핵심 요약

  • NIS2는 2024년 10월 18일부터 EU 내 적용되며, 감사 대상 회사가 "중요 인프라" 또는 "중요 서비스" 분류에 해당하면 사이버보안 통제 수립이 법적 의무입니다.
  • 감사인은 NIS2 의무 대상 여부를 파악하고, 정보보안 사건이 재무제표 왜곡표시(통제 실패로 인한 데이터 손상, 운영 중단으로 인한 수익 손실)로 이어질 수 있는지 평가해야 합니다.
  • 감사 대상 회사가 NIS2 요구사항을 위반하면 벌금, 운영 중단, 명성 손상의 위험이 있으며, 이는 계속기업 평가 또는 우발부채 인식에 영향을 미칠 수 있습니다.
  • ISA 315.14(a)에 따라 정보 시스템의 신뢰성 평가는 감사인의 책임이므로, NIS2 대상 회사의 사이버보안 통제 현황을 계획 단계에서 CISO 인터뷰와 자체 평가 문서 검토를 통해 확인해야 합니다.

작동 방식

NIS2는 2024년부터 EU 회원국이 국내법으로 변환해야 하는 지침입니다. "중요 인프라"(에너지, 운송, 수도, 디지털 기반시설)와 "중요 서비스"(은행, 의료, 보험)로 분류된 기업에 적용됩니다. 감사인 입장에서는 두 가지 감사 영역이 생깁니다.
첫째, ISA 315.14에 따라 통제 환경을 평가할 때 정보보안 위험을 식별해야 합니다. NIS2 대상 회사라면 사이버보안 정책, 인사 배치, 감시 체계가 경영진의 통제 환경 실행의 일부입니다. 정보보안 통제가 미흡하면 경영진의 통제 의도가 약할 수 있습니다.
둘째, ISA 240.24는 재무 정보 시스템에 대한 접근 통제를 명시합니다. 감사 대상 회사의 ERP, 회계 소프트웨어, 데이터 저장소가 적절한 접근 제한(인증, 권한 관리, 감사 로그)을 갖추지 못했다면, 미인가 거래, 데이터 조작, 숨겨진 거래가 발생할 위험이 높습니다. 특히 NIS2 대상 회사가 이런 통제를 의도적으로 약화시켰다면 ISA 240 위험 신호입니다.
실무에서는 NIS2 의무 대상 여부를 계획 단계에서 확인하고, 정보보안 담당자(CISO)와 인터뷰하며, NIS2 준수 자체 평가 문서를 검토합니다. 이후 통제 환경과 시스템 접근 통제 평가에서 NIS2 요구사항과 실제 운영 상황의 일관성을 테스트합니다.

실무 예시: Nordic Logistics A/S

고객: 덴마크 물류 회사, 연 매출 €185M, IFRS 보고, NIS2 분류상 "중요 인프라" 해당 (운송 부문)
1단계: NIS2 의무 대상 확인
덴마크는 2024년 10월 18일 이후 모든 중요 인프라 운영자에게 NIS2를 적용합니다. Nordic Logistics는 해항 운송 회사로 운송 부문에 속하므로 의무 대상입니다.
문서 검증: NIS2 적용 대상인지 확인하기 위해 경영진에게 덴마크 운송부 공시문을 제시하고, 회사가 등록 대상인지 확인하도록 요청합니다. 감사 조서에 "덴마크 NIS2 적용 여부 확인 - Yes, 운송 부문" 기재.
2단계: 정보보안 통제 환경 평가
CISO와 인터뷰를 통해 사이버보안 정책, 사건 대응 절차, 직원 교육 현황을 파악합니다. Nordic Logistics는 정보보안 임원(Chief Information Officer)을 두지 않았고, 사이버보안은 IT부 과장에게 부수 담당으로 배정되어 있습니다.
문서 검증: 정보보안 정책서, 사이버 사건 대응 계획, 지난 12개월 보안 훈련 기록. 발견 사항: 체계적인 문서화 없음. 감사 조서에 "경영진이 정보보안을 전담 책임으로 관리하지 않음: ISA 315.14 통제 환경 약점 신호" 기재.
3단계: 시스템 접근 통제 테스트
운송 관리 시스템(TMS)과 회계 ERP에 대한 접근 제한을 검토합니다. Nordic Logistics의 ERP는 사용자 로그인만 요구하고, 다단계 인증(MFA)을 사용하지 않으며, 특정 거래(청구, 환불)에 대한 승인 권한이 명확히 설정되지 않았습니다.
문서 검증: IT 접근 제어 정책, 사용자 권한 할당 현황, ERP 감사 로그 표본. 월별 송금 거래 50건을 추출하여 승인 기록 확인: 15건이 권한 있는 승인자의 서명 부재. 감사 조서에 "시스템 접근 통제 부재로 미인가 거래 위험 high 평가" 기재.
4단계: 재무 영향 평가
사이버 사건이 발생했을 경우의 재무 영향을 평가합니다. Nordic Logistics가 하루 운영을 중단하면 매출 손실은 약 €510,000입니다(연 매출 €185M ÷ 365일). 데이터 유출 시 GDPR 벌금 가능성도 있습니다.
계산 기록: 일일 평균 매출 = €185M ÷ 365 = €507,000. 만약 3일 사이버 공격으로 운영 중단 시 예상 손실 = €1,521,000. 이는 연 순이익의 12%에 해당. 이 금액이 우발부채로 인식되어야 하는지 또는 계속기업 평가에 영향을 미칠 수 있는지 검토.
결론: Nordic Logistics의 NIS2 의무가 확인되었으나, 정보보안 통제가 미흡하여 ISA 315 통제 환경 위험과 ISA 240 시스템 접근 통제 위험이 모두 high로 평가되었습니다. 감사인은 이 위험에 대응하여 거래 수준의 세밀한 절차(승인 기록 확인, 거래 상세 분석)를 추가해야 합니다.

감사인과 경영진이 놓치는 것

  • Tier 1 국제 감리 지적: FRC(영국 재무 감독청)의 2024년 감리 결과에 따르면, FTSE 500 회사 중 약 28%가 사이버보안 위험을 감사 전략에 충분히 반영하지 않았습니다. 특히 NIS2 대상 기업 중에서도 감사인이 정보보안 위험을 "IT 감시" 범주로 축소하고, 재무 왜곡표시로 이어지는 경로를 평가하지 않는 경향이 관찰되었습니다.
  • Tier 2 표준 기반 실무 오류: ISA 315.14는 회사의 통제 환경을 평가할 때 "정보 및 통신" 요소를 명시합니다. 많은 감사팀은 이를 "경영진이 정보를 공유하는가"라고 해석하고, 실제 정보의 보안성(접근 제어, 감사 로그, 암호화)은 별도 기술 이슈로 외부 전문가에게 위임합니다. 그러나 ISA 315.14(a)는 "정보 시스템과 정보통신기술에 대한 신뢰성"을 평가하도록 명시하므로, NIS2 대상 회사라면 이 평가는 감사인의 책임입니다.
  • Tier 3 문서화 간극: NIS2는 2024년부터 적용되기 시작하므로, 감사 대상 회사 중 많은 기업이 NIS2 대상인지 명확히 파악하지 못했습니다. 감사 조서에 "NIS2 확인됨" 또는 "NIS2 미확인"이라는 간단한 기록만 있고, 만약 대상이라면 어떤 통제가 요구되는지 매핑하는 작업이 없는 경우가 많습니다.

관련 용어

---

  • 중요 인프라 (Critical Infrastructure) - 전기, 수도, 운송, 디지털 인프라 등 국가 경제에 필수적인 부문. NIS2에서는 이들 부문의 기업에 더 높은 사이버보안 표준을 적용합니다.
  • 사이버보안 통제 환경 (Cybersecurity Control Environment) - 경영진이 정보보안을 조직의 핵심 가치로 취급하는지 여부. ISA 315.14와 직접 연결되는 감사 판단.
  • 재무정보시스템 접근제어 (Access Control to Financial Information Systems) - ERP, 회계 소프트웨어, 데이터 저장소에 대한 인증, 권한 관리, 감사 로그. ISA 240.24의 중심 통제.
  • 사이버 위험 우발부채 (Cyber Risk Contingent Liability) - 사이버 사건 발생 가능성이 있는 경우 IAS 37에 따라 인식 또는 공시해야 할 우발부채.
  • 계속기업 평가와 사이버보안 (Going Concern and Cybersecurity Risk) - 중대한 사이버 공격으로 운영 중단 위험이 있다면, ISA 570에 따라 계속기업 가정을 재평가해야 합니다.

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.