1. SOC2
SOC는 System and Organization Controls의 약자이며, SOC2는 Systems and Organization Controls 프로토콜 내에서 가장 포괄적인 인증입니다.
SOC2는 미국 공인회계사회(AICPA)가 주관하는 서비스 조직 관리, 사용자 개체, 비즈니스 파트너 및 기타 당사자에게 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호와 관련된 서비스 조직의 통제에 대한 정보에 따라 기업 내부의 이상이 없음을 인증한 보고서입니다.
일반적으로 서비스에 대한 안전성과 서비스 조직의 신뢰성 검증을 위해 SOC 2 인증을 받습니다.
2. SOC2 인증 기준
AICPA가 SOC2 인증에서 내새우는 기준
- 일반적 평가 원칙
- 관련성
- 객관성
- 측정가능성
- 완전성
- 해당 누락 요소와 관련해서, SOC2는 다음과 같은 판단을 내릴 수 있습니다. 유럽연합 서비스를 준비하는 회사의 보고서에서 제출된 내용의 누락된 부분 또는 허위 부분이, 유럽 연합의 GDPR 준수에 대한 내용이 빠져 있거나 허위 부분일 경우를 고려하여 보고서 적격 여부를 자체적으로 판단합니다.
일반적인 평가 기준은 시스템과 얼마나 관련있는지 입니다.
평가는 편견 없이 진행됩니다.
평가 기준은 시스템에 대한 양적 또는 질적으로 합리적이며 일관된 측정이 허용되야 합니다.
최종적인 사용자 결정에 영향을 끼칠 수 있는 관련 요소는 누락되지 말아야 합니다.
- AICPA 보증 서비스 실행 위원회(ASEC)는 Trust Information Integrity Task Force라는 신뢰기준을 통해 감사하는 데이터 처리의 다섯가지 측면
- 보안
- 가용성
- 처리 무결성
- 기밀성
- 프라이버
무단 접속 및 데이터 노출에 대한 데이터 보호 및 시스템 보안. 보안에는 데이터의 가용성, 무결성, 기밀성 손실을 초래할 수 있는 시스템 손상에 대한 보호도 포함
기업이 운영을 유지하는 데 필요한 시스템의 신뢰성
시스템 처리는 완전하고, 유효하고, 정확하고, 적시에 이루어져야 하며, 권한이 부여
‘기밀’로 분류된 데이터는 법인의 목적을 달성할 수 있도록 보호
정보를 수집하고, 사용하고, 보유하고, 공개하고, 폐기해 데이터 프라이버시에 대한 법인의 목표를 충족
보고서 작성에 관해서 정성적으로 판단될 요소
- 설명 내 개별 공개 사항 간의 상호 작용 및 상대적 중요도.
- 필수 공시에 사용된 문구(예: 선택한 문구가 공시를 생략하거나 또는 제시된 공시를 왜곡하지 않는지 여부.
- 설명 기준이 다양한 표현을 허용하기 때문에 표현의 특성이 적절한지 여부. 표현의 다양성을 허용하는지 여부.
- 설계의 적합성 또는 통제의 운영 효과에서 확인된 결함이 설명에 포함된 통제에 대한 공개와 모순되는 정도.
- 허위 진술 또는 잠재적 허위 진술이 설명 전체에 미치는 영향.
- 허위 진술이 법률 또는 규정 준수에 영향을 미치는지 여부.
Trust Information Integrity Task Force라는 신뢰기준을 통해 보고서에 작성될 설명 기준(Description Criteria, DC)
- DC1: 제공되는 서비스 유형
- DC2: 주요 서비스 약정 및 시스템 요구 사항
- DC3: 서비스 제공에 사용되는 시스템 구성 요소로, 다음을 포함합니다
- Infrastructure
- Software
- People
- Procedures
- Data
- DC4: 확인된 시스템 사고의 경우
- 각 사건의 성격
- 사건 발생 시기
- 사건의 범위(또는 효과) 및 그 결과 처분
(a) 효과적으로 설계되지 않았거나 효과적으로 운영되지 않았던 통제의 결과이거나
(b) 하나 이상의 서비스 약속 또는 시스템 요구 사항의 중대한 실패로 이어진 경우
해당 사건들에 대한 설명은 타입 (a)의 경우에는 설명 날짜를 기준으로 하며, 타입 (b)의 경우에는 설명 기간 동안의 사건을 다룹니다.
- DC5: 서비스 조직의 서비스 약속과 시스템 요구 사항이 달성되었음을 합리적으로 보장하기 위해 설계된 적용 가능한 신뢰 서비스 기준 및 관련 통제에 대한 정보
- DC6: 서비스 조직 관리가 서비스 조직의 시스템 설계 시에 특정 통제가 사용자 기관인 보충 사용자 기관 통제(CUECs)를 통한 시행, 여기서 "보충 사용자 기관 통제(CUECs)"는 사용자 기관이 시스템의 효과적인 운영을 보장하기 위해 시행해야 하는 특정 통제
- DC7: 서비스 조직이 하위 서비스 조직(subservice organization)을 사용하고 있고, 하위 서비스 조직의 통제가 서비스 조직의 통제와 결합되어 서비스 조직의 서비스 약속과 시스템 요구 사항을 합리적으로 보장하기 위해서 필요한 경우에 대한 정보를 제공, 이 기준에는 두 가지 방법, 즉 inclusive method 및 carve-out method를 사용할 때 각각 필요한 정보를 제공할 것이 요구
- 이런 하위 서비스 조직은 AWS나 NCP, 가비아 같은 호스트 서비스 센터 혹은 클라우드 서비스 제공자를 포함합니다.
- carve-out method (분리 방식)
- 하위 서비스 조직이 제공하는 서비스의 특성
- 하위 서비스 조직의 통제가 충족되기를 원하는 각각의 적용 가능한 신뢰 서비스 기준
- 서비스 조직 관리가 서비스 조직의 시스템 설계 시에 하위 서비스 조직이 시행할 것으로 가정한 통제 유형. 이는 서비스 조직의 통제와 결합하여 서비스 조직의 서비스 약속과 시스템 요구 사항을 합리적으로 보장하기 위해 필요한 것으로 일반적으로 보완적인 하위 서비스 조직 통제(CSOCs)
- 해당 서비스와의 관련성
- 하위 서비스 조직에서 수행하는 서비스가 고객에게 제공되는 서비스 또는 애플리케이션과 관련이 있는지
- 서비스가 적용 가능한 경우 하위 서비스 조직은 제어 환경을 쉽게 모니터링할 수 있는 SOC 보고서 또는 기타 내부 제어 평가를 받는지
- 하위 서비스 조직의 SOC 보고서
- 하위 서비스 조직이 보고서에서 적정한 의견을 얻었는지,
- 감사자가 귀하의 서비스나 애플리케이션에 영향을 미칠 수 있는 통제 예외 사항을 기록했는지
- 보고서에 CUEC(보완적 사용자 엔터티 컨트롤)가 언급되어 있고, 자사의 조직에 이러한 CUEC가 마련되어 있으며, 자사의 조직은 이러한 CUEC를 효과적으로 수행하고 있는지
- 하위 서비스 조직 모니터링
- 자사의 조직은 하위 서비스 조직의 제어 환경을 모니터링하는 효과적인 방법을 갖추고 있는지
- 자사의 조직은 하위 서비스 조직의 제어 환경을 얼마나 자주 모니터링 하는지
- inclusive method (포괄적인 방식)
- 하위 서비스 조직이 제공하는 서비스의 특성
- 서비스 조직 및 하위 서비스 조직의 통제를 결합하여 서비스 조직의 서비스 약속과 시스템 요구 사항을 합리적으로 보장하기 위해 필요한 하위 서비스 조직의 통제
- 하위 서비스 조직의 인프라, 소프트웨어, 인력, 절차 및 데이터와 관련된 측면 중 중요한 부분
- 하위 서비스 조직에 속하는 시스템 부분
- 조직 협력
- 하위 서비스 조직이 감사자를 참여시켜 환경 내 제어 기능을 테스트하도록 의향이 있는지
- 하위 서비스 조직이 경영진 진술서에 서명하고 시스템 설명 지원과 함께 보고서에 포함될 경영진 주장 서한을 제공할 것인지
- 감사 완료에 필요한 하위 서비스 조직으로부터 증거를 조정하고 획득하는 것이 얼마나 쉬운지 확인해봐야 합니다.
- 자사의 책임
- 하위 서비스 조직의 결과를 보고서에 전달할 준비
- 감사자가 해당 환경에서 제어 예외를 발견하면 고객과 함께 이를 해결할 준비
분리 방식은 자사 서비스 시스템과 하위 서비스 시스템을 분리하여, 시스템 및 서비스 컨트롤에 있어서 하위 서비스 관련 사항들을 분리하는 것을 의미합니다.
대부분의 하위 서비스 시스템은 SOC 보고서가 있을 확률이 높기 때문에 자사와 분리하여 감사받음으로서 하위 서비스 시스템까지 일일히 보고서에 작성하고 컨트롤할 번거로움을 줄일 수 있습니다.
다만 하위 서비스 시스템을 본 서비스 시스템관 분리함으로서 생길 수 있는 다른 사이드 이펙트는 고려하여 보고서가 작성되야 합니다.
분리 방식을 사용할 경우 다음과 같은 고민이 필요합니다.
위 해당 사항들을 모두 고려하여 선택하게 되며, 일반적으로 SOC2 인증을 원하는 서비스에서는 분리방식을 선택한다고 합니다.
포괄적 방식은 위의 분리 방식과 반대로 하위 서비스 시스템을 마치 자사의 서비스 시스템의 일부인 것 처럼 보고서에 작성하는 방식입니다. 이 방식을 사용하는 경우 자사와 하위 서비스 조직 모두 해당 SOC2 감사를 받는 것으로 동의한 것으로 간주합니다.
이 방법을 사용하기 위해서는 하위 서비스의 담당자로부터 서면과 시스템적 동의가 필요합니다.
포괄적인 방식을 사용할 경우 다음과 같은 고민이 필요합니다.
위 해당 사항들을 모두 고려하여 선택하게 되며, 일반적으로 SOC2 인증을 원하는 서비스에서는 포괄적인 방식을 선호하지 않는다고 합니다.
- DC8: 서비스 기준 중에서 시스템에 관련이 없는 특정 기준과 그 기준이 관련이 없는 이유에 대한 정보
- 이 섹션에서 해당 설명 기준이 왜 자사 서비스 시스템과 관련이 없는지에 대한 기준과
- 시스템과 관련이 없는 이유
에 대해서 설명해야 합니다. 이 섹션을 통해 보고서는 왜 특정 기준이 해당 시스템에 적용되지 않고 있는지와, 보고서의 투명성과 정확성을 강화하며, 왜 특정 기준이 적용되지 않는지를 이해할 수 있게 합니다.
- DC9: 특정 기간(type 2 examination) 동안 서비스 조직의 시스템 및 통제에 중요한 변경 사항에 대한 관련 세부 정보를 제공해야 합니다. 이러한 변경 사항은 서비스 조직의 서비스 약속과 시스템 요구 사항과 관련이 있어야 합니다.
- 기간 동안의 중요한 변경 사항: 특히 시스템 및 통제에 대한 변경 사항 중에서 서비스 조직의 서비스 약속과 시스템 요구 사항과 관련이 있는 것들에 대한 세부 사항을 설명합니다.
- 변경 사항의 영향: 이러한 변경 사항이 서비스 조직의 서비스 약속과 시스템 요구 사항에 어떤 영향을 미치는지에 대한 정보를 제공합니다.
3. SOC2 취득 비용 및 기간
SOC2 취득 비용은 일반적으로 4가지 비용이 존재합니다.
- 감사원 수수료
- 문서화를 위한 시간, 프로토콜 수립 등 총체적인 자원
- 해당 인증 취득을 위한, 추가 기술 투자 비용
- 해당 보고서에 대한 수정이 요구될 경우의 추가 교정 비용
하지만 요인에 따라 달라질 수 있는데 그 요인으로는 위 일반적 4가지 비용을 자세하게 풀어서
- 필요한 증명 유형
– SOC 2 유형 1 또는 SOC 2 유형 2 또는 둘 다
- 조직 규모
– 회사 규모에 따라 비용이 증가합니다.
- 감사 범위
– 선택한 신뢰 서비스 기준의 수에 따라 비용이 증가합니다.
- 조직의 복잡성
– 시스템 및 제어의 복잡성으로 인해 비용이 급증합니다.
- 선택한 감사인 유형
- CPA(또는 회사)에는 가격표가 다릅니다.
- 보안 도구
- 규정 준수를 보장하는 데 일반적으로 필요한 SOC 도구 비용도 추가됩니다.
- 준비 상태 평가
– 비용은 선택한 감사자 유형에 따라 다릅니다(선택 사항).
위와 같은 비용추산 요인이 존재합니다.
일반적인 취득기간은 추산할 수 없으며 다만, 필수 모니터링 기간은 최소 3달이며 취득까지 걸리는 시간은 일반적으로 최대 6개월 입니다.
SOC2의 Type 1 감사 비용은 ASEC Trust Information Integrity Task Force의 TSC(Trust Services Criteria)에 따라 달라지는데 SOC 2 유형 1 감사의 시작 비용은 최대 3개의 TSC에 대해 $5000 부터 시작 하고 감사가 3개 이상의 TSC를 포괄하는 경우 최대 $25000 까지 올라갈 수 있습니다.
SOC 2 Type 2는 3~12개월의 더 긴 평가 기간을 가지므로 비용이 조금 더 듭니다. 유형 2 보고서의 SOC 2 규정 준수 비용은 일반적으로 $7000에서 $50000 까지 올라갈 수 있습니다.
SOC2 의 Type마다 비용이 다른 이유는, 감사 비용이 조직의 직원 수가 증가하고 관련 시스템 및 제어가 복잡해짐에 따라 더욱 높아지기 때문입니다.
- 일반적인 Type별 차이
- 감사가 수행된 기간입니다.
- 감사의 성격.
- 필요한 증거.
- SOC 2 Type 1은 사이버 보안 프로그램이 완료된 날의 상태를 반영합니다 .
- SOC 2 유형 2는 장기간(보통 6~12개월)에 걸쳐 회사의 보안을 평가합니다. 회사는 전체 기간 동안 보안 프로그램을 준수하고 있음을 감사자에게 입증해야 합니다.
- SOC 2 유형 2는 보안에 대한 더 높은 수준의 노력을 강조하고 보안 프로그램의 진행 중인 상태에 대해 더 많은 정보를 제공하므로 더 가치가 있습니다. 유형 2 감사에는 해당 기간 동안 감사 샘플링 데이터가 포함되어 회사가 프로그램을 얼마나 잘 준수하고 있는지 평가합니다.
- SOC 2 유형 1을 보유한 회사는 잠재적으로 SOC 2 보고서를 받은 다음 명시한 통제 사항을 유지하는 것을 중단할 수 있습니다.
SOC 2 유형 1은 특정 시점 평가입니다. SOC 2 유형 2는 일정 기간 동안 보안 프로그램을 평가합니다.
SOC 2 Type 1은 프로그램 설계를 평가하고 SOC 2 Type 2는 프로그램 실행을 평가합니다.
SOC 2 유형 2는 감사 기간 동안 샘플링된 증거를 수집해야 하지만 SOC 2 유형 1은 그렇지 않습니다.
- 어떤 Type을 취득..?
SOC 2 유형 2는 SOC 2 유형 1보다 훨씬 더 가치가 있지만 회사에서 처음으로 사이버 보안 규정 준수를 추구하는 경우 SOC 2 유형 1을 먼저 확보하는 것이 좋다고 합니다.
SOC 2 유형 1 감사를 완료하는 데는 SOC 2 유형 2 감사보다 훨씬 적은 시간과 비용이 소요됩니다. SOC 2 유형 1을 먼저 달성하면 조직이 지속적인 규정 준수에 필요한 기술과 관행을 구축하는 데 도움이 됩니다. 첫 번째 유형 1 감사에서 배운 교훈은 보다 영향력 있는 유형 2 감사가 원활하게 진행되도록 하는 데 도움이 될 것입니다.
또한 SOC 2 유형 1을 완료하면 회사에 보안 노력을 더 일찍 보여줄 수 있는 내용이 제공되며, 보안에 민감한 많은 공급업체는 유형을 취득할 계획인 한 중간에 SOC 2 유형 1 보고서에도 만족할 것으로 판단됩니다.
그리고 추가적으로 SOC2에서 직원의 보안 교육에 대해 교육을 강조하기 때문에 해당사항을 고려한다면 추가적인 세션비용이 추가될 수 있습니다.
결국 최종적인 비용은 모든 비용 요소를 고려하여 보안 규정 준수 자동화 클라우드 플랫폼인 sprinto의 비용 추산에 따르면 일반적으로 인증 비용은 평균
$30000~$150000이 소요된다고 합니다. 이외에도 다른 비용 추산 과정을 살펴본 결과, 대부분의 SOC2 비용 추산에 대해서 아래와 같이 추산하고 있었습니다.
비용 | 시간 | |
감사 비용 | $20,000 | |
Project Lead | $75,000 | 6 개월 |
준비 상태 평가 | 2 주 | |
법적 검토 | $10,000 | 2 주 |
인증 취득을 위한 Tools 사용 | $30,000 | 2 개월 |
보안 교육 | $5,000 | 1 주 |
총 | $150,000 | 6 개월 |
15만불은 현재 원화기준 192,624,000 한화로 1억 9천만원 정도입니다.
물론 해당 비용이 추상적으로 소요되는 비용에 대한 추산이라고 하지만, 법적 검토 보안 교육등을 제외하고 비용을 최대한 절감한다고 하더라도 최소 5천만원 이상에서 취득 과정에서 억대까지 소요될 수 있는 것으로 판단됩니다.
취득 후 자격의 유효기간은 SOC 2 증명은 1년 동안만 유효하다고 합니다. 갱신기간이 1년 단위입니다.
인증과정
- 1단계: 신뢰할 수 있는 외부 감사인 선임
- 감사 준비
- SOC 2 감사는 AICPA의 규제를 받으며
공식 인증을 받으려면 허가받은 CPA 회사의 외부 감사자가 완료해야 합니다.
감사를 수행하기 위해 CPA를 고용하기 전에 몇 가지 준비 단계를 거쳐야 합니다.
- 2단계: 감사를 위한 보안 기준 선택
- 감사 범위 및 목표 정의
사용자 엔터티가 감사를 통해 배우고자 하는 내용과 해당 범위 내에 포함될 컨트롤이 무엇인지 확인합니다. 어떤 신뢰 서비스 원칙이 적용되는지 확실하지 않은 경우 감사자와 협력하여 알아낼 수 있습니다. 명확한 범위를 염두에 두고 나면 팀은 정책을 문서화하는 작업을 시작할 수 있습니다.
- 3단계: SOC 2 규정 준수를 위한 로드맵 구축
- 문서 정책 및 절차
- 준비 상태 평가 수행
SOC 2 유형 2 감사에는 신뢰 서비스 원칙을 기반으로 한 정보 보안 정책에 대한 철저한 문서화가 필요합니다. 감사자는 이를 기준으로 통제 수단을 평가하므로 명확하고 포괄적인 것이 중요합니다. 적용되는 원칙과 제어의 수에 따라 이 단계는 다소 시간이 걸릴 수 있습니다. 도움을 줄 수 있을 만큼 충분한 규모의 팀이 있는지 확인하세요.
감사자를 위해 정책을 설명하고 문서화하면 격차 분석 또는 준비 상태 평가를 수행하여 SOC 2 감사에 대한 준비 상태를 확인할 수 있습니다. 이 연습은 기본적으로 공식 감사 전 연습 라운드입니다. 정책과 관행을 평가하고 프레임워크 내의 약점이나 위험을 식별할 수 있는 기회입니다.
- 4단계: 공식 감사
- 5단계: 인증 및 재인증
해당 인증 과정이 종료된후 감사인은 SOC2 인증을 위한 감사 보고서를 ACIPA측에 감사의견으로 제출합니다.
- Unqualified
통제 장치가 효과적으로 설계(유형 I)되고 작동(유형 II)된 것으로 보인다는 것을 나타냅니다. 적정의견이라고 해서 서비스 감사자가 식별한 문제/예외가 없다는 의미는 아닙니다.
문제가 있는 적격 보고서로서 통과된 것으로 평가받지만, 보고서를 읽는 최종 승인선에서는 강조된 문제에 세심한 주의를 기울이며 문제해결을 위한 조치를 취할 수 있습니다.
- Qualified
SOC 보고서가 한정된 의견과 함께 발행되면 이는 통제 또는 통제가 설계되지 않았거나(유형 I) 효과적으로 운영되지 않았음을 나타냅니다(유형 II). 적격 보고서는 보고서에서 식별된 문제가 하나 이상의 통제 수단이 효과적이지 않다고 판단할 만큼 중요하다는 것을 나타냅니다. 적격 보고서 의견은 실제로 매우 일반적이며 반대 의견이나 면책 의견만큼 심각한 것으로 간주되지 않습니다.
- Adverse
부정적인 의견은 조직이 하나 이상의 규정 준수 표준을 충족하지 못했다는 신호입니다. SOC 2 보고서에서 가장 낮은 의견으로 간주되는 부정적인 의견은 고객에게 조직의 시스템을 신뢰해서는 안 된다는 것을 알려줍니다.
- Disclaimer
면책 의견은 귀하의 조직이 감사자에게 충분한 정보를 제공하지 않았으며 귀하가 SOC 2를 준수하는지 여부에 대한 의견을 제시할 수 없음을 나타냅니다.
Share article