NIS2 지침: 중견 회계법인을 위한 사이버보안 감사 고려사항

목차

1. NIS2 지침과 재무제표 감사의 교차점 2. 위험 평가: KSA 315에 NIS2 고려사항 통합 3. 실무 적용 사례: 에너지 섹터 클라이언트 4. 컴플라이언스 실패의 재무적 영향 5. 실무 체크리스트 6. 흔한 실수 7. 관련 자료

NIS2 지침과 재무제표 감사의 교차점

NIS2 지침은 에너지, 교통, 은행, 의료, 디지털 인프라, 공공 행정, 우주 등 7개 필수 섹터와 우편, 폐기물 관리, 화학물질, 식품, 제조업, 디지털 서비스 등 11개 중요 섹터의 기업에 적용됩니다. 직원 50명 이상이고 연 매출 1,000만 유로를 초과하면 중요 섹터에서도 적용됩니다.

사이버보안 인시던트가 왜 재무제표 감사에서 빠질 수 없는가. 시스템 중단으로 인한 매출 손실, 복구 비용, 과징금, 소송 비용은 모두 재무제표에 반영되어야 할 항목입니다. 평판 손상으로 인한 간접적 영향까지 포함하면 규모는 더 커집니다.

KSA 315.34는 감사인이 내부통제를 포함하여 기업과 기업 환경을 이해할 것을 요구합니다. NIS2 적용 기업에서는 사이버보안 통제가 이 요구사항의 핵심 구성요소가 됩니다. IT 일반통제 수준에서 끝낼 문제가 아닙니다. 운영 연속성과 재무 영향 평가까지 가야 합니다.

NIS2가 요구하는 보안 조치

NIS2 제21조는 10가지 필수 사이버보안 조치를 규정합니다: - 위험 분석 및 정보시스템 보안 정책 - 인시던트 처리 - 비즈니스 연속성 관리 - 공급망 보안 - 네트워크 및 시스템 취득, 개발, 유지보수의 보안 - 사이버 위협 정보 처리 및 공유를 포함한 정책과 절차 - 암호화 및 암호화 키 관리 정책과 절차 - 인적 자원 보안, 접근 제어 정책 및 자산 관리 - 다요소 인증 또는 연속 인증 솔루션, 음성/비디오/텍스트 통신의 보안 통신, 보안 비상 통신 시스템 사용 - 사이버보안 조치의 효과성을 테스트하고 감사하며 평가하기 위한 정책과 절차

감사인 관점에서 이 조치는 정보시스템 위험과 사업 연속성 위험을 평가하는 기준이 됩니다.

위험 평가: KSA 315에 NIS2 고려사항 통합

KSA 315.A122는 감사인이 기업의 정보시스템이 재무보고에 미치는 위험을 이해하도록 요구합니다. NIS2 적용 기업에서 이 요구사항은 세 가지 추가 차원을 갖습니다.

첫째, 사이버보안 인시던트가 매출 인식에 미치는 영향입니다. 전자상거래 플랫폼이 공격받아 중단되면 해당 기간 매출이 누락될 수 있습니다. 완전성 주장에 대한 위험입니다.

둘째, 개인정보 유출이나 시스템 침해로 인한 법적 의무와 충당부채 인식 필요성입니다. GDPR 과징금, 고객 배상, 시스템 복구 비용은 모두 K-IFRS 1037에 따른 충당부채 인식 대상이 될 수 있습니다.

셋째, 핵심 시스템의 장기간 중단이 계속기업 가정에 미치는 영향입니다. KSA 570.A3은 운영 중단이 계속기업에 대한 중요한 불확실성을 야기할 수 있다고 명시합니다.

사이버보안 위험의 주장 수준 평가

KSA 315.31에 따라 재무제표 주장 수준에서 사이버보안 위험을 평가해야 합니다.

전자상거래 시스템 중단으로 인한 매출 누락 위험은 매출 완전성 주장과 직결됩니다. 온라인 판매 비중이 높은 기업에서 특히 주의해야 합니다.

디지털 자산(암호화폐, NFT, 디지털 라이센스)의 해킹이나 분실 위험은 자산 존재 주장에 영향을 줍니다. 블록체인 기반 자산의 경우 복구 불가능할 수 있습니다.

사이버 인시던트로 인한 법적 의무, 복구 비용, 과징금의 미인식 위험은 부채 완전성과 관련됩니다. 인시던트 발생 후 수개월에 걸쳐 추가 비용이 발생할 수 있어서 보고기간 후 사건 검토가 중요합니다.

사이버 공격으로 인한 무형자산(브랜드, 고객 관계) 가치 하락 위험은 평가 및 배분 주장에 해당합니다. 평판 손상이 미래 현금흐름에 미치는 영향을 평가해야 합니다.

실무 적용 사례: 에너지 섹터 클라이언트

클라이언트: 한국에너지솔루션 주식회사 (가명) 업종: 신재생에너지 발전 및 송배전 (NIS2 필수 섹터) 규모: 직원 420명, 연매출 1,250억 원 상황: 2024년 3월 랜섬웨어 공격으로 발전소 운영시스템 72시간 중단

1단계: 초기 위험 평가 (KSA 315.13)

문서화 노트: 경영진 인터뷰 및 인시던트 대응 보고서 검토로 사이버보안 위험이 재무제표에 미치는 영향 파악

사이버 인시던트로 인한 직접 손실: - 72시간 발전 중단으로 인한 매출 손실: 18억 원 - 시스템 복구 및 외부 전문가 비용: 12억 원 - 고객 배상금 (계약 위반): 8억 원

막상 이런 사례를 현장에서 만나면 직접 손실 집계는 어렵지 않습니다. 진짜 어려운 부분은 다음 단계입니다.

2단계: 충당부채 인식 평가 (K-IFRS 1037.14)

문서화 노트: 법무팀과 외부 변호사 의견서로 추가 손실 가능성 평가

현재 의무의 존재: - 산업통상자원부 과징금 조사 진행 중 (예상 금액: 5~15억 원) - 집단소송 3건 접수 (총 배상 요구액: 45억 원, 승소 가능성 30%) - 개인정보보호위원회 과징금 (예상: 2~8억 원) - 계약 위약금 추가 청구 가능성 검토 중

K-IFRS 1037.36에 따른 최선의 추정치: 22억 원 충당부채 인식

3단계: 계속기업 평가 (KSA 570.A2)

문서화 노트: 현금흐름 예측 및 신용한도 사용 가능성 검토

12개월 현금흐름 예측 고려 항목: - 추가 사이버보안 투자 필요액: 35억 원 - 보험금 수령 예정 (사이버 보험): 25억 원 - 현재 신용한도 여유분: 80억 원 - 정부 그린뉴딜 보조금 승인 대기 중: 60억 원

중요한 불확실성은 없습니다. 하지만 사이버보안 투자가 당분간 수익성에 부정적 영향을 줄 것으로 예상됩니다. 조서에 이 판단 근거를 명확히 남겨야 합니다.

4단계: 실질적 절차 설계 (KSA 330.18)

문서화 노트: 사이버 인시던트 관련 회계처리의 적정성을 검증하기 위한 절차

충당부채 검증은 외부 변호사 의견서를 직접 수취하고 과징금 산정 근거 문서를 검토하는 것에서 시작합니다. 보험사와 배상 범위를 확인하고 복구 비용의 자본화와 비용화 적정성을 평가합니다.

매출 완전성 검증은 인시던트 기간 중 대안 매출 채널을 검토하고 고객별 배상 계약 조건을 확인합니다. 발전량 데이터와 매출 인식의 연계성도 검증해야 합니다.

컴플라이언스 실패의 재무적 영향

NIS2 지침 위반 시 회원국은 기업 전 세계 연간 매출액의 최대 2% 또는 1,000만 유로 중 높은 금액을 과징금으로 부과할 수 있습니다. 연매출 500억 원 기업의 경우 최대 10억 원의 과징금이 가능합니다.

KSA 250.A15는 감사인이 법률 및 규정 위반이 재무제표에 미치는 영향을 평가하도록 요구합니다. NIS2 컴플라이언스 실패는 재무적 영향이 여러 층위에 걸쳐 나타납니다.

직접적 비용으로는 규제 과징금, 법적 대응 비용, 컨설팅 및 개선 비용, 보험료 인상이 있습니다. 간접적 비용은 파악하기가 더 어렵습니다. 고객 이탈로 인한 매출 감소, 계약 조건 악화(보안 요구사항 강화), 신용 등급 하락으로 인한 자금조달 비용 증가가 대표적입니다.

제 경험상 사이버보안 관련 충당부채 인식에서 가장 흔한 오류는 간접 비용의 과소 계상입니다. 직접적 과징금은 대부분 적정하게 추정하지만 평판 손상으로 인한 미래 현금흐름 감소는 간과하는 경우가 많습니다. 품관실 리뷰에서도 이 부분이 지적되는 빈도가 높아지고 있습니다.

실무 체크리스트

1. 클라이언트가 NIS2 적용 대상인지 확인합니다. 섹터 분류와 규모 기준(직원 50명, 매출 1,000만 유로)을 검토합니다. 적용 대상이면 KSA 315 위험 평가에 사이버보안 위험을 포함해야 합니다.

2. 지난 3년간 보안 사고, 시스템 중단, 데이터 유출 여부를 경영진 인터뷰와 IT 로그로 확인합니다. KSA 240.A6에 따른 부정 위험 평가에도 연관됩니다.

3. 사이버 인시던트로 인한 현재 의무(과징금, 손해배상, 복구비용)를 K-IFRS 1037.14에 따라 평가합니다. 외부 전문가(변호사, 보안업체) 의견을 직접 확인합니다.

4. NIS2 제21조의 비즈니스 연속성 요구사항 준수 여부를 검토하고 핵심 시스템 중단이 계속기업 가정에 미치는 영향을 KSA 570.A3에 따라 평가합니다.

5. 보험 계약서를 직접 검토하여 보상 범위, 면책 조항, 청구 절차를 파악합니다. 보험금 회수 가능성은 충당부채 순액 산정에 영향을 미칩니다.

6. NIS2는 IT 감사가 아닌 재무제표 감사의 위험 요소입니다. 사이버보안 위험이 매출, 비용, 자산, 부채에 미치는 영향에 집중하십시오.

흔한 실수

사이버보안을 IT 일반통제로만 접근하는 경우가 흔합니다. 시스템 접근 통제 수준에서 멈추고 사업 연속성과 재무 영향을 간과합니다. 감리에서 지적 사항이 되기 쉬운 부분입니다.

충당부채 인식 시 간접 비용을 누락하는 사례도 반복됩니다. 직접적 과징금과 복구 비용은 인식하지만 평판 손상, 고객 이탈, 계약 조건 악화 등 간접 비용을 충분히 고려하지 않습니다.

보험금 회수 가능성을 과대평가하는 경우도 있습니다. 사이버 보험 계약의 면책 조항을 충분히 검토하지 않고 보험금 회수를 낙관적으로 평가하면 조서가 얇아집니다. 감리 나오면 바로 걸리는 유형입니다.

관련 자료

- 사이버보안 위험 평가 체크리스트 - NIS2 적용 기업의 사이버보안 위험을 평가할 수 있는 실무 도구입니다.

- 충당부채 인식 가이드 - K-IFRS 1037에 따른 충당부채 인식 기준과 사이버 인시던트 관련 의무의 측정 방법을 설명합니다.

- 계속기업 평가 워크시트 - 사이버보안 위험이 계속기업 가정에 미치는 영향을 평가하는 방법을 다룹니다.

---