해 본다면 내부 감사에 활용할 방안을 더욱 현실적으로 구상할 수 있을 것이다. 팀메이트+ 오딧(TeamMate+ Audit) 세계 최고의 감사 관리 소프트웨어인 팀메이트는 업계를 혁신하여 규모에 상관없이 감사 부서의 역량을 강화해 왔습니다. 감사 분야의 발전을 주도하는 팀메이트+ 오딧의 가장 강력한 이점을 소개하는 데모에 참여해 보십시오. 데모 보기 팀메이트 전략적 인사이트를 제공하고 감사의 효과를 향상해야 하는 전 세계 모든 업계의 감사자들에게 팀메이트는 프리미엄 전문 서비스가 결합된 전문 솔루션을 제공합니다.
Wolters Kluwer
내부 감사를 위한 데이터 분석의 5가지 이점
ⓒ Getty Images Bank 감사자가 업무 전반에 걸쳐 유용한 감사 분석 정보를 찾을 수 있는 데이터 분석 기술이 감사 분야에서 한층 주목받고 있다. 또한 감사 분석 소프트웨어의 등장으로 데이터 과학자나 관련 전문가만이 아닌 일반 감사자도 자체적으로 쉽게 대용량 데이터 세트를 분석하고 데이터 분석을 생성할 수 있게 되었다. 내부 감사를 위한 데이터 분석의 주요 이점 5가지를 자세히 들여다보자. 1. 더 나은 리스크 관리 내부 감사를 위해 데이터 분석을 사용할 경우 가장 큰 이점은 조직 전체에 걸쳐 리스크 관리를 개선할 수 있다는 것이다. 회계 관행을 분석해 재무적 위험을 파악하든, IT 기록을 통해 사이버 보안 리스크를 식별하든, 일반적으로 모든 데이터의 수동 검토는 불가능하다. 감사자가 정보 과부하를 방지하기 위해 제한된 데이터 샘플링 방법을 사용할 경우 리스크 관리에 허점이 생길 수 있다. 전체 데이터 세트에는 아직 실현되지 않았지만 중요한 이상 값이 존재할 수 있기 때문이다. 내부 감사를 위한 데이터 분석은 대량의 데이터를 빠르게 검토하고, 리스크를 파악하고 이해하는 데 도움이 된다. 2. 더 확실한 보증 리스크 관리 개선과 관련하여 내부 감사를 위한 데이터 분석의 또 다른 이점은 여러 팀에 걸친 결합 보증을 비롯하여 더 확실하게 보증할 때 사용할 수 있다는 것이다. 데이터 분석은 비즈니스 프로세스를 더 체계적이고 완전하게 검토해 여러 부서의 결과가 일치하는지를 쉽게 확인할 수 있다. 예를 들어 내부 감사 팀은 데이터 분석을 사용해서 트랜잭션 로그 같은 재무 데이터를 검토해 이상 유무를 확인할 수 있다. 또한 결과를 ERM(엔터프라이즈 리스크 관리)이나 규정 준수 등의 다른 부서와 쉽게 공유하고 결과가 동기화되었는지 알 수 있다는 것도 장점이다. 감사 분석 소프트웨어를 사용하면 특히 쉽게 결과를 시각화하고 비교할 수 있다. 대조적으로, 샘플링 또는 기타 수동적이고 제한된 프로세스에서는 감사 결과가 ERM의 결과와 일치하는지를 나타내는 신호를 놓치더라도 알 수 없다. 3. 향상된 효율성 내부 감사를 위한 데이터 분석은 리스크 관리 및 보증을 개선할 수 있을 뿐만 아니라 시간도 절약할 수 있다. 예를 들어 엑셀에서 수십만 개의 데이터 항목을 검토해야 할 경우 시도조차 할 엄두가 나지 않을 정도로 시간이 많이 소요될 것이다. 그러나 팀메이트 애널리틱스(TeamMate Analytics)와 같은 감사 분석 소프트웨어는 100만 개 이상의 데이터 행을 검토할 수 있으며 즉시 실행할 수 있는 150개 이상의 기본 제공 테스트 라이브러리를 이미 갖추고 있다. 결과도 시각적 형식으로 쉽게 제시할 수 있다. 전체적으로 내부 감사자는 데이터 분석 및 감사 분석 소프트웨어를 사용하여 감사 계획, 수행 및 발표 측면에서 효율성을 높일 수 있다. 4. 더욱 명확한 보고 또한 데이터 분석을 사용하여 더 이해하기 쉽고 인상 깊은 보고서를 작성할 수 있다. 특히 감사 분석 소프트웨어의 감사 기능으로 감사 결과를 명확하게 전달하는 차트, 그래프 등 데이터 시각화에 도움이 된다. 이러한 데이터 분석 기능이 없다면 청중은 이해하기 힘든 긴 표와 장황한 설명으로 의사 소통을 해야 한다. 반면, 데이터 분석을 사용해 고위 경영진, 감사 위원회, 여러 이해 관계자에게 더욱 명확한 보고서를 생성하고 프레젠테이션에서 최대한 활용할 수 있다. 5. 감사 품질 개선 전반적으로 데이터 분석을 사용하면 감사 프로세스의 각 단계에서 감사 품질을 향상하고 전체적으로 감사 품질을 높일 수 있다. 감사 계획에서 테스트, 보고에 이르기는 전 과정에서 내부 감사자는 데이터 분석을 사용해 자신의 작업을 더 잘 이해하고 다른 이해 관계자와 협업할 수 있다. 더욱 구체적으로는 데이터 분석을 사용하여 벤포드 테스트, 계층화, 화폐 단위 샘플링(Monetary Unit Sampling), 격차 및 중복 감지 등의 감사 절차를 보다 체계적이고 효율적으로 수행할 수 있다. 감사 소프트웨어로 분석 기능 최대한 활용하기 이러한 예에서 알 수 있듯, 데이터 분석은 감사 방법론을 최적화하고 감사 결과를 개선하는 등, 내부 감사 부서에 여러 이점을 제공할 수 있다. 내부 감사 팀은 감사 방법론이나 프로세스와 일치하지 않는 일반적인 분석 도구 대신, 감사 분석 소프트웨어를 사용할 경우 데이터 분석을 최대한 활용할 수 있다. 팀메이트 애널리틱스(TeamMate Analytics) 같은 감사 분석 소프트웨어를 사용하면 감사 팀이 이러한 유형의 이점을 제공하는 데이터 분석을 쉽게 생성할 수 있다. 마이크로소프트 엑셀에서 실행되므로 감사 팀 구성원이 데이터 과학 전문가에게만 분석을 맡기지 않고, 직접 친숙한 워크플로에 따라 감사 분석을 생성할 수 있다. 팀메이트 애널리틱스(TeamMate Analytics) 데이터 분석은 모든 잠재적인 문제 또는 이상 현상을 강조하는 100% 포괄 기능과 문제의 근본을 신속하게 파악할 수 있는 기능을 통해 전달되는 가치를 크게 높일 수 있습니다. 데모를 통해 팀메이트 애널리틱스가 감사 분석에 대한 생각을 어떻게 바꿀 수 있는지 알아보십시오. 데모 보기
.jpg)
추천기사
