다른 IT 업계의 경영진들은 사베인-옥슬리 법안(SOXA)에 대해 겁먹고 있는지는 모르겠지만 적어도 트레이시 오스틴은 그렇지 않다.카지노 운영사인 만델레이 리조트 그룹의 CIO 오스틴은 재무보고규정으로 이 회사의 금년도 IT 예산이 30% 증가했으며 패기있고 젊은 IT 인력도 보유하게 됐다고 밝혔다. 오스틴은 "우리의 개발과 시험용 시스템 예산, 방화벽 및 침입감지 시스템에 배정된 예산을 줄였다. 사베인 옥슬리 법안으로 비즈니스 리스크에 대한 고위 임원진의 인식이 새롭게 바뀌고 문제의 원인을 분석하는데도 도움이 됐다. 단순한 IT 기술 대신 비즈니스 리스크를 줄이는 IT 기술을 동시에 논의하는 중이다"고 말했다. 
과거에는 회계사들만의 문제였던 컴플라이언스 기술은 이제 핵심임원과 이사진들에게도 매우 중요한 임무가 됐다. SOXA와 관련법에 따라 임원들이 회계보고서의 정확성을 책임지고 확인해 서명하도록 하는 등 당장 발등에 떨어진 불 때문이다. 지난 주 SOXA의 주요 조항이 발효돼 이 사안의 더욱 긴박해졌다. 그런 움직임은 보안기술업체들에게는 유리하게 작용하고 있다. AMR 리서치의 최근 조사에 의하면 SOXA의 규정을 준수하는 데 소요되는 총 지출액은 올해 55억 달러로 전망되며 이는 지난 해 25억 달러의 2배가 넘는 금액이다. IT기업들은 2005년 수십억 달러 규모의 예산의 약 1/3 정도를 이 부분에 투입할 것으로 보인다. 지난 23일 발표된 회계법인 프라이스워터하우스쿠퍼스(PwC)의 조사에 의하면 기업들이 전체적으로 회계규정준수를 위한 비용지출을 늘이는 추세며 미국과 유럽의 기업 중 절반은 이 예산을 향후 1~2년 동안 평균 23% 증액할 것으로 전망된다.체크포인트 소프트웨어 테크놀로지의 엔터프라이즈 제품 마케팅 디렉터인 리차드 바이스는 "기업은 마감시한과 벌금의 압력을 받아야 문제에 대해 심각하게 인식한다. 2002년 당시만 해도 이 문제에 별 관심이 없었고 2003년에도 약간의 관심이 있는 정도였지만 올해에는 이것이 영업에서 중요한 부분이 돼 버렸다"고 말했다.기업회계규정을 더 투명하게 하자는 SOXA나 의료비용 지출관련 의료보험이전과 책임에 관한 법(HIPAA)은 표면적으로는 보안업계와 별 관계가 없어 보인다. 바젤 II 회계기준과 소비자 개인정보보호 기준에 관한 그램-리치-빌리법도 그다지 시장성은 보이지 않는다. 그러나 이들 법안은 기업이 정보공개과정에서 충분한 주의를 기울이지 않을 경우에는 스스로 책임을 져야 한다는 항목이 있다. 따라서 기업은 정보를 보호하고 정보에 접속하는 직원을 확인해야 하며 이러한 규정준수관련 예산지출이 늘어날 경우 보안관련 제품 회사들이 이득을 얻게 되는 것이다.네트워크 보안장비를 판매하는 소닉월의 엔지니어링 부사장인 존 그문더는 "규정준수의무로 인해 IT 부서의 예산이 늘어났다. 또한 이전에는 CIO가 보안제품을 구매하도록 경영진을 설득했지만 이제는 경영진이 먼저 규정준수를 촉구할 정도"라고 말했다.이런 규정이 있기 전에는 은행같은 정보유출에 따른 리스크가 높은 사업체들만이 이를 최소화하기 위한 계획을 자체적으로 마련하는 수준이었다.그러나 이제 상황은 180도 바뀌었다. 미국과 유럽의 기업들을 상대로 한 PwC의 조사에 의하면 78%의 응답자가 규정준수 관련 지출의 최우선 순위는 리스크 관리의 개선이라고 응답했다. 두번째로 중요한 것은 기업이 규정준수에 취약한 영역을 진단해 강화하는 것이며 비용지출을 줄이는 방식을 일관성있게 추진하는 것은 66%로 그 뒤를 이었다.PwC의 미국내 기업지배, 리스크 및 규정준수 책임자인 댄 디필리포는 "보안관련 기업은 기본적인 역할이 있다. 비록 SOXA가 보안기술을 필수적이라고 명시하고 있지는 않지만 이 법이 요구하는 내부통제를 제대로 하려면 보안기술 없이는 잘 통제된 애플리케이션이나 경영환경을 구축하기 어렵다"고 말했다. 금년초 체크포인트 소프트웨어 테크놀로지의 책임자인 리차드 바이스는 수십만 달러의 계약을 성사시키는 과정에서 SOXA의 영향력을 실제로 경험했다.바이스는 "한 대형 소프트웨어 업체의 보안관련 책임자와 접촉했을 당시 우리측은 웜, 트로이 목마, 네트워크를 통한 다른 공격에서 모든 데스크톱 PC와 노트북을 보호할 수 있는 방화벽 제품을 요청했다. 이 책임자는 대규모 보안관련 계획을 승인하는 임원진들에게 보안과 관련한 계획을 제출하는 과정에서 이런 것들이 SOXA의 규정을 충족할 수 있다고 설명했다. 이점이 이 계획의 예산승인을 받는데 가장 결정적으로 작용했다"고 설명했다.보안업체들에게 큰 영향을 주는 것은 SOXA 404조이며 이에 비해 상대적으로 다른 두 조항은 보안관련 제품의 매출과 연관성이 떨어질 것으로 업계 애널리스트들은 전망했다. AMR 리서치의 리서치담당 수석부사장인 존 해거티는 "보안업계와 문서 및 기록관리 업체가 이 조항의 혜택을 가장 많이 받을 것이다"며 "302조와 409조의 경우 보안과 관련해 중요성이 상대적으로 떨어진다. 하나는 재무보고를 검토하고 승인하는 것과 관련되어 있고 다른 하나는 주요 사안의 실시간 보고와 관련된 부분이기 때문이다"고 말했다. 게다가 일부 보안업체들은 규정준수부담이 보안관련 매출에 어느 정도 영향을 주는지 확신하기 어렵다고 말한며 기업의 보안관련 지출이 늘어나는 데는 최근에 급증하는 바이러스, 스파이웨어, 트로이 목마 그리고 다른 디지털 공격으로 인한 것일 수도 있다고 덧붙였다.체크포인트의 바이스는 "구체적인 수치를 제시하기는 어려우며 몇몇 회사는 SOXA 때문에 보안기술을 도입한다고 명시적으로 말하지만 보안기술을 도입하는 다른 회사는 어떤 내부적인 요인이나 사정은 밝히지 않는다"고 말했다.업계 애널리스트들은 기업들도 규정준수를 위한 IT 기술을 도입할 때 매우 신중하고 영리하게 결정하며 이것은 곧 보안관련 업계의 마케팅 전략에도 영향을 준다고 말했다. 무선통신기술회사인 퀄콤의 CIO 놈 펠트하임은 최근 ERP관련 구매에서 이런 접근 방식을 취한 것을 사례로 들었다.펠트하임은 "SOXA의 보고규정을 따르는 ERP시스템을 도입하는 중이지만 단지 그것을 위해 ERP를 구축한다기 보다는 이전의 노후한 자체 시스템을 대체하기 위한 것"이라고 말했다. 향후 전망보안업체들과 애널리스트들은 기업이 규제준수 마감기한에 몰리더라도 밀레니엄 버그때처럼 마감기간이 지난 후 매출이 급락하는 현상은 발생하지 않을 것이라고 말했다.소닉월의 그문더는 "Y2K는 특정 시점이 문제가 됐던 일회성 사안이었으며 시간이 지나고 나서 해결이 될 수 있었지만 보안은 상시 대응과 업그레이드가 필요하므로 규제준수 마감기한의 영향을 받지 않는다"고 말했다. 규내준수의 범위가 확대되면 이로 인한 수요증가 추세가 지속될 수도 있다. 예를 들면 SOXA가 공개상장기업에서 비상장기업이나 조직으로 확대 적용될 수도 있는 것이다. AMR의 해거티는 일부 규정은 유럽 등 해외기업에도 적용될 수 있다고 말했다. 해거티는 "유럽에서는 아직 이 규정이 강제규정이 아니지만 정착되면 상당한 변화가 있을 것이다. 미국의 감독기관이 이 규정의 준수를 얼마나 엄격하게 판단할 것인지도 두고 보아야 할 것"이라고 말했다.이제 변수는 연방 감독당국이 얼마나 엄격하게 기업의 준수여부를 판단하는 가에 달려있다. 감독기준이 엄격할수록 더 많은 기업이 규정준수를 위한 시스템 구축에 더 많은 비용을 지출할 수 밖에 없기 때문이다.리서치 회사인 메타그룹은 감독대상 기업 중 20%는 1차 심사에서 기준에 미달할 것으로 전망했다.메타그룹의 보안 및 리스크 사업 부사장인 폴 프록터는 "기준에 적합하지 못한 기업들은 시간이 갈수록 바빠질 것이며 내년 3월의 1차 심사결과가 향후 방향에 상당한 영향을 줄 것으로 보인다"고 말했다.@
