美 증권거래위원회 크리샌 헤로드

“프로세스 간소화한 효율적인
 전자 접근제어 구현에 매진”


[인물] 美 증권거래위원회(SEC)가 기업 지배 구조 부분을 대폭 강화한 사베인즈 옥슬리법(SOX,  Sarbanes-Oxley)을 감사하는 규제 기관이 된 데에 대해 비난의 목소리가 크다. SEC의 CSO인 크리샌 헤로드(Chrisan Herrod)을 만나 최근의 이러한 비난에 어떻게 대처하고 있는지 들어봤다.

그녀는 SOX 규제기관에서 시행중인 여러 가지 동일한 표준을 기업이 준수하고 있는지 여부를 확인하는 업무를 맡고 있다. 모든 다른 보안 전문가와 마찬가지로 그녀 역시 이런 의견에 동의하는 면이 있다. 그녀가 최근에 효율적인 전자 접근제어를 구현하지 못한 것을 SEC의 책임으로 떠넘긴 GAO (Government Accountability Office) 보고서를 발표했다는 것은 이를 잘 드러낸다. 다음은 그녀와의 일문일답.

                                                                    해외뉴스팀

다른 기관에 의해 자사 기관의 준수 제어 기능이 정밀 조사되는 것은 용납하기 쉬운 일은 아닐 것 같은데.

‘GAO’에서 SEC의 부족한 데이터 제어력에 대해 신랄하게 비판한 보고서를 발표하긴 했지만, 정보 보안 제어력의 부족으로 인해 재정적인 제어 문제가 발생한다는 것이 증명된 적은 없다. 개인적인 소견으로는 안정된 제어력과 안정된 기록 보관 능력을 보유하고 있으면 설사 기술적인 제어 기능이 구현되지 않았더라도 준수를 위한 적절한 단계를 밟고 있는 것이라고 생각한다.

SEC의 전반적인 보안 상황은 어떤가.

SEC은 여러 가지 기술, 프로세스 및 관리 제어 기술을 조합해 FISMA(Federal Information Security Management Act)를 준수하도록 보장하고 있다. 우리는 우리 주변의 보안 및 심층 방어 전략에 관하여 매우 양호한 추적 기록을 보유하고 있다. 또한 내부적으로 GAO에서 논의의 중심이 된 문제들에 대해 기술 제어력을 향상시키기 위한 노력을 기울이고 있다.

SOX, HIPAA, Gramm-Leach-Bliley 및 기타 일반적인 요구사항을 융화시킬 수 있는 법률이 필요하다고 보는가.

일련의 지나친 규제조항을 기대해서는 안되겠지만, 보다 중앙 집중화되고 간소화된 감사 방식이 필요할 수는 있다. 사람들이 여러 가지 다른 규제에 대해 여러 가지 감사 보고서를 작성하도록 강요하는 대신에 하나의 감사 보고서가 모든 이들을 위한 일반적인 요구사항과 작업을 설명할 수 있다.

그러한 일을 책임져야 하는 사람은 누구라고 보는가.

정부와 회계 감사 업계가 서로 협력해 이루어야 한다고 생각된다. 가장 쉬운 최선의 방법은 정부 개혁 위원회의 위원장을 중심으로 위원회가 주축이 되어 이미 심한 규제를 받고 있는 기업체들을 위해 이런 규제를 면밀하게 조사하는 것이 아닐까 싶다. 위원회는 이 프로세스를 간소화할 수 있는 능력을 가지고 있지만 아직 이행되지는 않은 상태이다. 비용이 만만치 않기 때문에 빨리 이행되어야 할 것으로 보인다.
 
<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>