규정 준수 SOC 1 vs SOC 2 vs SOC 3 이해

by

규정 준수는 기업 성장의 필수적인 요소입니다.

만약 당신이 SaaS 기업을 운영하며, 중견 기업 고객을 대상으로 한다면, 관련 법규를 준수하고 회사의 보안을 강화하는 것이 중요합니다.

많은 조직들이 보안 관련 질문을 통해 이러한 요건들을 피하려 하지만, 이는 적절한 대응이 아닙니다.

고객이 SOC 인증서를 요구할 때, 규정 준수의 중요성을 절실히 깨닫게 됩니다.

SOC(Service Organization Control) 규정 준수는 조직이 특정 통제 기준을 충족함을 입증하는 제3자 감사를 통해 발급되는 인증입니다. 이는 공급망 및 사이버 보안 영역에도 적용됩니다.

미국 공인회계사협회(AICPA)는 2010년 4월 SAS 70을 개정하여 SSAE 16(Attestation Standards for Attestation Engagements)이라는 새로운 감사 표준을 발표했습니다.

SSAE 16 감사와 함께 서비스 조직의 통제를 평가하기 위해 3가지 종류의 보고서가 도입되었는데, 이것이 바로 SOC 보고서입니다. SOC 보고서는 각각 다른 목적을 가진 SOC 1, SOC 2, SOC 3 보고서로 구성됩니다.

본 글에서는 각 SOC 보고서의 내용과 적용 분야, 그리고 IT 보안에 미치는 영향에 대해 자세히 알아보겠습니다.

자, 함께 살펴보시죠!

SOC 보고서란 무엇인가?

SOC 보고서는 기업에게 비용과 시간 면에서 경쟁 우위를 가져다줄 수 있는 중요한 요소입니다. 제3자 독립 감사인을 통해 다음과 같은 기업의 다양한 측면을 검증합니다.

  • 효율성
  • 기밀성
  • 개인 정보 보호
  • 처리 무결성
  • 보안
  • 사이버 보안 관련 통제
  • 재무 보고 관련 통제

SOC 보고서는 잠재적 서비스 제공자가 법규를 준수하고 윤리적으로 운영되는지 확인하는 데 도움이 됩니다. 감사가 다소 까다로울 수 있지만, 높은 수준의 보안과 신뢰를 제공합니다. 또한 서비스 제공자의 신뢰성을 높이는 데 크게 기여합니다.

SOC 보고서는 다음과 같은 상황에서 유용하게 활용될 수 있습니다:

  • 공급업체 관리 프로그램
  • 조직 감독
  • 규제 감독
  • 위험 관리 프로세스 및 내부 거버넌스

SOC 보고서가 필요한 이유는 무엇인가?

데이터 센터, SaaS 제공업체, 대출 서비스 회사, 결제 처리 업체 등 많은 서비스 조직이 SOC 감사를 받아야 합니다. 이러한 기업은 고객의 재무 정보나 민감한 데이터를 보관해야 하기 때문입니다.

따라서 다른 회사나 사용자에게 서비스를 제공하는 기업이라면 SOC 감사를 받을 필요가 있습니다. SOC 보고서는 회사의 합법성을 보여줄 뿐만 아니라, 평가 과정에서 통제 결함이나 고객의 취약점을 발견하는 데도 도움이 됩니다.

SOC 평가에서 기대할 수 있는 점은 무엇인가?

SOC 평가를 시작하기 전에, 조직에 가장 적합한 SOC 보고서 유형을 결정해야 합니다. 준비성 평가를 통해 공식적인 절차가 시작됩니다.

서비스 조직은 잠재적인 위험 요소, 격차, 결함 등을 파악하여 감사를 준비합니다. 이를 통해 조직은 이러한 결함과 취약점을 수정할 수 있는 방법을 모색할 수 있습니다.

누가 SOC 감사를 수행할 수 있는가?

SOC 감사는 독립된 공인회계사(CPA) 또는 회계 법인에서 수행합니다.

AICPA는 SOC 감사인의 업무를 규제하기 위한 전문 표준을 설정합니다. 또한 조직은 실행, 계획 및 감독에 관한 특정 지침을 따라야 합니다.

모든 AICPA 감사는 동료 검토를 거칩니다. CPA 조직이나 법인은 SOC 감사를 준비하기 위해 정보 기술 및 보안 기술을 갖춘 비CPA 전문가를 고용하기도 합니다. 다만 최종 보고서는 CPA가 확인하고 공개해야 합니다.

각 보고서의 작동 방식을 이해하기 위해 개별적으로 자세히 살펴보겠습니다.

SOC 1이란 무엇인가?

SOC 1의 주요 목표는 SOC 1 문서 내에서 목표를 제어하고 사용자의 재무제표 감사와 관련된 내부 통제의 프로세스 영역을 규정하는 것입니다.

간단히 말해, 조직의 서비스가 사용자의 재무 보고에 어떤 영향을 미치는지를 보여줍니다.

SOC 1 보고서란 무엇인가?

SOC 1 보고서는 재무 보고에 대한 사용자 엔터티의 통제에 적용 가능한 서비스 조직 통제를 결정합니다. 사용자의 요구를 충족하도록 설계되었으며, 회계사는 서비스 조직 내부 통제의 효율성을 평가합니다.

SOC 1 보고서에는 두 가지 유형이 있습니다.

  • SOC 1 유형 1: 이 보고서는 일반적으로 서비스 조직의 시스템에 초점을 맞추고, 특정 시점에 제어 목표를 달성하기 위한 시스템 제어의 적합성을 확인합니다.

SOC 1 유형 1 보고서는 감사인, 관리자 및 사용자 엔터티로만 제한되며, 일반적으로 모든 서비스 제공업체가 해당됩니다. 서비스 감사인은 SSAE 16의 모든 요구 사항을 다루는 보고서를 결정합니다.

  • SOC 1 유형 2: 이 보고서는 SOC 1 유형 1 보고서와 유사한 의견 및 분석을 제공하지만, 특정 기간 동안 모든 통제 목표를 달성하도록 설계된 사전 설정된 통제의 효율성에 대한 의견을 포함합니다.

SOC 1 유형 2 보고서에서 통제 목표는 내부 통제가 완화하려는 잠재적 위험과 연결됩니다. 범위에는 관련 통제 영역이 포함되며, 합리적인 보증을 제공합니다. 또한 승인되고 적절한 조치만 수행해야 함을 명시합니다.

SOC 1의 목적은 무엇인가?

앞서 언급했듯이 SOC 1은 재무 보고 전반에 걸쳐 내부 통제를 다루는 서비스 조직 통제 시리즈의 첫 번째 부분입니다. 파트너 및 고객의 재무 데이터와 직접 상호 작용하는 기업에 적용됩니다.

따라서 사용자 재무 제표를 저장하고 전송하여 조직의 상호 작용을 보호합니다. SOC 1 보고서는 투자자, 고객, 감사인 및 경영진이 AICPA 지침 내에서 재무 보고에 대한 내부 통제를 평가하는 데 도움이 됩니다.

SOC 1 규정 준수를 유지하는 방법은 무엇인가?

SOC 1 규정 준수는 정의된 기간 동안 SOC 1 보고서에 포함된 모든 SOC 1 통제를 관리하는 프로세스를 정의합니다. 이는 SOC 1 규칙 운영의 효율성을 보장합니다.

통제는 일반적으로 IT 통제, 비즈니스 프로세스 통제 등을 포함하며, 통제 목표를 기반으로 합리적인 보증을 제공하는 데 사용됩니다.

SOC 2란 무엇인가?

AICPA에서 개발한 SOC 2는 신뢰할 수 있는 서비스를 제공하기 위한 5가지 원칙에 따라 고객 정보를 제어하거나 관리하는 기준을 정의합니다. 이 원칙은 다음과 같습니다.

  • 가용성: 재해 복구, 보안 사고 처리 및 성능 모니터링이 포함됩니다.
  • 개인 정보 보호: 암호화, 이중 인증(2FA) 및 접근 제어가 포함됩니다.
  • 보안: 침입 탐지, 이중 인증, 네트워크 또는 애플리케이션 방화벽이 포함됩니다.
  • 기밀성: 접근 제어, 암호화 및 애플리케이션 방화벽이 포함됩니다.
  • 처리 무결성: 처리 모니터링 및 품질 보증이 포함됩니다.

SOC 2는 PCI DSS와 달리 엄격한 요구 사항 때문에 모든 조직에 고유합니다. 특정 비즈니스 관행을 통해 모든 설계는 여러 신뢰 원칙을 준수하도록 통제할 수 있습니다.

SOC 2 보고서란 무엇인가?

SOC 2 보고서를 통해 서비스 조직은 보고서를 받고 이해 관계자와 공유하여 IT 제어 상황을 설명할 수 있습니다.

SOC 2 보고서에는 두 가지 유형이 있습니다.

  • SOC 2 유형 1: 공급업체 시스템을 설명하고 공급업체의 설계가 신뢰 원칙을 충족하는 데 적합한지 여부를 알려줍니다.
  • SOC 2 유형 2: 공급업체 시스템의 운영 효율성에 대한 세부 정보를 공유합니다.

SOC 2는 정의된 요구 사항이 없기 때문에 정보 보안 프레임워크 및 표준과 관련하여 조직마다 다릅니다. AICPA는 서비스 조직이 제공되는 서비스를 보호하기 위해 마련한 통제를 입증하기 위해 선택하는 기준을 제공합니다.

SOC 2의 목적은 무엇인가?

SOC 2를 준수한다는 것은 조직이 높은 정보 보안 수준을 제어하고 유지한다는 것을 의미합니다. 엄격한 규정 준수를 통해 조직은 중요한 정보를 안전하게 보호할 수 있습니다.

SOC 2를 준수함으로써 얻을 수 있는 이점은 다음과 같습니다.

  • 조직이 사이버 공격 및 보안 침해로부터 스스로를 보호하는 향상된 데이터 보안 관행.
  • 고객은 특히 클라우드 및 IT 서비스에 대해 견고한 데이터 보안 관행을 갖춘 서비스 제공업체와 협력하고자 하므로 경쟁 우위를 확보할 수 있습니다.

조직에서 처리하는 데이터 및 자산의 무단 사용을 제한합니다. 보안 원칙에 따라 조직은 악의적인 공격, 오용, 회사 정보의 무단 공개 또는 변경, 무단 데이터 삭제로부터 데이터를 보호하기 위해 접근 제어를 추가해야 합니다.

SOC 2 규정 준수를 유지하는 방법은 무엇인가?

SOC 2 규정 준수는 조직이 고객 정보를 관리하는 방법을 정의하는 AICPA에서 개발한 자발적 표준입니다. 이 표준은 5가지 신뢰 서비스 기준(보안, 처리 무결성, 기밀성, 개인 정보 보호 및 가용성)으로 구성됩니다.

SOC 규정 준수는 모든 조직의 요구 사항에 맞게 조정됩니다. 비즈니스 관행에 따라 조직은 하나 이상의 신뢰 서비스 원칙을 따라야 하는 설계 제어를 선택할 수 있습니다. DDoS 보호, 로드 밸런싱, 공격 분석, 웹 애플리케이션 보안, CDN을 통한 콘텐츠 전달 등 모든 서비스로 확대 적용됩니다.

간단히 말해서 SOC 2 규정 준수는 특정 도구나 프로세스, 제어 목록이 아닙니다. 대신 정보 보안을 유지하는 데 필요한 기준을 제시합니다. 이를 통해 각 조직은 운영 및 목표에 가장 적합한 프로세스와 관행을 채택할 수 있습니다.

다음은 기본적인 SOC 2 준수 체크리스트입니다:

  • 접근 제어
  • 시스템 운영
  • 위험 완화
  • 변경 관리

SOC 3이란 무엇인가?

SOC 3은 AICPA가 데이터 센터 및 클라우드 보안에 대한 서비스 조직의 내부 통제 강도를 정의하기 위해 개발한 감사 절차입니다. SOC 3 프레임워크 또한 다음을 포함하는 신뢰 서비스 기준을 기반으로 합니다.

  • 보안: 시스템 및 정보는 무단 공개, 무단 접근 및 시스템 손상으로부터 안전하게 보호됩니다.
  • 프로세스 무결성: 시스템 처리는 기업의 요구를 충족하기 위해 유효하고 정확하며 승인되고 시기 적절하고 완전하게 이루어집니다.
  • 가용성: 시스템과 정보는 기업의 요구를 충족하기 위해 사용 및 운영할 수 있어야 합니다.
  • 개인 정보 보호: 개인 정보는 기업의 요구 사항을 충족하기 위해 사용, 공개, 폐기, 보유 및 수집되어야 합니다.
  • 기밀성: 중요 정보로 지정된 정보는 기업의 요구 사항을 충족하도록 보호해야 합니다.

SOC 3의 도움으로 서비스 조직은 고객에게 제공하는 서비스에 적용되는 이러한 신뢰 서비스 기준을 결정합니다. 또한 표준 선언문에서 추가 보고, 성능 요구 사항 및 적용 지침을 확인할 수 있습니다.

SOC 3 보고서란 무엇인가?

SOC 3 보고서는 SOC 2와 동일한 정보를 포함하지만, 대상이 다릅니다. SOC 3 보고서는 일반 대중만을 대상으로 합니다. 따라서 보고서는 짧고 SOC 2 보고서와 동일한 데이터를 정확하게 포함하지 않습니다. 이해 관계자와 정보를 원하는 사용자에게 적합하도록 제작되었습니다.

SOC 3 보고서는 일반적인 내용이기 때문에 회사 웹사이트에서 준수를 나타내는 인증서와 함께 신속하게 공개적으로 공유할 수 있습니다. 이는 국제 회계 표준에 보조를 맞추는 데 도움이 됩니다.

예를 들어, AWS는 SOC 3 보고서의 공개 다운로드를 허용합니다.

SOC 3의 목적은 무엇인가?

회사, 특히 소규모 기업이나 신생 기업은 일반적으로 내부에서 특정 필수 서비스를 제어하거나 유지 관리할 충분한 리소스가 없습니다. 따라서 이러한 회사는 해당 서비스를 위한 새 부서를 만드는 데 추가 비용이나 노력을 투자하는 대신, 타사 제공업체에 서비스를 아웃소싱하는 경우가 많습니다.

아웃소싱이 더 나은 선택이 될 수 있지만 위험할 수도 있습니다. 그 이유는 조직이 아웃소싱을 선택하는 서비스에 따라 고객 데이터나 민감한 정보를 타사 제공업체와 공유해야 하기 때문입니다.

그러나 조직은 SOC 3 준수를 입증한 공급업체와만 파트너십을 맺어야 합니다.

SOC 3 준수는 SSAE 18의 AT-C 섹션 205 및 AT-C 섹션 105를 기반으로 합니다. 여기에는 독립적인 경영진 설명 및 감사 보고서에 대한 기본 정보가 포함됩니다. PaaS, IaaS, SaaS 제공업체를 포함하여 클라우드에 고객 정보를 저장하는 모든 서비스 제공업체에 적용됩니다.

SOC 3 규정 준수를 유지하는 방법은 무엇인가?

SOC 3은 SOC 2의 후속 버전이므로 감사 절차는 동일합니다. 서비스 감사인은 다음과 같은 정책 및 통제를 평가합니다.

감사가 완료되면 감사인은 결과를 기반으로 보고서를 생성합니다. 그러나 SOC 3 보고서는 대중에게 필요한 정보만 공유하기 때문에 훨씬 덜 자세합니다. 서비스 조직은 최종 감사를 완료한 후 마케팅 목적으로 결과를 자유롭게 공유하며, 감사를 통과하는 데 필요한 사항을 명확히 합니다. 따라서 서비스 조직은 다음 사항을 수행하는 것이 좋습니다.

  • 통제를 신중하게 선택하십시오.
  • 통제 내의 격차를 식별하기 위한 평가를 수행하십시오.
  • 정기적인 활동을 파악하십시오.
  • 사고 발생 시 경고를 위한 다음 단계를 설명하십시오.
  • 최종 감사를 수행할 자격을 갖춘 서비스 감사인을 찾으십시오.

이제 각 규정 준수 유형을 어느 정도 이해했으므로 세 가지 유형의 차이점을 이해하여 모든 회사가 시장에서 경쟁력을 갖도록 돕는 방법을 알아보겠습니다.

SOC 1 vs SOC 2 vs SOC 3: 차이점

다음 표는 각 SOC 보고서의 목적과 이점을 설명합니다.

SOC 1 SOC 2 SOC 3
설명 테스트 절차 및 결과를 포함하여 유형 1 설계 및 유형 2 설계 또는 운영에 대한 의견을 제공합니다. 결과 및 절차를 포함하여 조직 운영에 대한 파트너의 요구 사항을 해결하기 위한 단일 결과물입니다. SOC 2 준수와 유사하지만 정보가 적습니다. 여기에는 테스트 절차, 결과 또는 통제가 포함되지 않습니다.
주요 내용 재무 보고와 관련된 내부 통제에 필수적인 요구 사항을 통제합니다. 비재무 통제는 주제에 필수적인 5가지 신뢰 원칙으로 평가됩니다. 또한 5가지 신뢰 서비스 기준에 따릅니다. 5가지 신뢰 서비스 기준에 따릅니다.
배포 대상 고객 및 감사자에 대한 제한적인 배포 제한적인 배포. 규제 기관, 고객 및 감사자는 보고서에 정의되어 있습니다. 고객 마케팅을 지원합니다. 무제한 배포
투명성 시스템의 설명, 제어, 절차 및 결과에 대한 투명성을 유지합니다. 마케팅 혜택에 대한 보고서의 SOC 1 일반 배포와 정확히 유사한 수준의 투명성을 제공합니다. 재무 통제에 중점을 둡니다.
중점 사항 재무 통제에 중점을 둡니다. 운영 통제에 중점을 둡니다. SOC 2와 유사하지만 정보가 적습니다.
추가 정보 서비스 조직의 시스템에 대해 설명합니다. 또한 서비스 조직의 시스템에 대해서도 설명합니다. 이는 기업의 적절한 통제에 대한 CPA의 의견을 설명합니다. 내부 제어를 보고합니다.
세부 사항 가용성, 개인 정보 보호, 기밀성, 처리 무결성 및 보안 제어를 보고합니다. SOC 2와 유사하게 사용자 컨트롤러의 사무실 및 사용자 감사자는 SOC 1을 사용합니다. NDA에 따라 규제 기관, 경영진 등이 공유합니다.
공개 여부 대부분의 감사자는 ‘알아야 할 사항’입니다. 대부분의 이해 관계자와 고객은 ‘알아야 할 사항’입니다. 일반에 공개됩니다.
예시 예: 의료 청구 처리자. 예: 클라우드 스토리지 회사. 예: 공기업.

결론

어떤 SOC 규정 준수가 조직에 가장 적합할지 결정하려면 처리 중인 정보 유형이 고객 데이터인지, 귀하의 데이터인지 먼저 파악해야 합니다.

급여 처리 서비스를 제공하는 경우 SOC 1을 사용하는 것이 적합하며, 고객 데이터를 처리하거나 호스팅하는 경우 SOC 2 보고서가 필요할 수 있습니다. 마케팅 목적으로 좀 더 비공식적인 규정 준수가 필요한 경우에는 SOC 3 보고서를 사용하는 것이 좋습니다.