AI 기술 확산과 글로벌 규제 강화로 기업의 데이터 보호와 윤리적 경영 요구가 높아지고 있다. 그러나 많은 기업들이 변화하는 컴플라이언스 요구사항을 따라가지 못하고, 거버넌스, 리스크, 컴플라이언스(GRC) 운영 부담과 리스크 관리 한계에 직면하고 있다.

GRC 플랫폼 기업 드라타(Drata)가 데이터 보호 규제, AI, 고객 신뢰 유지에 대한 GRC 전문가의 분석을 담은 ‘2025 GRC 현황 보고서: 비용 센터에서 전략적 비즈니스 동력으로(The State of GRC 2025: From Cost Center to Strategic Business Driver)’를 발표했다. 

GRC 전문가, “규제 변화 대응에 어려워”

고객의 프라이버시 및 투명성에 대한 기대가 높아지면서 응답자의 96%는 잘 알려진 데이터 침해 사건과 컴플라이언스 위반으로 인한 과징금 때문에 GRC가 더 많은 주목을 받고 있다고 응답했다.

이로 인해 GRC를 적절히 운영해야 한다는 압박이 가중되는 가운데, 응답자의 절반(45%)이 컴플라이언스와 혁신의 균형, 데이터 프라이버시 및 보호, 운영 회복력 유지에 대한 우려를 나타냈다.

응답자의 98%는 GRC 성과를 고객 및 주요 이해관계자들에게 공개해야 내부 및 외부 신뢰를 구축할 수 있다고 말했다. 즉, GRC 전략은 단순한 규제 준수 의무를 넘어 장기적인 비즈니스 성공을 위한 기반임을 시사한다.

실제 기업들은 부실한 컴플라이언스 태세 및 프로세스로 인해 브랜드 평판 문제(51%)에서 보안 및 데이터 침해(49%)까지 부정적인 영향을 경험하고 있다. 특히 GRC 전문가의 48%는 기존 컴플라이언스 프레임워크 업데이트와 주의가 필요한 영역 식별에 어려움을 겪고 있었다.

AI가 불러올 GRC 변화에 대비해야

또한 조사에 참여한 모든 기업(100%)이 향후 12개월 동안 직원들의 AI 기술 사용 증가를 예상하고 있지만, GRC 프로그램이 이를 완벽하게 준비한 곳은 10%에 불과했다.

46%는 AI가 규제 준수를 개선할 것이라고 기대하는 반면, 43%는 AI 편향이 GRC 의사결정에 부정적 영향을 미칠 것을 우려하고 있으며, 39%는 AI의 환각(hallucination) 현상이 부적절한 GRC 가이던스를 제공할 가능성에 대해 우려했다.

드라타 매트 힐러리(Matt Hillary) 보안 담당 부사장 겸 최고 정보 보호 책임자(CISO)는 “보안 및 GRC 팀은 AI로 인한 GRC 기능의 큰 변화를 예상해야 한다.”라며, “이러한 변화에 대비하지 않는 GRC 팀은 컴플라이언스 프로그램의 확장과 조직이 이러한 요구사항을 충족하는 데 어려움을 겪을 것이다.”라고 말했다.