안녕하세요, 보안맨 입니다.
지난 기고글에서 다룬 'SOX ITGC'에 대한 이해를 돕기 위해 보강글을 작성했습니다.
1.SOX는 무엇인가? 왜 만들어지게 되었나?
사베인스-옥슬리 법은 "상장회사 회계 개선과 투자자 보호법" 또는 "법인과 회계 감사 책임 법"으로도 불리는 미국의 회계 개혁에 관한 연방 법률입니다. 2022년 당시 회계 부정으로 거대 기업들이 막대한 피해가 발생하자 회계제도 개혁 필요성이 대두되었고 이에 따라 제정된 법안입니다.
유사한 피해 사례로, 2022년도 최근 있었던 우리은행 약 600억 자금을 직원이 횡령한 사건이 있습니다. 이때 회계 감사를 진행하는 법인의 적절성에 대해 여러 논란이 있었습니다.
2.어떤 기업을 대상으로 하는가?
국내 기업은 일차적인 대상은 아닙니다. 다만, 미국 기업 내 자회사에 따른 일정 매출 수준이 충족되거나, 미국 주식 시장 (이하 '나스닥')에 상장한 국내 기업 등은 US-SOX compliance 통제를 준수해야 합니다.
3.SOX에서 언급하는 ITGC는 무엇인가?
국내 여러 법에 하위 규정이 있듯이, SOX에도 여러 하위 규정이 있습니다. 그중, Section 404 Internal Controls에 따른 ITGC (IT General Controls) 요건을 충족해야 합니다.
크게 세 가지 IT 통제를 준수해야 합니다.
-Access Security: 접근 권한 부여, 제공, 회수 및 접근 권한 주기적 검토 등
-Change Management and Deployment: 내부적으로 변경되는 개발 코드 등에 대한 검토/테스트 관리
-Computer Operation: 에러 모니터링, 백업 등
|
Figure 1. SOX ITGC overview material for the kick-off meeting (예시)
일반적으로 재무 관련 데이터 (구매, 환불 등)와 연관된 시스템, 애플리케이션 등 을 대상으로 위 IT 통제항목이 적절히 적용되었는지 주기적으로 평가합니다. 기업 규모, 특성 등에 따라 다를 수 있지만 최소 연 1회 외부 감사인이 포함된 IT Audit 을 실시해, 기업의 재무 데이터 정확성, 무결성을 담보해야 합니다.
4.ITGC 와 IT 보안은 어떤 관련이 있는가?
결론적으로, 밀접한 관계가 있습니다. 아래 표를 통해 설명드리겠습니다.
K-ISMS | SOX ITGC | Similiarity |
2.8.5 소스 프로그램 관리 |
Change Management >
Code Review & Approval |
Pretty much |
2.5.1 사용자 계정 관리 |
Access Security (or Logical Access) > Access Provisioning |
Pretty much |
.... |
.... |
... |
필자의 판단에는 통제 범위 측면에서 K-ISMS 가 SOX ITGC 보다 다소 넓을 수 있을 것 같습니다.
이때, 관련 통제를 회사에 적용하기 위해 일관성 있는 정책을 수립해야 합니다. 따라서, K-ISMS의 요구사항과 SOX ITGC 요구사항 간의 적절한 갭 분석을 통해 일관성 있는 프로세스를 정립할 필요가 있습니다.
기업 규모에 따라 한 부서에서 모든 통제를 담당, 관리하기 어려울 수 있습니다. 필자 회사의 경우, Access Security 영역은 기존 A 부서에서 이미 Security Policy Set 을 유지/관리하고 있었기 때문에, 필요한 SOX ITGC requirements를 적절히 반영, 운용한 사례가 있습니다.
5.최근 실무 에피소드
Access rights의 적정성을 검토(필요시 조치) 하는 프로세스를 수립하고, 실무 담당자들과 검토를 함께 수행했던 점이 근래에 제일 인상 깊었던 업무 경험이었습니다.
당시 IT Audit 기간이 두 달여 남은 상황에서 본 통제를 기획/관리/수행해야 했습니다. 본사의 Access Control Policy, 회사 내 IT Cloud services/application 관리 현황 파악 (with interviews, materials) 등을 바탕으로 interim process를 수립했습니다.
Figure 2. interim process with how to manage user/administrator accounts (예시)
단기간 내 수립해야 했던 만큼 현실적인 리스크가 존재했습니다. 대표적으로, service account cases 가 있었습니다. 당시 GCP 환경 내 여러 하위 서비스 프로젝트가 존재했고, 메일 기반으로 사용자/관리자 등 계정(access ID) 현황이 관리되고
있었습니다. 문제는 GCP 관리 대시보드 내에서 어떤 것이 service accounts 인지 판단하는 문제였습니다. 담당자 인터뷰 시, 별도 기록/관리되는 이력이 부재했고, IT Audit 기한 내 service account의 업무 적정성을 판단하는 것은 불가능에 가까운 문제였습니다. 따라서 당시 아래와 같은 간단한 action 을 취했습니다.
●프로세스 내 service accounts 언급/미 언급 시 pros & cons 관련 분석
●CISO / CTO 보고
당시 회사 내 IT Risk Handling Process 가 존재하지 않아서 위와 같은 수준으로 마무리가 되었습니다. 다만, 추후 IT Auditor에 의해 challenging points를 배제할 수 없을 만큼 내부 위험평가 처리 방안이 없었던 점은 아쉬움으로 남습니다.
2개의 댓글이 있습니다.
정보 감사합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입자료 감사합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입