IT 컴플라이언스 쉽게 이해하기: HIPAA, PCI, SOC 2

컴플라이언스란 정해진 규칙, 보안 기대수준, 또는 문서화 요구사항을 충족하는 것을 말합니다. 많은 중소기업의 경우, 특정 유형의 데이터를 다루기 시작하거나 카드 결제를 받거나 의료 관련 업무를 하거나, 계약 전 보안 질문을 요구하는 더 큰 업체에 판매하기 시작할 때부터 이 문제가 시작됩니다.

HIPAA, PCI, SOC 2는 같은 것이 아닙니다. HIPAA는 미국의 보호 건강 정보(Protected Health Information)에 관한 법률입니다. PCI는 카드 소지자 데이터(cardholder data)를 처리, 저장, 또는 전송하는 사업체를 위한 결제 카드 업계 표준입니다. SOC 2는 많은 회사가 고객에게 자신들이 보안 통제를 갖추고 있다는 것을 보여주기 위해 사용하는 보고(평가) 프레임워크입니다.

핵심은 이것입니다. 컴플라이언스는 단순히 도구를 하나 사는 것으로 끝나지 않습니다. 보통 정책, 단말(기기) 보안, 접근 통제, 백업, 직원 교육, 기록 관리, 지속적인 검토가 포함됩니다. 또한 완벽한 안전을 뜻하는 것도 아닙니다. 어떤 정직한 공급업체도 ‘무중단’이나 ‘해킹이 불가능한 네트워크’를 0으로 약속하진 않습니다.

HIPAA는 Health Insurance Portability and Accountability Act(건강보험 이전 가능성과 책임에 관한 법) 약자입니다. 사업체가 보호 건강 정보(Protected Health Information)를 다룬다면 HIPAA가 적용될 수 있습니다. 여기에는 일부 클리닉, 청구(billing) 회사, 의료 서비스 회사, 그리고 의료기관과 함께 일하는 벤더가 포함될 수 있습니다. HIPAA는 건강 정보의 개인정보 보호, 보안, 그리고 건강 정보가 어떻게 수집·저장·공유되는지에 관한 내용입니다. 요구사항은 본인의 역할과 접하는 데이터 유형에 따라 달라질 수 있습니다.

PCI는 보통 PCI DSS(Payment Card Industry Data Security Standard, 결제 카드 업계 데이터 보안 표준)를 의미합니다. 신용카드나 체크카드를 받는다면, 규모가 매우 작더라도 PCI가 중요해질 수 있습니다. 정확한 요구사항은 결제를 처리하는 방식에 따라 달라집니다. 예를 들어 보안이 적용된 결제 단말기나 호스팅된 결제(체크아웃) 페이지를 사용하는 업체는, 카드 데이터를 저장하거나 맞춤 결제 시스템을 운영하는 업체보다 더 단순한 경로를 가질 수 있습니다.

SOC 2는 법이 아닙니다. 회사가 특정 통제를 어떻게 다루는지(대개 보안과 가용성에 관해) 독립적으로 점검·검토한 결과물입니다. 여기서 가용성(availability)이란, 시스템이 ‘약속대로 사용 가능’하도록 설계되었다는 의미이지, 누군가가 어떤 장애도 절대 없다고 보장할 수 있다는 뜻은 아닙니다. SOC 2는 더 큰 고객이 벤더가 보안을 진지하게 다루고 있다는 것을 증명해달라고 요청할 때 자주 등장합니다. 많은 중소기업의 경우 질문은 ‘우리가 내일 SOC 2 보고서를 꼭 받아야 하나요?’가 아니라 ‘이 계약을 따내기 전에 고객이 기대하는 통제가 무엇이죠?’인 경우가 많습니다.

이 용어들이 비슷하게 느껴지지만 헷갈린다면, 그건 정상입니다. 좋은 독립형 매니지드 IT 서비스 제공업체(MSP, Managed Service Provider)는 어떤 것이 적용될 수 있는지, 그리고 여러분의 규모와 리스크 관점에서 어떤 수준의 작업이 합리적인지 이해하도록 도와줄 수 있습니다.

먼저 데이터를 봐야 합니다. 어떤 민감한 정보를 수집하는지, 그 정보가 어디에 저장되는지, 누가 접근할 수 있는지, 그리고 정보가 사업 안에서 어떻게 이동하는지 질문해 보세요. 여기에는 노트북, 휴대폰, 이메일, 클라우드 앱, 파일 저장소, 결제 시스템, 그리고 벤더가 포함됩니다. IT에서 엔드포인트(endpoint)는 노트북, 데스크톱, 휴대폰, 태블릿처럼 여러분의 시스템에 연결되는 개별 장치를 뜻합니다.

다음으로 기본 통제(컨트롤)를 확인하세요. 많은 컴플라이언스 노력은 동일한 실무 단계에서 시작합니다. 다중 인증(Multi-Factor Authentication, MFA)은 로그인할 때 비밀번호 외에 두 번째 단계를 추가합니다. 패치(patching)란 소프트웨어와 기기를 수정사항(패치)으로 최신 상태로 유지하는 것을 말합니다. 백업(backups)이란 중요한 데이터의 복구 가능한 사본을 유지하는 것입니다. 3-2-1 백업 접근 방식은 데이터 사본을 3개 만들고, 서로 다른 2가지 유형의 저장장치에 나누어 보관하며, 그중 1개는 오프사이트(offsite)에 둔다는 의미입니다.

또한 문서화된 정책, 벤더 점검, 직원 교육, 접근 규칙, 그리고 실제로 이런 것들이 이뤄지고 있다는 증빙이 필요할 수도 있습니다. 어떤 사업체는 공식적인 리스크 평가가 필요합니다. 어떤 사업체는 로깅(logging), 장치 모니터링, 그리고 문제가 발생했을 때의 문서화된 대응 절차가 필요할 수 있습니다. 엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR)은 장치에서 의심스러운 활동을 감지하는 데 도움을 주는 소프트웨어입니다. 원격 모니터링 및 관리(Remote Monitoring and Management, RMM)는 많은 제공업체가 단말의 상태를 관찰하고 업데이트를 적용하며 정기적인 유지보수를 처리하기 위해 사용하는 소프트웨어입니다.

중소기업 사업자 관점에서 실제 문제는 보통 ‘범위(scope)’입니다. 엔터프라이즈급 프로그램이 필요하지 않을 수도 있습니다. 다만 여러분의 업종, 고객, 보험사, 그리고 적용되는 주 또는 연방 규칙에서 무엇을 기대하는지는 반드시 알아야 합니다.

비용은 범위가 꽤 큽니다. 실제 숫자는 인원수(headcount), 기기 수, 시스템이 얼마나 복잡한지, 어떤 데이터를 다루는지, 업종, 그리고 지역에 따라 달라집니다. 아래 범위는 견적서가 아닙니다.

기본 세팅에서 시작해 더 나은 기기 관리, 보안 설정, 백업, 사용자 지원이 필요하다면, 많은 중소기업은 지속적인 매니지드 IT 및 보안 지원을 위해 사용자 1명당 월 약 $100~$250 정도를 지출합니다. 컴플라이언스 작업의 비중이 더 크다면 그 수치는 더 높아질 수 있습니다.

한 번의 격차 평가(현황 진단) 또는 준비도(레디니스) 검토는 중소기업 기준으로 수천 달러 정도가 들 수 있고, 환경이 더 크거나 규제가 더 강하면 더 높아질 수 있습니다. 정식 감사, 외부 법률 자문, 정책 관련 작업, 특별 프로젝트 등은 별도의 비용이 추가될 수 있습니다. 사이버 보험(Cyber Insurance) 요구사항 역시 해야 할 일을 늘려 비용을 증가시킬 수 있습니다.

좋은 소식은 모든 사업체가 동일한 수준의 작업이 필요하진 않다는 점입니다. 표준 클라우드 도구, 보안 결제 벤더, 그리고 소수의 기기를 사용하는 회사는, 맞춤 시스템이 많거나 여러 사무소가 있거나 오래된 컴퓨터와 공유 폴더에 민감한 기록이 퍼져 있는 회사보다 더 단순한 경로를 가질 수 있습니다.

고객이 어려운 질문을 했다고 해서 무작정 랜덤 보안 도구를 먼저 사기 시작하지 마세요. 먼저 ‘요구사항’을 정의하는 것부터 출발하세요. 누가 요청하는지, 어떤 표준이나 설문지를 쓰는지, 마감 기한이 언제인지, 그리고 법적 요구인지, 업계 표준인지, 아니면 단순히 합리적인 보안 기본기(baseline)인지 확인해야 합니다.

사업체에 대한 짧은 사실 목록을 만들어 보세요. 직원 수는 몇 명인가요. 사업장은 몇 군데인가요. 사람들이 어떤 기기를 사용하나요. 건강 정보나 카드 결제를 다루고 있나요. 어떤 클라우드 앱으로 사업을 운영하나요. 고객이 보안 설문지, 리스크 평가, SOC 2 보고서를 요청한 적이 있나요. 이런 정리를 해두면 첫 대화를 더 유용하게 만들 수 있습니다.

정리하는 데 도움이 필요하다면, NodeBridge IT는 여러분의 규모에 맞고 중소 및 중견 기업을 지원하는 독립형 매니지드 IT 제공업체를 찾는 데 도와드릴 수 있습니다. 우리는 무료 매칭 서비스입니다. 여러분의 시스템을 관리하거나 계정에 접근하지 않습니다. 우리는 여러분의 사업 정보와 연락처만 사용해, 여러분의 필요에 맞는 제공업체와 연결해 드립니다.

또한 매니지드 IT 서비스에 대해 더 읽고, 쉬운 언어로 된 다른 IT 답변도 살펴볼 수 있습니다.