SOC 2 vs ISAE 3402: 양 프레임워크간 통제 매핑 가이드

프레임워크 구조 차이점

SOC 2와 ISAE 3402는 근본적으로 다른 목적을 가집니다. SOC 2는 서비스 제공기업의 내부 통제 시스템 전반을 평가합니다. 보안성(Security), 가용성(Availability), 처리 무결성(Processing Integrity), 기밀성(Confidentiality), 개인정보보호(Privacy)라는 5가지 Trust Services Criteria(TSC)를 중심으로 구성됩니다.
ISAE 3402는 서비스 제공기업의 통제가 사용기업의 재무보고 내부통제에 미치는 영향에 집중합니다. 통제 목적(control objectives)은 사용기업의 재무제표 주장(assertions)과 연결되어야 합니다. 일반 IT 통제보다는 재무 프로세스와 직접 관련된 업무 프로세스 통제를 강조합니다.
이 차이로 인해 SOC 2에서 중요한 통제가 ISAE 3402에서는 관련성이 낮을 수 있습니다. 예를 들어 SOC 2의 물리적 보안 통제는 보안성 측면에서 핵심이지만, ISAE 3402에서는 재무 데이터 처리에 직접 영향을 주는 경우에만 포함됩니다.

Trust Services Criteria와 ISAE 3402 통제 목적 비교

Security (보안성) 매핑

SOC 2 Security 통제의 대부분은 ISAE 3402로 매핑됩니다. 논리적 접근 통제, 네트워크 보안, 시스템 모니터링은 재무 데이터의 정확성과 완전성에 직접 영향을 줍니다.
높은 매핑률을 보이는 영역:

Availability (가용성) 매핑

가용성 통제는 선택적 매핑 대상입니다. 시스템 다운타임이 재무 프로세스 중단으로 이어지는 경우에만 ISAE 3402 범위에 포함됩니다.
매핑 우선순위:

Processing Integrity (처리 무결성) 매핑

Processing Integrity는 ISAE 3402와 가장 높은 매핑률을 보입니다. 데이터 처리의 완전성, 정확성, 적시성은 재무보고 내부통제의 핵심입니다.
직접 매핑되는 통제:

Confidentiality와 Privacy 매핑

기밀성과 개인정보보호 통제는 제한적으로 매핑됩니다. 재무 데이터의 기밀성이 중요한 경우에만 ISAE 3402 범위에 포함됩니다.

사용자 접근 관리 통제는 ISAE 3402의 "승인된 사용자만이 재무 관련 시스템에 접근"이라는 통제 목적과 연결됩니다
권한 검토 프로세스는 "부적절한 접근 권한이 적시에 제거"되는 통제로 매핑됩니다
시스템 변경 관리는 "시스템 변경이 승인되고 테스트되어 재무 처리에 영향을 주지 않음"과 연결됩니다
암호화 및 데이터 전송 통제는 ISAE 3402.A14에 따라 재무 데이터의 무결성 보호와 직접 연결됩니다
재무 시스템 백업 및 복구: 높음
일반적 인프라 가용성: 낮음
비즈니스 연속성 계획: 재무 프로세스 포함 범위에 따라 결정
재해 복구 테스트 결과: ISA 315.A108에 따른 IT 일반통제 평가 시 복구 시간 목표 달성 여부 확인
인터페이스 통제(완전성 체크, 오류 처리)
데이터 검증 및 승인 워크플로우
일괄 처리 모니터링 및 예외 보고
ISAE 3402.39에 따른 처리 예외 조사 및 재처리 승인 절차

실무 매핑 가이드

1단계: SOC 2 통제 인벤토리 분석

기존 SOC 2 보고서에서 모든 통제를 나열하고 각각의 통제 활동을 식별합니다. 통제 설명, 책임자, 빈도, 증거를 정리합니다.

2단계: 재무 관련성 평가

각 SOC 2 통제가 사용기업의 재무보고에 미치는 영향을 평가합니다. 직접적 영향(매출 처리, 비용 승인), 간접적 영향(시스템 접근 통제), 무관한 영향으로 분류합니다.

3단계: ISAE 3402 통제 목적 설계

재무 관련성이 있는 SOC 2 통제를 기반으로 ISAE 3402 통제 목적을 작성합니다. 통제 목적은 사용기업의 재무제표 주장(완전성, 정확성, 실재성, 권리와 의무, 표시와 공시)과 연결되어야 합니다.

4단계: 갭 분석 및 추가 통제 설계

SOC 2에는 없지만 ISAE 3402에서 요구되는 통제를 식별합니다. 일반적으로 재무 승인 워크플로우, 계정과목 매핑, 세금 계산 등이 추가됩니다.

한국항공정비 예시

배경 정보:
한국항공정비 주식회사는 항공기 정비 서비스를 제공하는 회사로 연매출 1,200억 원, 직원 850명입니다. 기존에 SOC 2 Type 2 보고서를 보유하고 있으며, 주요 고객사들이 ISAE 3402 보고서를 요청하고 있습니다.
기존 SOC 2 통제 (Security 영역):
ISAE 3402 매핑 결과:
1단계: 재무 관련성 평가
한국항공정비의 정비 시스템은 고객 청구, 부품 재고 관리, 인건비 처리와 직접 연결됩니다. 모든 접근 통제가 재무 데이터에 영향을 줍니다.
2단계: 통제 목적 설계
3단계: 통제 활동 재구성
기존 SOC 2: "시스템 관리자가 분기별로 사용자 목록을 검토하고 부적절한 권한을 제거합니다"
ISAE 3402 전환: "IT 팀장이 분기별로 정비 시스템의 재무 모듈 접근 권한을 검토하고, 퇴사자 또는 역할 변경자의 권한을 즉시 비활성화합니다"
문서화: 분기별 접근 권한 검토 보고서에 재무 모듈별 권한 변경 내역을 상세 기록
4단계: 테스트 설계
분기별 검토 보고서 4건을 샘플로 선택하여 권한 변경의 적시성과 적절성을 테스트합니다. 퇴사자 명단과 시스템 비활성화 일자를 대조하여 시차를 확인합니다.
결론: 한국항공정비는 기존 SOC 2 통제의 85%를 ISAE 3402로 매핑할 수 있었고, 추가로 매출 승인과 부품 재고 검증 통제만 보완하면 Type 2 보고서 발행이 가능합니다.

CC6.1: 시스템 접근 권한은 업무 역할에 따라 승인됩니다
CC6.2: 접근 권한 검토가 분기별로 수행됩니다
CC6.3: 시스템 변경은 변경 관리 프로세스를 따릅니다
CC6.6: 시스템 운영 활동이 모니터링되고 이상 징후가 조사됩니다
통제 목적 1: "승인된 직원만이 정비 시스템의 청구 모듈에 접근하여 청구 데이터의 정확성을 보장합니다"
통제 목적 2: "접근 권한 변경은 적시에 검토되어 퇴사자의 부적절한 접근을 방지합니다"
통제 목적 3: "시스템 변경 시 재무 영향을 검토하여 청구 처리의 완전성을 유지합니다"
통제 목적 4: "ISAE 3402.35에 따라 정비 시스템의 재무 모듈 접근 로그를 모니터링하여 비정상 거래를 적시에 식별합니다"

실무 체크리스트

SOC 2 통제 목록 작성
모든 통제의 설명, 빈도, 책임자를 정리합니다
각 통제의 테스트 결과와 예외 사항을 확인합니다
재무 관련성 매트릭스 생성
각 SOC 2 통제가 재무제표 주장에 미치는 영향을 매핑합니다
직접 영향, 간접 영향, 무관함으로 분류합니다
ISAE 3402 통제 목적 설계
사용기업의 재무보고 관점에서 통제 목적을 작성합니다
각 목적이 특정 재무제표 주장과 연결되는지 확인합니다
갭 분석 수행
ISAE 3402 요구사항 중 SOC 2에서 다루지 않은 영역을 식별합니다
추가 통제 설계 또는 기존 통제 보완 방안을 결정합니다
테스트 계획 수립
Type 2 보고서를 위한 12개월 테스트 기간을 설정합니다
각 통제의 테스트 빈도와 샘플 크기를 결정합니다
ISAE 3402에서 가장 중요한 것
모든 통제 목적이 사용기업의 재무보고에 미치는 영향을 명확히 설명할 수 있어야 합니다

흔한 매핑 오류

모든 SOC 2 통제를 ISAE 3402에 포함: SOC 2의 물리적 보안이나 직원 교육 통제는 재무 데이터 처리와 무관할 수 있습니다. 관련성 없는 통제를 포함하면 보고서가 불필요하게 복잡해집니다.
통제 목적의 모호한 표현: "시스템 보안이 적절히 유지됩니다"와 같은 일반적 표현은 ISAE 3402에 적합하지 않습니다. "승인되지 않은 접근으로부터 매출 데이터의 무결성을 보호합니다"처럼 재무 영향을 구체적으로 명시해야 합니다.