[보안맨] SOC ITGC outline

안녕하세요보안맨 입니다.

지난 기고글에서 다룬 'SOX ITGC' 대한 이해를 돕기 위해 보강글을 작성했습니다.

 

 

 

 

  • 1.SOX 무엇인가 만들어지게 되었나?

 

 

사베인스-옥슬리 법은 "상장회사 회계 개선과 투자자 보호법또는 "법인과 회계 감사 책임 "으로도 불리는 미국의 회계 개혁에 관한 연방 법률입니다. 2022 당시 회계 부정으로 거대 기업들이 막대한 피해가 발생하자 회계제도 개혁 필요성이 대두되었고 이에 따라 제정된 법안입니다.

유사한 피해 사례로, 2022년도 최근 있었던 우리은행  600 자금을 직원이 횡령한 사건이 있습니다이때 회계 감사를 진행하는 법인의 적절성에 대해 여러 논란이 있었습니다.

 

 

 

  • 2.어떤 기업을 대상으로 하는가?

 

 

국내 기업은 일차적인 대상은 아닙니다다만미국 기업  자회사에 따른 일정 매출 수준이 충족되거나, 미국 주식 시장 (이하 '나스닥') 상장한 국내 기업 등은 US-SOX compliance 통제를 준수해야 합니다.

 

 

 

  • 3.SOX에서 언급하는 ITGC 무엇인가?

 

 

국내 여러 법에 하위 규정이 있듯이, SOX에도 여러 하위 규정이 있습니다그중, Section 404 Internal Controls 따른 ITGC (IT General Controls) 요건을 충족해야 합니다.

크게  가지 IT 통제를 준수해야 합니다.


  • -Access Security: 접근 권한 부여제공회수  접근 권한 주기적 검토 

  • -Change Management and Deployment: 내부적으로 변경되는 개발 코드 등에 대한 검토/테스트 관리

  • -Computer Operation: 에러 모니터링백업 

 

 

 






 


 

Figure 1. SOX ITGC overview material for the kick-off meeting (예시)

 

 

 

 

일반적으로 재무 관련 데이터 (구매환불 등)와 연관된 시스템애플리케이션 등 을 대상으로  IT 통제항목이 적절히 적용되었는지 주기적으로 평가합니다기업 규모특성 등에 따라 다를  있지만 최소  1 외부 감사인이 포함된 IT Audit  실시해기업의 재무 데이터 정확성무결성을 담보해야 합니다.

 

 

 

 

 

 

  • 4.ITGC  IT 보안은 어떤 관련이 있는가?

 

결론적으로밀접한 관계가 있습니다아래 표를 통해 설명드리겠습니다.

 

 


 K-ISMS

SOX ITGC

 Similiarity

 

 

 

2.8.5 소스 프로그램 관리

 

 

Change Management >

 

 

Code Review & Approval

 

 

 

Pretty much

 

 

 

2.5.1 사용자 계정 관리

 

 

Access Security (or Logical Access) > Access Provisioning

 

 

 

Pretty much

 

 

....

 

 

....

 

 

...

 

필자의 판단에는 통제 범위 측면에서 K-ISMS  SOX ITGC 보다 다소 넓을  있을 것 같습니다.

 

이때관련 통제를 회사에 적용하기 위해 일관성 있는 정책을 수립해야 합니다따라서, K-ISMS 요구사항과 SOX ITGC 요구사항 간의 적절한  분석을 통해 일관성 있는 프로세스를 정립할 필요가 있습니다.

 

기업 규모에 따라  부서에서 모든 통제를 담당, 관리하기 어려울  있습니다. 필자 회사의 경우, Access Security 영역은 기존 A 부서에서 이미 Security Policy Set 을 유지/관리하고 있었기 때문에필요한 SOX ITGC requirements를 적절히 반영운용한 사례가 있습니다.


  • 5.최근 실무 에피소드

 

 

 

 

 

Access rights 적정성을 검토(필요시 조치) 하는 프로세스를 수립하고, 실무 담당자들과 검토를 함께 수행했던 점이 근래에 제일 인상 깊었던 업무 경험이었습니다.

 

당시 IT Audit 기간이  달여 남은 상황에서  통제를 기획/관리/수행해야 했습니다본사의 Access Control Policy, 회사  IT Cloud services/application 관리 현황 파악 (with interviews, materials) 등을 바탕으로 interim process를 수립했습니다.



 

 

Figure 2. interim process with how to manage user/administrator accounts (예시)

 

 

 

 

단기간  수립해야 했던 만큼 현실적인 리스크가 존재했습니다. 대표적으로, service account cases 가 있었습니다당시 GCP 환경 내 여러 하위 서비스 프로젝트가 존재했고메일 기반으로 사용자/관리자 등 계정(access ID) 현황이 관리되고


있었습니다문제는 GCP 관리 대시보드 내에서 어떤 것이 service accounts 인지 판단하는 문제였습니다. 담당자 인터뷰 , 별도 기록/관리되는 이력이 부재했고, IT Audit 기한 내 service account의 업무 적정성을 판단하는 것은 불가능에 가까운 문제였습니다따라서 당시 아래와 같은 간단한 action 을 취했습니다.

 

  • 프로세스  service accounts 언급/ 언급  pros & cons 관련 분석

 

  • CISO / CTO 보고

 

당시 회사  IT Risk Handling Process  존재하지 않아서 위와 같은 수준으로 마무리가 되었습니다. 다만, 추후 IT Auditor 의해 challenging points 배제할 수 없을 만큼 내부 위험평가 처리 방안이 없었던 점은 아쉬움으로 남습니다.

 

2개의 댓글이 있습니다.

19일 전

정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

21일 전

자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입