Definition
블록체인 기술은 중앙 기관 없이 거래를 기록하고 검증합니다. ISA 330.5(a)는 감사인이 거래가 완전하고 정확하게 기록되었음을 확인하도록 요구합니다. 블록체인 환경에서 이는 단순히 원장을 조회하는 것 이상입니다.
작동 방식
블록체인 기술은 중앙 기관 없이 거래를 기록하고 검증합니다. ISA 330.5(a)는 감사인이 거래가 완전하고 정확하게 기록되었음을 확인하도록 요구합니다. 블록체인 환경에서 이는 단순히 원장을 조회하는 것 이상입니다.
먼저 블록체인의 유형을 파악해야 합니다. 공개 블록체인(비트코인, 이더리움)은 누구나 거래를 조회할 수 있지만, 승인 또는 접근이 제한되는 비공개 블록체인도 있습니다. 기업이 개인 블록체인을 운영한다면 노드(참여 시스템)에 접근할 수 있는 권한자가 누구인지 파악해야 합니다. ISA 330.14는 감사인이 정보 시스템에 의존하는 경우 그 신뢰성을 평가하도록 요구합니다. 블록체인의 경우 이는 노드의 보안, 합의 프로토콜의 견고함, 기록 변조 탐지 방법을 포함합니다.
다음으로 스마트 계약을 평가해야 합니다. 스마트 계약은 특정 조건이 충족되면 자동으로 실행되는 프로그램된 코드입니다. 예를 들어 "담보물의 가격이 특정 수준 아래로 내려가면 자동으로 청산한다"는 로직이 코드로 작성됩니다. 감사인은 이 로직이 의도한 거래 흐름을 정확히 반영하는지, 경계 조건에서 오류가 발생하지 않는지, 승인되지 않은 거래가 트리거되지 않는지 평가해야 합니다. ISA 330.8은 감사 절차가 거래의 권한 부여를 포함하도록 요구합니다. 스마트 계약에서 권한 부여는 코드 검토와 배포 기록 확인으로 입증됩니다.
암호 자산(토큰, 코인)의 존재 여부 확인도 중요합니다. 전통적으로 감사인은 은행에 확인장을 보냅니다. 암호 자산은 그렇지 않습니다. 대신 감사인은 지갑 주소(자산 보유의 기술적 증거)를 확인하고, 해당 주소가 피감사회사(또는 피감사회사가 통제하는 계정)에 속함을 증명해야 합니다. 이는 거래 서명에 사용된 암호 키에 대한 통제를 검증함으로써 입증됩니다. ISA 330.5(c)는 거래의 진정성을 확인하도록 요구합니다. 블록체인 거래에서 진정성은 디지털 서명 검증을 의미합니다.
거래 최종성도 감시 사항입니다. 전통적 은행 거래는 거래 후 수일 동안 반제(reversal)될 수 있습니다. 블록체인의 많은 거래는 최종적(irreversible)입니다. 거래가 블록에 기록되고 합의 메커니즘으로 검증되면 되돌릴 수 없습니다. 이는 조정 오류가 거래 원본 수정으로는 해결될 수 없음을 의미합니다. ISA 330.25는 감사인이 기록된 거래의 정확성을 평가하도록 요구합니다. 블록체인에서 오류 보정은 새로운 상쇄 거래를 통해서만 가능합니다.
실무 사례: 상암 디지털 솔루션 주식회사
클라이언트: 한국 블록체인 결제 플랫폼 운영사, 2024년 결산, IFRS 적용, 암호화폐 자산 €28M, 스마트 계약 기반 결제 처리 월 거래량 €120M
1단계: 블록체인 아키텍처 문서화
상암은 이더리움 네트워크에 배포한 스마트 계약을 통해 USDC(스테이블코인) 거래를 처리합니다. 감사인은 먼저 계약 배포 기록(배포 주소, 블록 번호, 배포 트랜잭션 해시)을 수집합니다. 이더리움 공개 블록체인 탐색기(etherscan.io)에서 이 정보를 확인할 수 있습니다.
문서화 노트: 감시 파일 "블록체인 아키텍처"에 배포 기록, 스마트 계약 주소(0x...로 시작), ABI(인터페이스 정의) 캡처 저장. 계약이 감시 기간 중 업그레이드(재배포)되었다면 모든 버전의 주소와 변경 사항 기록.
2단계: 스마트 계약 로직 검증
상암의 스마트 계약 코드는 GitHub의 퍼블릭 리포지토리에 오픈소스로 공개되어 있습니다. 감사인은 Solidity(계약 코드 언어) 코드를 검토하여 다음을 확인합니다: (a) 거래 입금 시 정확한 금액을 예치금 계정에 기록하는가? (b) 출금 요청 시 요청인의 서명을 검증하는가? (c) 거래 수수료는 정확히 계산되고 수수료 계정으로 이체되는가? 코드 감사는 외부 스마트 계약 감사 회사(예: OpenZeppelin)의 보고서로 보완할 수 있습니다.
문서화 노트: 감시 파일 "스마트 계약 감사"에 검토한 코드 버전, 감사 날짜, 확인한 로직 체크리스트(입금 정확도, 출금 서명, 수수료 계산, 긴급 정지 기능), 외부 감사 보고서 사본 저장.
3단계: 암호 자산 존재 검증
상암은 여러 지갑에서 USDC를 보유합니다. 일부는 상암이 직접 관리하는 콜드 지갑(오프라인), 일부는 거래소(Coinbase, Kraken)의 관리형 지갑입니다. 감사인은 각 지갑의 잔액을 직접 블록체인에서 조회합니다(etherscan.io에서 지갑 주소를 입력하면 실시간 잔액이 표시됨). 콜드 지갑의 경우 해당 주소를 통제하는 암호 키가 상암의 보안 저장소(예: 하드웨어 지갑, 금고)에 있음을 확인합니다. 거래소 지갑의 경우 거래소에 직접 확인장을 보냅니다(전통적 은행 확인과 동일한 형식).
문서화 노트: 감시 파일 "암호 자산 존재"에 검증 날짜, 각 지갑 주소, etherscan에서 캡처한 잔액 스크린샷, 거래소 확인장 스캔본, 콜드 지갑 암호 키 저장 위치 및 접근 권한자 명단 저장. 감사 종료 후 재확인한 최종 잔액도 기록.
4단계: 거래 표본 추출 및 검증
상암의 월 거래량이 많으므로 표본을 사용합니다. 5월의 거래 중 임의로 50건을 선택합니다. 각 거래에 대해 블록체인에서 트랜잭션 해시를 조회하여 (a) 입금액이 상암의 기록과 일치하는가, (b) 거래인의 지갑 주소가 화이트리스트(승인된 주소 목록)에 있었는가, (b) 거래 승인 서명이 유효한가, (d) 수수료 계산이 정확한가를 확인합니다. 블록체인은 거래 최종성을 제공하므로 선택된 거래는 되돌릴 수 없으며, 따라서 추가 입금/출금 조정 거래가 없는지 확인합니다.
문서화 노트: 감시 파일 "거래 표본"에 표본 추출 방법(5월 전체 거래 2,340건 중 임의 50건), 각 거래의 블록체인 트랜잭션 해시, 상암 기록상 금액, 블록체인 확인 금액, 차이 분석, 서명 검증 결과, 수수료 검증 계산 저장.
5단계: 스마트 계약 거래 흐름 테스트
상암의 시스템이 의도한 대로 작동하는지 확인하기 위해 감사인은 소액의 테스트 거래를 실행합니다(예: 100 USDC). 거래가 스마트 계약을 통해 올바르게 처리되는지 모니터링합니다. 거래 실행 후 가스 사용량(블록체인에서 계산 비용으로 지불하는 이더), 중간 상태 변화(각 단계별 계정 잔액), 최종 상태를 검증합니다. 또한 실패 시나리오도 테스트합니다. 예를 들어 승인되지 않은 지갑에서 출금을 시도하면 거래가 거부되는가를 확인합니다.
문서화 노트: 감시 파일 "스마트 계약 통제 테스트"에 테스트 거래 날짜, 테스트 거래 해시, 예상 결과, 실제 결과, 가스 사용량, 상태 변화 추적 기록, 실패 시나리오 테스트 결과 저장.
결론
모든 검증 단계를 통과했으며, 상암의 암호 자산 잔액 €28M과 스마트 계약 기반 거래 처리 로직이 기록과 일치합니다. 블록체인의 불변성(최종성)으로 인해 거래 되돌림 위험은 없으며, 거래 인증과 수수료 계산이 자동화되어 있으므로 수동 오류 위험도 낮습니다. 다만 스마트 계약 코드의 미처 발견된 결함이나 암호 키 탈취 위험은 제어 시스템(코드 감사, 키 보안 정책)으로 완화되어야 합니다.
감사인이 자주 놓치는 사항
Tier 1: 규제자 지적 사항
국제 감사 기준 위원회(IAASB)는 2023년 ISA 개정안 발행 시 블록체인 및 분산 원장 기술 환경에서 감사인이 마주하는 새로운 위험을 강조했습니다. 특히 스마트 계약 감시 기능이 부재하거나 미흡한 경우가 많음을 지적했습니다. 감사 현장에서 스마트 계약 배포 기록, 코드 변경 이력, 권한 부여 메커니즘을 검증하지 않으면 ISA 330.5의 거래 인증 요구를 충족하지 못합니다.
Tier 2: 표준 기반 실무 오류
ISA 330.1은 감사인이 실질적 절차를 설계하고 실행할 때 관련된 서로 다른 주장에 대해 그 절차의 성격, 시기, 범위를 정의하도록 요구합니다. 블록체인 거래 감시에서 흔한 오류는 다음과 같습니다. (1) 존재 주장만 검증하고 완전성 주장(모든 거래가 기록되었는가)을 검증하지 않음. (2) 블록체인 자체 기록은 조회하나 거래를 인가한 기저 비즈니스 프로세스(화이트리스트 관리, 서명 권한)를 테스트하지 않음. (3) 거래의 "기록된" 금액은 확인하나 수수료, 에스크로우 계정, 부분 실행 등 부차적 거래는 무시함.
Tier 3: 실무 처리 미흡
블록체인 감사 환경에서 보통 문서화 기준이 모호합니다. 감사인이 블록체인 기록(트랜잭션 해시, 타임스탬프, 서명)을 "확인했다"고만 기록하고, 구체적으로 어떤 검증 도구(etherscan, 노드 접근, 스마트 계약 감사 보고서)를 사용했는지, 어떤 위험을 평가했는지 기술하지 않는 경우가 많습니다. ISA 330.25는 감사 증거의 형식과 보존을 요구합니다. 블록체인의 경우 이는 트랜잭션 해시 기록, 타임스탬프 캡처, 스마트 계약 코드 버전의 구체적 저장을 의미합니다.
관련 용어
스마트 계약: 블록체인에서 자동 실행되는 프로그래밍된 로직. 감사인은 거래 처리의 권한 부여 메커니즘을 입증하기 위해 코드를 검토해야 합니다.
암호 자산: 블록체인 기반 자산. 감사인은 존재 여부와 지갑 통제를 검증하기 위해 블록체인 자료를 사용합니다.
분산 원장 기술: 블록체인의 광범위한 분류. 공개, 비공개, 승인 방식 등 다양한 유형이 있으며 감사인의 절차는 각 유형의 특성에 따라 달라집니다.
합의 메커니즘: 블록체인 네트워크가 거래를 검증하는 방법. 작업 증명(PoW), 지분 증명(PoS) 등이 있으며 거래 최종성과 감사인의 접근성에 영향을 미칩니다.
디지털 서명: 거래 승인 증거. ISA 330.5(c)의 거래 진정성 검증에 필수적입니다.
트랜잭션 해시: 블록체인 거래의 고유 식별자. 감사인이 거래를 추적하고 최종성을 확인하기 위해 사용합니다.