디지털 혁신의 위험 거버넌스: 위험, 규정 준수, 감사팀을 위한 가이드

  * 본 아티클의 원문은 2021년 4월 30일 Google Cloud 블로그(영문)에 게재되었습니다.  

클라우드 기술을 향한 전환은 업계의 혁신과 지속적인 가속화를 가져왔습니다. 이로 인해 최고 위험 책임자, 최고 규정 준수 책임자, 내부 감사 책임자는 물론 관련 팀에는 새로운 과제와 기회가 안겨졌습니다. 조직이 새로운 민첩성, 제품 및 서비스 품질 개선, 시장 관련성을 추구함에 따라 임원진과 담당 팀이 이 새로운 기술 환경을 도입하는 과정에서 안전성, 보안, 규정 준수를 우선시하는 것은 당연합니다.

이처럼 광범위한 모든 기술 혁신에는 안전하게 관리되도록 위험, 규정 준수, 감사 관행의 조정이 필요하지만 클라우드 컴퓨팅을 채택한다고 해서 관리해야 할 위험이 늘거나 전체적인 위험이 순증가한다고 가정해서는 안 됩니다. 클라우드는 그 자체만으로 위험성이 있는 동시에 보안, 복원력, 기타 위험을 관리하는 수단이 됩니다. 독립적인 위험, 규정 준수, 감사팀은 클라우드 기술의 안전한 사용을 위한 과정을 수립하고 클라우드 사용을 통해 위험을 줄임으로써 기업에 막대한 전략적 가치를 제공할 수 있는 위치에 있습니다.

이 새로운 백서는 귀사가 이러한 이점을 얻도록 돕는 것을 목표로 하며, 조직에서 진행할 혁신 활동의 가이드 역할을 합니다. 이 백서에서 설명하는 절차는 이러한 혁신이 위험, 규정 준수, 감사 부서에 갖는 의미와 클라우드 환경에서 해당 프로그램을 가장 효과적으로 포지셔닝하는 방법을 이해하는 데 도움이 될 수 있습니다.

부서마다 성공적인 혁신과 관련된 여러 가지 세부적인 고려사항이 있으므로, 4가지 핵심 단계에 채택된 다음 원칙을 가이드로 삼고 참고해 여정을 진행할 것을 제안합니다.

기초 마련: 공통된 이해를 확립하고 시간에 따라 조직 혁신의 의도와 접근방식을 구체화해줄 핵심 원칙을 수립합니다.

• 공통된 이해를 확립하세요. 성공적인 디지털 혁신을 위해서는 조직적, 문화적, 기술적, 절차상 변화의 조정이 필요합니다 용어 및 접근방식에 대한 공통되고 공유되는 이해는 모든 업무 현장에서 계획과 실행을 담당하는 인력에게 참조 모델을 제공합니다.
• 장기적으로 사고하되 반복적으로 행동하세요. 혁신을 진행하면서 위험 및 제어 방식을 발전시키세요. 처음부터 '완벽'을 추구하기 위해 디지털 혁신을 미루는 것은 실용적이지 않을뿐더러 장기적으로는 학습을 통한 참여와 성숙으로 더 나은 절차를 얻을 수 있으므로 위험의 관점에서도 현명하지 못한 판단일 수 있습니다.
• 조직 준비 상태의 우선순위를 정하세요. 역량 및 기술 평가와 강화, 올바른 조직 구조 및 운영 모델 구현에 우선순위를 두어야 합니다. 초기에는 전담 팀의 형태를 띨 수 있지만, 장기적으로는 더 전체적인 접근방식이 필요합니다.
• 통합된 전용 거버넌스를 구현하세요. 전반적인 혁신 프로그램 감독 기관(예: 협의회 또는 위원회)과 관련 리더십 감독 기능이 갖춘 계획 부서를 마련합니다. 기술, 운영, 보안 위험 거버넌스가 프로그램 거버넌스에 대한 견제와 균형의 역할을 해야 합니다. 

초기 단계 관리: 조직에서 클라우드로의 초기 마이그레이션을 안전하게 수행할 수 있는 구조와 기구를 마련합니다.

• 초기 보안 및 구성에 관한 최소 표준을 정의하세요. 보안과 기타 구성 표준, 원칙이 새로운 작업을 고려해 개발되고 업데이트되어야 합니다. 초기 단계에 (데이터 또는 비즈니스 서비스의 중요도에 따른) 특정 워크로드 클래스에 적용되는 최소 표준에 대한 명확한 정의가 마련되어야 합니다.
• 초기 위험 및 규정 준수 감독을 정의하세요. 초기 위험 모니터링 프레임워크를 수립하고 경험과 학습을 토대로 지속해서 반복합니다. 여기에는 특정 측정항목과 관련 기준 또는 한도가 포함되어야 합니다. 특히 초기 단계에서 독립적인 전문 기술과 테스트를 활용해 설계 및 프로젝트를 검증합니다.
• 이사회 및 규제 기관과 소통하세요. 조직이 적절한 위험 관리를 수행하고 있음을 일선에서 이사회에 적극적으로 알리고 규제 기관에는 별도로 알려야 합니다. 위험, 규정 준수, 감사 부서에서 제어 정도와 위험 감수도 준수에 대한 독립적인 관점을 제공해야 합니다.
• 학습하고 기술을 개발하세요. 향후 소규모 전담 팀에서 보다 광범위한 조직으로 책임과 실행을 안전하게 이전할 수 있도록 조직에서 전 직원을 위한 종합적인 맞춤 교육 계획을 수립하여 클라우드 기술에 대한 심층적인 전문 지식을 개발해야 합니다. 

성숙 및 가속화: 제어의 엄격성과 감독을 강화하고 동시에 거버넌스 규모를 조정하여 클라우드 채택을 가속화할 수 있도록 제어 및 거버넌스 구조를 조정합니다.

• 포괄적인 보안 및 구성 표준을 개발하세요. 클라우드 배포 방법과 표준 준수 방법에 대한 명확한 정책, 표준, 프레임워크가 마련되어야 합니다. 단일 프로젝트가 아닌 ‘워크로드 클래스’를 개발하고 배포할 수 있어야 합니다.
• IT 기술 제공을 현대화하세요. 클라우드의 보안 위험 완화 기능을 활용하고 유지하기 위해 기술 부서 및 사업부가 소프트웨어 개발 수명 주기의 점진적인 현대화를 어떻게 준비할지 결정합니다. 보안 및 구성 표준을 수명 주기와 관련 도구에 포함시켜야 합니다.
• 위험 감독을 기본 작업으로 수행하세요. 조직의 클라우드 사용 성숙도를 반영해 위험 및 제어 분류(위험, 제어, 영향)를 업데이트합니다. 특히 클라우드 제공업체를 포함해 변경된 책임과 책무 모델을 고려하여 위험 및 제어 자체 평가 등의 감독 절차를 조정합니다. 
• 지속적인 제어 모니터링을 확장하세요. 클라우드에서 기술을 배포할 때 더 많은 제어 기능을 코드로 표현하거나 그 밖의 방식으로 체계화할 수 있습니다. 클라우드의 이러한 속성을 활용하여 주요 제어 기능을 지속적으로 모니터링해 제어 기능이 배포되고 예상대로 활성화되며 명시된 목표에 따라 작동하도록 보장합니다.

새로운 안정 상태: 클라우드를 모든 관련 위험 프로그램 및 거버넌스에 포함시키고 클라우드 권장사항으로 현 상태를 유지하는 프로세스를 구현하여 광범위한 사례에 맞춰 조정합니다. 

• 클라우드를 다른 위험 프로그램 상호 연결하세요. 조직의 기술 제공에 클라우드 사용을 반영함은 물론 클라우드 서비스의 위험 감소와 투명성 강화를 활용하기 위해 타사 위험 평가 및 복원력 프로그램 등 연결된 위험 프로그램에서의 조정을 감독합니다.
• 지속적인 개선 주기를 추진하세요. 조직의 지속적 개선 역량을 측정합니다. 제어 기능을 지속적으로 모니터링하여 클라우드의 체계적 기술 및 보안 제어를 활용하고 있는가? 이전에는 사용할 수 없었던 제어 기능을 사용할 수 있도록 아키텍처를 주기적으로 개선하고 있는가? 새로운 클라우드 제공업체 기능을 사용 중인가? 등을 측정합니다.
• 최신 클라우드 권장사항을 따르고 가정한 내용을 지속적으로 재검증하세요. 외부 클라우드 요구사항 및 권장사항의 변화를 파악하고 대응하도록 규제 및 표준 모니터링 체제를 조정합니다. 조직의 클라우드 사용이 발전해 나감에 따라 이를 고려하여 꼬리 위험을 검사하도록 설계된 시나리오 계획 절차를 수정합니다.
• 동시에 레거시를 관리하세요. 위험 및 규정 준수 기구에서 기존 기술에 계속 적절히 초점을 맞추며 유지보수, 업그레이드, 기타 일상적인 관리에 대한 결정이 기존 시스템의 지속적이고 안전한 운영과 일관되도록 보장합니다.

위험, 규정 준수, 감사 부서는 복잡한 디지털 혁신을 통해 기업을 이끌고 클라우드 기술의 이점을 실현하는 데 핵심적인 역할을 합니다. 이러한 팀은 기술, 보안, 복원력, 기타 운영 위험을 관리하는 방법에 대한 여러 변화를 주도하고 구체화합니다. Google Cloud 전문가들이 대기업의 위험 및 제어 부서를 지원하며 축적한 지식과 클라우드 보안 및 위험 관리를 선도하고 혁신해 온 수년간 경험을 바탕으로 작성된 이 백서의 권장사항을 따르면 클라우드를 향한 여정이 한결 쉬워질 것입니다. 클라우드 혁신의 위험 거버넌스와 관련해 귀사와 협력하게 되어 기쁘게 생각합니다.