NIS2 지침: 중견 회계법인을 위한 사이버보안 감사 고려사항

목차

• NIS2 지침과 재무제표 감사의 교차점
• 위험 평가: KSA 315에 NIS2 고려사항 통합
• 실무 적용 사례: 에너지 섹터 클라이언트
• 컴플라이언스 실패의 재무적 영향
• 실무 체크리스트
• 흔한 실수들
• 관련 자료

NIS2 지침과 재무제표 감사의 교차점

NIS2 지침은 에너지, 교통, 은행, 의료, 디지털 인프라, 공공 행정, 우주 등 7개 필수 섹터와 우편, 폐기물 관리, 화학물질, 식품, 제조업, 디지털 서비스 등 11개 중요 섹터의 기업들에 적용됩니다. 직원 50명 이상이고 연 매출 1,000만 유로를 초과하면 중요 섹터에서도 적용됩니다.
이 지침이 재무제표 감사에 중요한 이유는 사이버보안 인시던트가 즉각적인 재무 영향을 미치기 때문입니다. 시스템 중단으로 인한 매출 손실, 복구 비용, 과징금, 소송 비용, 평판 손상은 모두 재무제표에 반영되어야 할 항목들입니다.
KSA 315.34는 감사인이 내부통제를 포함하여 기업과 기업 환경을 이해할 것을 요구합니다. NIS2 적용 기업에서는 사이버보안 통제가 이 요구사항의 핵심 구성요소가 됩니다. 단순히 IT 일반통제를 넘어서 운영 연속성과 재무 영향 평가가 필요합니다.

NIS2가 요구하는 핵심 보안 조치

• 위험 분석 및 정보시스템 보안 정책
• 인시던트 처리
• 비즈니스 연속성 관리
• 공급망 보안
• 네트워크 및 시스템 취득, 개발, 유지보수의 보안
• 사이버 위협 정보 처리 및 공유를 포함한 정책 및 절차
• 암호화 및 암호화 키 관리 정책 및 절차
• 인적 자원 보안, 접근 제어 정책 및 자산 관리
• 다요소 인증 또는 연속 인증 솔루션, 음성, 비디오 및 텍스트 통신의 보안 통신, 보안 비상 통신 시스템 사용
• 사이버보안 조치의 효과성을 테스트, 감사 및 평가하기 위한 정책 및 절차

위험 평가: KSA 315에 NIS2 고려사항 통합

KSA 315.A122는 감사인이 기업의 정보시스템이 재무보고에 미치는 위험을 이해하도록 요구합니다. NIS2 적용 기업에서 이 요구사항은 세 가지 추가 차원을 갖습니다.
첫째, 사이버보안 인시던트가 매출 인식에 미치는 영향입니다. 전자상거래 플랫폼이 공격받아 중단되면 해당 기간 매출이 누락될 수 있습니다. 이는 완전성 주장에 대한 위험입니다.
둘째, 개인정보 유출이나 시스템 침해로 인한 법적 의무와 충당부채 인식 필요성입니다. GDPR 과징금, 고객 배상, 시스템 복구 비용은 모두 K-IFRS 1037에 따른 충당부채 인식 대상이 될 수 있습니다.
셋째, 핵심 시스템의 장기간 중단이 계속기업 가정에 미치는 영향입니다. KSA 570.A3은 운영 중단이 계속기업에 대한 중요한 불확실성을 야기할 수 있다고 명시합니다.

사이버보안 위험의 주장 수준 평가

실무 적용 사례: 에너지 섹터 클라이언트

클라이언트: 한국에너지솔루션 주식회사 (가명)
업종: 신재생에너지 발전 및 송배전 (NIS2 필수 섹터)
규모: 직원 420명, 연매출 1,250억 원
상황: 2024년 3월 랜섬웨어 공격으로 발전소 운영시스템 72시간 중단

1단계: 초기 위험 평가 (KSA 315.13)

2단계: 충당부채 인식 평가 (K-IFRS 1037.14)

3단계: 계속기업 평가 (KSA 570.A2)

4단계: 실질적 절차 설계 (KSA 330.18)

• 72시간 발전 중단으로 인한 매출 손실: 18억 원
• 시스템 복구 및 외부 전문가 비용: 12억 원
• 고객 배상금 (계약 위반): 8억 원
• 산업통상자원부 과징금 조사 진행 중 (예상 금액: 5~15억 원)
• 집단소송 3건 접수 (총 배상 요구액: 45억 원, 승소 가능성 30%)
• 개인정보보호위원회 GDPR 과징금 (예상: 2~8억 원)
• 추가 사이버보안 투자 필요액: 35억 원
• 보험금 수령 예정 (사이버 보험): 25억 원
• 현재 신용한도 여유분: 80억 원
• 정부 그린뉴딜 보조금 승인 대기 중: 60억 원
• 외부 변호사 의견서 직접 수취
• 과징금 산정 근거 문서 검토
• 보험사와 배상 범위 확인
• 복구 비용의 자본화 vs 비용화 적정성 평가
• 인시던트 기간 중 대안 매출 채널 검토
• 고객별 배상 계약 조건 확인
• 발전량 데이터와 매출 인식의 연계성 검증

컴플라이언스 실패의 재무적 영향

NIS2 지침 위반 시 회원국은 기업 전 세계 연간 매출액의 최대 2% 또는 1,000만 유로 중 높은 금액을 과징금으로 부과할 수 있습니다. 연매출 500억 원 기업의 경우 최대 10억 원의 과징금이 가능합니다.
KSA 250.A15는 감사인이 법률 및 규정 위반이 재무제표에 미치는 영향을 평가하도록 요구합니다. NIS2 컴플라이언스 실패는 다음과 같은 재무적 영향을 가져올 수 있습니다:

직접적 비용

간접적 비용

• 규제 과징금
• 법적 대응 비용
• 컨설팅 및 개선 비용
• 보험료 인상
• 고객 이탈로 인한 매출 감소
• 계약 조건 악화 (보안 요구사항 강화)
• 신용 등급 하락으로 인한 자금조달 비용 증가
• 인재 채용 어려움

실무 체크리스트

• 클라이언트가 NIS2 적용 대상인지 확인 - 섹터 분류와 규모 기준(직원 50명, 매출 1,000만 유로) 검토. 적용 대상이면 KSA 315 위험 평가에 사이버보안 위험을 포함해야 합니다.
• 사이버보안 인시던트 발생 이력 조사 - 지난 3년간 보안 사고, 시스템 중단, 데이터 유출 여부를 경영진 인터뷰와 IT 로그를 통해 확인합니다. KSA 240.A6에 따른 부정 위험 평가에도 연관됩니다.
• 충당부채 인식 적정성 검토 - 사이버 인시던트로 인한 현재 의무(과징금, 손해배상, 복구비용)를 K-IFRS 1037.14에 따라 평가합니다. 외부 전문가(변호사, 보안업체) 의견을 직접 확인합니다.
• 비즈니스 연속성 계획 평가 - NIS2 제21조의 비즈니스 연속성 요구사항 준수 여부를 검토하고, 핵심 시스템 중단이 계속기업 가정에 미치는 영향을 KSA 570.A3에 따라 평가합니다.
• 사이버 보험 적용 범위 확인 - 보험 계약서를 직접 검토하여 보상 범위, 면책 조항, 청구 절차를 파악합니다. 보험금 회수 가능성은 충당부채 순액 산정에 영향을 미칩니다.
• 가장 중요한 사항: NIS2는 IT 감사가 아닌 재무제표 감사의 위험 요소입니다. 사이버보안 위험이 매출, 비용, 자산, 부채에 미치는 영향에 집중하십시오.

흔한 실수들

• 사이버보안을 IT 일반통제로만 접근 - 감사인들이 사이버보안을 단순한 시스템 접근 통제로만 이해하고 사업 연속성과 재무 영향을 간과하는 경우가 많습니다.
• 충당부채 인식 시 간접 비용 누락 - 직접적 과징금과 복구 비용은 인식하지만 평판 손상, 고객 이탈, 계약 조건 악화 등 간접 비용을 충분히 고려하지 않는 경우가 발생합니다.
• 보험금 회수 가능성 과대평가 - 사이버 보험 계약의 면책 조항을 충분히 검토하지 않고 보험금 회수를 과도하게 낙관적으로 평가하는 경우가 있습니다.
• NIS2 적용 대상 판단 오류 - KSA 250.A6은 감사인이 클라이언트에게 적용되는 법규를 파악하도록 요구합니다. 직원 수와 매출 기준이 임계값 근처인 기업의 경우 자회사 포함 여부, 지역 범위, 섹터 분류를 별도로 확인하지 않으면 NIS2 미적용 오판이 발생합니다.

관련 자료

• 사이버보안 위험 평가 체크리스트 - NIS2 적용 기업의 사이버보안 위험을 체계적으로 평가할 수 있는 실무 도구입니다.
• 충당부채 인식 가이드 - K-IFRS 1037에 따른 충당부채 인식 기준과 사이버 인시던트 관련 의무의 측정 방법을 설명합니다.
• 계속기업 평가 워크시트 - 사이버보안 위험이 계속기업 가정에 미치는 영향을 체계적으로 평가하는 방법을 다룹니다.