보안 / 애플리케이션

eGRC의 IT GRC의 경계가 모호해진다

Neil Roiter | CIO 2011.03.08

바젤2, 탄소배출량 저감 등 국제적인 규제들이 등장하면서 기업들이 이들을 대응하기 위한 GRC(Governance, Risk and Compliance) 솔루션을 도입하는 가운데, 일부 시장분석 전문가들은 GRC 툴과 GRC 시장에 대한 정의가 엔터프라이즈 GRC와 IT GRC간의 구분을 모호하게 만든다고 지적해 화제가 됐다.

 

대부분의 애널리스트들은 IT GRC와 엔터프라이즈 GRC(eGRC)를 구분하고 있지만, 대체로 벤더들은 잠재 기업 고객을 위해 이 둘을 좀더 쉽게 설명하지 못하는 실정이다. IT GRC 벤더들이 eGRC로 영역을 확대하는 것과 마찬가지로 eGRC 벤더들도 IT GRC 벤더들의 영역에 도전해 자사 제품에 IT 기능을 포함시켜 만들어 내 둘의 경계가 모호해지고 있기 때문이다.

 

실제로 RSA 아처(Archer)라는 벤더의 경우, IT GRC를 기반으로 eGRC로 영역을 확대해 이 시장에서 어느 정도의 성공을 거둔 것으로 알려졌다.

 

가트너의 보안 및 리스트 관리 담당 부사장인 폴 프록터는 “eGRC와 IT GRC가 반드시 서로 배타적인 것은 아니기 때문에 둘의 경계를 명확하게 정의하기는 어렵다”고 설명했다. 프록터는 "각각의 솔루션 벤더들이 서로 상대방 진영의 주장도 옳다고 수긍하고 있다”며 “일부는 모든 면에서 eGRC를 하향식으로 접근하기 때문에 IT GRC와는 명확하게 구분된다"고 덧붙였다.  

 

GRC 전략 컨설팅 회사인 코퍼레이트 인티그리티의 마이클 라스무센 사장은 “엄밀히 말해 IT GRC가 정확한 표현이라고 생각하지 않는다”며 "IT 리스크와 규제 준수라고 하는 게 더 적절할 것”이라고 말했다. 라스무센은 “경계 구분에 대해서 논외로 치더라도 이 둘은 두 영역으로 나뉠 수 있다”고 주장했다.  

 

첫째, eGRC와 IT GRC는 콘텐츠로 구분할 수 있다. eGRC를 구축할 때, 기업은 모든 콘텐츠나 컨트롤 라이브러리를 제공한다. 반면, IT GRC는 IT정책과 컨트롤 라이브러리를 샘플로 포함한 많은 콘텐츠를 제공한다. IT GRC에서는 IT가 매우 구체적인 도메인이기 때문에 IT에 특화된 콘텐츠를 주로 다룬다. eGRC는 IT 특화 콘텐츠를 거의 취급하지 않는다고 볼 수 있다.

 

라스무센은 " 재무 관리, 근로 기준 및 규제 준수 이슈, 수출입 관련 법, 의료 및 안전 등 eGRC 콘텐츠는 거버넌스, 리스크 및 규제 준수에 대해서는 좀더 큰 그림으로 접근한다”며 “eGRC에 규제 준수 대상이 좀더 포괄적”이라고 설명했다.

 

둘째, IT 콘텐츠의 본질에 초점을 맞춰서 구분할 수 있다. IT GRC는 다른 IT와 IT보안 시스템 및 취약점과 구성 관리 및 변경 관리와 같은 애플리케이션과 연동할 수 있느냐, 그렇지 않느냐를 중요하게 여긴다. editor@idg.co.kr

 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.