세계 각국의 기업은 사이버 공격의 정교화와 규제 환경의 강화 속에서 IT 인프라 운영의 안정성을 확보하는 것이 필수 과제가 되고 있다. 특히 최근 등장한 생성AI 등 신기술은 IT 환경의 복잡성을 한층 높이며, 사전 대응적이고 통합적인 위험 관리 체계 없이는 예상치 못한 보안 침해와 규정 준수 실패로 이어질 수 있다. 

글로벌 규제 기관들은 데이터 보호, 시스템 무결성, 운영 투명성 확보를 위해 강화된 표준을 요구하고 있으며, 이에 따라 조직은 보안과 규정 준수를 동시에 달성할 수 있는 체계적인 IT 통제 프레임워크를 필요로 하고 있다.

글로벌 IT 연구 및 자문 기업 인포테크리서치그룹(Info-Tech Research Group)이  ‘효과적인 IT 통제 등록부 구축(Build an Effective IT Controls Register)’ 보고서를 발표했다.

보고서는 많은 조직이 중앙 집중식 IT 통제 등록부를 갖추지 못해 막대한 비용 손실과 보안 위협에 직면하고 있다고 밝혔다. 보고서에 따르면, 통제 기능의 결함은 심각한 보안 침해, 규정 준수 실패, 그리고 경우에 따라 IT 및 리스크 관리자의 퇴직으로까지 이어진다. 특히 규제 준수에만 치중한 제한적 사고방식은 광범위한 위험 요소를 간과하게 만들며, AI와 같은 신기술이 불러올 예측 불가능한 위협에는 더욱 취약하다.

IT 통제 현대화를 위한 3단계 방법론

보고서는 IT 통제를 현대화하기 위한 실용적인 3단계 방법론을 제시한다.

1단계는 조직 목표 정의 및 현재 통제 체계 구축으로, IT 리더가 명확한 목표와 성과 측정 기준을 설정하고, 통제 분류 체계를 마련해 기존 통제의 범위와 효과를 평가하며 부족한 부분을 확인한다.

2단계는 기존 통제 평가 및 신규 통제 개발로, 거버넌스·감사팀과 협력해 설계 품질, 구현 가능성, 사용자 피드백, 감사 결과를 분석하고, 미해결 위험을 완화할 신규 또는 개선된 통제를 개발한다.

3단계는 모니터링 및 보고 계획 수립으로, 지속적인 프로세스와 보고 메커니즘을 통해 통제의 효과를 유지하며, 최종 등록부를 위험 관리 프레임워크에 통합해 규정 준수 공백을 해소한다.

이 3단계 전략을 적용하면 기업은 규제 준수 체계를 강화하고 보안 사고 발생 가능성을 낮출 수 있다. 이는 곧 운영 효율성 향상과 비용 절감으로 이어지며, 인력 구조 안정에도 긍정적 영향을 준다.

특히 AI와 같은 신기술 도입 시 발생할 수 있는 새로운 보안 위협에 선제적으로 대응할 수 있는 기반을 마련함으로써, 기술 혁신과 규제 준수를 동시에 달성할 수 있다. 보고서는 이를 통해 팀이 GRC(거버넌스·리스크·컴플라이언스) 도구를 더 효과적으로 도입하고, 변화하는 환경에서도 자신 있게 신기술을 수용할 수 있다고 강조한다.

인포테크 리서치 그룹의 아누바브 샤르마(Anubhav Sharma) 연구 책임자는 “극도로 불확실한 거시경제 상황과 AI를 비롯한 신기술이 IT 환경을 재편하는 가운데, IT 통제를 사후 대응적으로 구축하는 기존의 위험 관리 방식은 더 이상 충분하지 않다.”라며, “IT와 비즈니스가 협력해 포괄적이고 위험 지향적이며 데이터 기반의 통제 프레임워크를 선제적으로 개발해야만 새로운 위험이 극복할 수 없는 위협으로 발전하기 전에 예측하고 관리할 수 있다.”고 강조했다.

구식 IT 통제는 단순한 기술적 결함이 아니라, 조직 전반의 보안·규정 준수 실패로 이어질 수 있는 구조적 취약점이다. 인포테크리서치그룹이 제시한 3단계 방법론은 이러한 위험을 해소하고, 지속 가능한 IT 운영 환경을 구축하는 데 실질적 해법을 제공한다. 변화하는 규제와 위협 환경 속에서, 체계적이고 위험 우선적인 IT 통제 등록부는 기업 생존과 성장을 위한 필수 요소로 자리 잡고 있다.