SOC 2 vs ISAE 3402: 양 기준 간 통제 매핑 가이드

구조 차이점

SOC 2와 ISAE 3402는 근본적으로 다른 목적을 가진다. SOC 2는 서비스 제공기업의 내부 통제 시스템 전반을 평가한다. 보안성(Security), 가용성(Availability), 처리 무결성(Processing Integrity), 기밀성(Confidentiality)이라는 4가지 Trust Services Criteria(이하 TSC)와 개인정보보호(Privacy)를 중심으로 구성된다.

ISAE 3402는 서비스 제공기업의 통제가 사용기업의 재무보고 내부통제에 미치는 영향에 집중한다. 통제 목적(control objectives)은 사용기업의 재무제표 주장(assertions)과 연결되어야 한다. 일반 IT 통제보다는 재무 프로세스와 직접 관련된 업무 프로세스 통제를 강조한다.

이 차이로 인해 SOC 2에서 중요한 통제가 ISAE 3402에서는 관련성이 낮을 수 있다. 예를 들어 SOC 2의 물리적 보안 통제는 보안성 측면에서는 핵심이지만 ISAE 3402에서는 재무 데이터 처리에 직접 영향을 주는 경우에만 포함된다.

TSC와 ISAE 3402 통제 목적 비교

Security(보안성) 매핑

SOC 2 Security 통제의 대부분은 ISAE 3402로 매핑된다. 논리적 접근 통제, 네트워크 보안, 시스템 모니터링은 재무 데이터의 정확성과 완전성에 직접 영향을 준다.

매핑률이 높은 영역은 아래와 같다.

- 사용자 접근 관리 통제는 ISAE 3402의 "승인된 사용자만이 재무 관련 시스템에 접근"이라는 통제 목적과 연결된다 - 권한 검토 프로세스는 "부적절한 접근 권한이 적시에 제거"되는 통제로 매핑된다 - 시스템 변경 관리는 "시스템 변경이 승인되고 테스트되어 재무 처리에 영향을 주지 않음"과 연결된다 - 로그 모니터링은 재무 모듈 접근 이력 추적에 직접 기여하는 통제로 분류된다

Availability(가용성) 매핑

가용성 통제는 선택적 매핑 대상이다. 시스템 다운타임이 재무 프로세스 중단으로 이어지는 경우에만 ISAE 3402 범위에 포함된다.

매핑 우선순위를 보면 재무 시스템 백업 및 복구는 높고 일반적 인프라 가용성은 낮다. 비즈니스 연속성 계획은 재무 프로세스 포함 범위에 따라 결정된다.

Processing Integrity(처리 무결성) 매핑

Processing Integrity는 ISAE 3402와 가장 높은 매핑률을 보인다. 데이터 처리의 완전성, 정확성, 적시성은 재무보고 내부통제의 핵심이다.

직접 매핑되는 통제로는 인터페이스 통제(완전성 체크, 오류 처리), 데이터 검증 및 승인 워크플로우, 일괄 처리 모니터링, 예외 보고가 있다.

Confidentiality와 Privacy 매핑

기밀성과 개인정보보호 통제는 제한적으로 매핑된다. 재무 데이터의 기밀성이 중요한 경우에만 ISAE 3402 범위에 포함된다.

실무 매핑 절차

1단계: SOC 2 통제 인벤토리 분석

기존 SOC 2 보고서에서 모든 통제를 나열하고 각각의 통제 활동을 식별한다. 통제 설명, 책임자, 빈도, 증거를 정리한다.

2단계: 재무 관련성 평가

각 SOC 2 통제가 사용기업의 재무보고에 미치는 영향을 평가한다. 직접적 영향(매출 처리, 비용 승인)과 간접적 영향(시스템 접근 통제)으로 분류하고 무관한 항목은 제외한다.

3단계: ISAE 3402 통제 목적 설계

재무 관련성이 있는 SOC 2 통제를 기반으로 ISAE 3402 통제 목적을 작성한다. 통제 목적은 사용기업의 재무제표 주장(완전성, 정확성, 실재성, 권리와 의무)과 연결되어야 한다.

4단계: 갭 분석 및 추가 통제 설계

SOC 2에는 없지만 ISAE 3402에서 요구되는 통제를 식별한다. 필자도 십수 년 동안 매핑 작업을 하면서 느끼는 건데 재무 승인 워크플로우, 계정과목 매핑이 빠지는 경우가 가장 흔하다.

한국항공정비 예시

한국항공정비 주식회사는 항공기 정비 서비스를 제공하는 회사로 연매출 1,200억 원에 직원 850명이다. 기존에 SOC 2 Type 2 보고서를 보유하고 있었고 주요 고객사들이 ISAE 3402 보고서를 요청하기 시작했다.

기존 SOC 2 통제(Security 영역) 현황은 다음과 같다.

- CC6.1: 시스템 접근 권한은 업무 역할에 따라 승인된다 - CC6.2: 접근 권한 검토가 분기별로 수행된다 - CC6.3: 시스템 변경은 변경 관리 프로세스를 따른다

ISAE 3402 매핑 결과를 단계별로 살펴본다.

1단계: 재무 관련성 평가 한국항공정비의 정비 시스템은 고객 청구, 부품 재고 관리, 인건비 처리와 직접 연결된다. 모든 접근 통제가 재무 데이터에 영향을 준다.

2단계: 통제 목적 설계 - 통제 목적 1: "승인된 직원만이 정비 시스템의 청구 모듈에 접근하여 청구 데이터의 정확성을 보장한다" - 통제 목적 2: "접근 권한 변경은 적시에 검토되어 퇴사자의 부적절한 접근을 방지한다"

3단계: 통제 활동 재구성 기존 SOC 2에서는 "시스템 관리자가 분기별로 사용자 목록을 검토하고 부적절한 권한을 제거한다"로 기술되어 있었다. ISAE 3402로 전환하면 "IT 팀장이 분기별로 정비 시스템의 재무 모듈 접근 권한을 검토하고 퇴사자 또는 역할 변경자의 권한을 즉시 비활성화한다"로 바뀐다. 조서에 분기별 접근 권한 검토 보고서와 재무 모듈별 권한 변경 내역을 상세히 남겨야 한다.

4단계: 테스트 설계 분기별 검토 보고서 4건을 샘플로 선택하여 권한 변경의 적시성과 적절성을 테스트한다. 퇴사자 명단과 시스템 비활성화 일자를 대조하여 시차를 확인한다.

한국항공정비는 기존 SOC 2 통제의 85%를 ISAE 3402로 매핑할 수 있었고 추가로 매출 승인과 부품 재고 검증 통제만 보완하면 Type 2 보고서 발행이 가능했다.

실무 체크리스트

1. SOC 2 통제 목록을 작성한다. 모든 통제의 설명, 빈도, 책임자를 정리하고 각 통제의 테스트 결과와 예외 사항을 확인한다.

2. 재무 관련성 매트릭스를 생성한다. 각 SOC 2 통제가 재무제표 주장에 미치는 영향을 매핑하고 직접 영향과 간접 영향으로 분류한다.

3. ISAE 3402 통제 목적을 설계한다. 사용기업의 재무보고 관점에서 통제 목적을 작성하고 각 목적이 특정 재무제표 주장과 연결되는지 확인한다.

4. 갭 분석을 수행한다. ISAE 3402 요구사항 중 SOC 2에서 다루지 않은 영역을 식별하고 추가 통제 설계 또는 기존 통제 보완 방안을 결정한다.

5. 테스트 계획을 수립한다. Type 2 보고서를 위한 12개월 테스트 기간을 설정하고 각 통제의 테스트 빈도와 샘플 크기를 결정한다.

6. 모든 통제 목적이 사용기업의 재무보고에 미치는 영향을 명확히 설명할 수 있어야 한다.

흔한 매핑 오류

모든 SOC 2 통제를 ISAE 3402에 포함하는 것은 가장 흔한 실수다. SOC 2의 물리적 보안이나 직원 교육 통제는 재무 데이터 처리와 무관할 수 있다. 관련성 없는 통제를 포함하면 보고서가 불필요하게 복잡해진다.

통제 목적을 모호하게 표현하는 것도 문제다. "시스템 보안이 적절히 유지된다"와 같은 표현은 ISAE 3402에 적합하지 않다. "승인되지 않은 접근으로부터 매출 데이터의 무결성을 보호한다"처럼 재무 영향을 구체적으로 명시해야 한다. 솔직히 막상 감리 들어오면 이 부분이 가장 먼저 지적된다.