보고서 리뷰
디지털시대 준법의 자동화

컴플라이언스 솔루션, 김성용 외 저

김성용
한국인공지능법학회 정회원

지난해 12월 22일 환자 개인정보를 제약사에 넘긴 주요 대형병원 전공의들과 제약회사 영업사원들에 대한 사건이 검찰로 송치됐다. 과거 발생했던 정보유출 사건을 보면 이번 사건이 특별히 놀라운 일도 아니지만, 또 다시 포털사, 카드사, 보험사 등에 이어 개인의료정보와 같은 민감 정보가 대량으로 유출됐다는 점에서 사안의 심각성을 짐작할 수 있다. 기업의 청렴윤리경영 문제가 임계점에 다다른 것은 아닌지 의문스러운 대목이다. 다만 다행스러운 점은 디지털시대 첨단기술이 기업이 정보의 생성, 보관, 삭제에 이르는 일련의 과정을 처리하는 데 있어 감당하기 어려운 규제 및 컴플라이언스를 좀 더 효율적이고 효과적으로 활용할 수 있도록 하는 준법의 자동화를 이끌고 있다는 점이다.

이번 보고서리뷰에서는 오늘날 글로벌 비즈니스로 인해 지켜야 할 많은 규칙, 해결해야 할 많은 위험과 보안상 문제점이 가속화하는 상황에서 디지털시대 기업들이 투명하고 안전한 청렴윤리경영의 기술생태계 조성을 위해 무엇을 해야 하는지 살펴보겠다.


1디지털시대 청렴윤리경영의 첫 단추 IT컴플라이언스

거의 모든 기업과 정부의 활동들이 정보시스템에 의존하고 있는 만큼 이를 규제하기 위한 각종 법규 및 지침은 기업의 업무 활동을 돕는 정보시스템에 대한 규제로 연결되는데, 이를 IT컴플라이언스라고 한다. 첨단기술의 발전은 대부분의 기업으로 하여금 IT의존적 환경으로의 편입을 가속화 시켰고, 그 결과 각종 정보침해 사고의 발생빈도를 높이는 부작용이 발생했다. 이 때문에 추가 생산을 위한 한계비용이 상대적으로 낮은 정보자산보호(예: 개인정보)와 기업경영의 투명성을 높이기 위한 IT관련 법제도(예: 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자금융감독규정, ISO 27001, HIPPA, GLBA, SOX 등)가 등장하게 되었고, 규제당국의 기업에 대한 IT컴플라이언스로 이어졌다.

기업들은 디지털화된 정보가 기업을 지탱하는 중요한 자산이라는 인식을 갖게 되었고, 다행스럽게도 이러한 인식이 IT컴플라이언스를 기업이 준수해야 할 첫 번째 사항으로 만들었다. 전자적 기록물의 사용을 위한 접근기록을 보관하고 정보보호의 투명성과 고객과의 신뢰성 유지의무를 부담하는 기업 입장에서는 IT관련 각종 컴플라이언스를 통해 조직관리와 기업 신용도 향상을 기대할 수 있다는 점도 이로운 점으로 작용했다.

이처럼 기업은 IT관련 법제도 교육을 통해 내부자에 의한 정보유출 및 외부 해킹을 차단하여 디지털화된 고객정보보호, 자료보관, 재무보고서 공시 등과 관련하여 IT컴플라이언스를 확고히 해야 할 의무를 부담한다. 특히, 세계 각 국을 상대로 비즈니스를 해야 하는 글로벌 기업 입장에서는 해당 국가의 법령 등 많은 규정을 준수해야 하는 복잡한 상황에서는 규제준수가 더욱 중요하다. 결국 모든 정보가 IT시스템으로 집중되어 관리되는 디지털시대에 높은 수준의 청렴윤리경영을 위해 가장 우선적으로 준비해야 하는 것이 IT컴플라이언스인 것이다.

2컴플라이언스와 정보기술의 융합

기업은 중요문서에 대한 보호조치로 관리자 외 접근을 제한하여 잠재적 손실을 최소화하고, 해킹 등 정보유출에 대비하여야 한다. 이를 위해 개인정보보호법 제29조 안전조치의무의 준수가 대표적이다. 그러나 IT의존적 정보시스템 환경에서 글로벌 기업이 준수해야 할 복잡하고 다양한 IT규제는 관리자들에게 적지 않은 부담을 준다. 정보가 비가시성 및 비가독성, 취약성, 대량성, 휘발성, 초국경성으로 변화된 상황에서 정보보호조치는 인간의 능력만으로는 충분하지 않다. 단적으로 개인정보 하나만 놓고 보았을 뿐인데, 규제의 복잡성과 그에 따른 (컴플라이언스)비용 부담은 기업경영의 걸림돌로 작용하여 기업의 경쟁력 저하와 수익성 악화를 초래할 수 있다. 그렇다면 빅데이터 분석과 실시간 보고 및 클라우드 컴퓨팅(Cloud Computing)으로 데이터 자동화를 통한 컴플라이언스 과정의 효율성을 추구할 방법은 없을까?

금융기업을 중심으로 디지털 데이터, 컴퓨터 네트워크, 새로운 데이터 분석 기법 등 정보기술로 규제 준수를 돕는 레그테크(RegTech)가 새로운 대안으로 제시되었다. 레그테크 서비스는 위험노출을 평가하고 미래의 위험을 예측하며 자금세탁방지나 사기방지 확인 및 적발을 돕기도 한다. 또한 각종 절차를 용이하게 하며 블록체인 기술과 암호화폐를 통한 분산원장의 장점을 이용하여 실시간 거래 모니터링과 회계감사를 제공하는 프로그램을 제공하기도 한다.

결국 IT컴플라이언스와 정보기술의 융합은 규제당국으로 하여금 컴퓨터가 규제 내용을 스스로 인식하고 자동적으로 이행할 수 있도록 하는 더욱 진보된 시스템 개발을 촉진하는 역할을 할 것이다. 향후 기업은 복잡한 법규를 해석하고 이를 기초로 (비)정형화된 보고서를 작성하는 등의 불필요한 절차와 시간을 낭비하지 않아도 될 것이다.

3새로운 플랫폼 개발을 위한 규제와 기술의 혁신적 아이콘(IT·AI 감사)

우리나라는 2003년 전자정부사업의 일환으로 회계 피감기관의 컴퓨터를 온라인으로 연결한 국가재정정보시스템(National Finance Information System; NAFIS)을 완성했고, 이에 따라 감사자가 컴퓨터를 활용한 감사기법(Computer Assisted Audit Techniques; CAATs)을 적용하여 NAFIS뿐만 아니라 타기관의 디지털자료의 교차점검(cross-check)을 가능하게 했다.

청렴윤리경영을 위한 강력한 내부통제 시스템에도 불구하고 끊임없이 발생하는 기업의 일탈행위에 CAATs의 필요성을 설명하는 이유가 여기에 있다. 정부와 기업은 청렴윤리경영이라는 큰 틀에서 규제당국과 정보의 흐름을 투명하게 공유하는 이른바 디지털 소통이 가능한 새로운 플랫폼을 구상해야 한다. 실시간으로 정보의 흐름을 모니터링 할 수 있는 지금, 컴플라이언스만으로 부족한 내부통제를 IT·AI 감사가 가능한 시스템으로의 점진적인 체제전환이 필요하다. 우리 정부는 디지털 신기술에 기반하여 공공서비스를 혁신하고 국민에게 도움이 되는 디지털 기반 정부를 지향하고 있다. 따라서 지금이 바로 우리 기업 등 민간이 규제당국과 기업 간 신뢰를 기반으로 지능정보기술의 활용에 박차를 가할 좋은 기회이다.

첨단기술은 국경을 초월하는 자유로운 정보의 흐름을 보장했고, 누구나 초소형의 대용량 저장매체로 언제 어디서든 원하는 정보 수집을 가능하게 했다. 이와 동시에 첨단기술은 불법적인 정보 거래를 차단하기 위한 규제 메커니즘 용도로도 사용되기 시작했다. ‘보안사고 0%’라는 완벽보안이 사실상 불가능한 상황에서 IT 및 AI감사 시스템으로의 상호 보완적 관계로의 체제전환이 필요한 시점이다. 다만 IT 및 AI 감사와 같은 새로운 디지털 플랫폼이 기업의 자율성을 훼손하는 것은 경계해야 할 것이다.