SOC 2란 무엇이며 IT가 필요할까요?

SOC 2는 System and Organization Controls 2(시스템 및 조직 통제 2)의 약자입니다. 이는 많은 소프트웨어, 클라우드, 비즈니스 서비스 회사들이 보안 및 관련 영역에 대한 통제 체계가 잘 설계되어 있으며, 경우에 따라서는 시간이 지나도 실제로 잘 작동하고 있다는 점을 보여주기 위해 사용하는 보고(리포팅) 프레임워크입니다.

SOC 2는 보통 동네 빵집, 소매점, 식당, 작은 사무실 정도로 운영만 하는 곳에서 ‘바로’ 필요로 하는 경우는 드뭅니다. 다만 고객 데이터가 저장되어 있거나, 소프트웨어를 호스팅하고 있거나, 다른 회사의 시스템을 지원하고 있거나, 영업이나 벤더(공급업체) 검토 과정에서 SOC 2 보고서를 요구받는다면 더 중요해집니다.

SOC 2를 위해 IT가 필요할까요? 보통은 ‘적어도 어느 정도’는 필요합니다. 외부 감사인과 컨설턴트를 쓰더라도 대부분의 사업체는 계정 보안, 장치 관리, 백업 점검, 문서화된 프로세스 같은 일상적인 기술 세팅과 지원이 여전히 필요합니다. 어떤 종류의 지원이 내 사업에 맞는지 이해하려면 저희의 답변 또는 서비스 페이지부터 시작해 보세요.

SOC 2는 사업자 허가(라이선스)가 아니며, 정부 인증도 아닙니다. 이는 Trust Services Criteria(신뢰 서비스 기준)와 관련된 통제들을 바탕으로 한 독립적인 감사(어드이트) 보고서로, 가장 흔하게는 ‘보안(Security)’이고 경우에 따라 ‘가용성(Availability)’, ‘처리 무결성(Processing Integrity)’, ‘기밀성(Confidentiality)’, ‘프라이버시(Privacy)’를 포함합니다.

쉬운 말로 하면, 사업체가 시스템을 보호하고 데이터를 책임 있게 처리하기 위해 규칙, 도구, 습관을 갖추고 있다는 점을 구조화된 방식으로 보여주는 것입니다. 예를 들어 누가 접근할 수 있는지, 노트북이 어떻게 잠금/보호되는지, 변경 사항이 어떻게 승인되는지, 백업은 어떻게 점검하는지, 사고가 생기면 어떻게 대응하는지 등을 포함할 수 있습니다.

사람들이 Type I과 Type II를 이야기하는 것을 들을 수 있습니다. Type I 보고서는 특정 시점에 통제가 적절하게 설계되어 있는지 봅니다. Type II 보고서는 해당 통제가 일정 기간 동안 실제로 운영되었는지 봅니다. 고객들은 보통 Type II를 선호하는데, 이는 ‘한 장의 스냅샷’이 아니라 일관성을 보여주기 때문입니다.

많은 소규모 및 중간 규모의 사업체에서는 고객이 SOC 2를 요구하기 때문에 SOC 2가 중요해지는 경우가 많습니다. 이는 소프트웨어 회사, 클라우드 기반 서비스, 외주 비즈니스 서비스, 의료 지원, 금융 서비스 지원, 그리고 민감한 고객 정보를 다루는 어떤 회사에서도 흔합니다.

더 큰 고객이 귀하의 사업체를 신뢰하여 데이터를 맡기는 상황이라면, 기본적인 보호 장치가 갖춰져 있다는 ‘증거’를 원할 수 있습니다. SOC 2는 신뢰를 쌓는 데 도움이 되고, 영업 대화, 벤더 승인, 계약 갱신에도 활용될 수 있습니다. 어떤 경우에는 SOC 2가 없으면 딜이 지연될 수도 있습니다.

그렇다고 해서 모든 사업체가 SOC 2 보고서를 필요로 하지는 않습니다. 어떤 곳은 더 나은 기본 IT 통제가 필요할 뿐일 수 있고, 어떤 곳은 보안 설문지를 작성해 답해야 할 수 있습니다. 업종과 주(州) 규정에 따라 먼저 다른 요구사항을 충족해야 하는 곳도 있습니다. HIPAA(Health Insurance Portability and Accountability Act, 의료보험 양도·책임에 관한 법)는 특정 의료 상황에 적용됩니다. PCI(대개 Payment Card Industry Data Security Standard, 결제 카드 산업 데이터 보안 표준을 의미)는 카드 결제를 처리하는 사업체에 적용됩니다. SOC 2는 이와 다릅니다.

기능적으로 잘 준비했는지 ‘현실적인 관점’에서 이해하도록 돕는 좋은 관리형 IT 제공업체(통상 MSP, managed services provider)를 통해 도움을 받을 수 있습니다. NodeBridge IT는 그 작업을 대신해 직접 수행하진 않습니다. 저희는 일반적인 교육을 제공하며, 유용하다면 무료 매칭 받기 절차를 통해 독립적인 관리형 IT 제공업체를 찾는 데 도움을 드릴 수 있습니다.

대부분의 경우, 예. SOC 2는 일상적인 IT 업무 전반에 영향을 줍니다. 단순히 ‘정책 문서’만의 문제가 아닙니다. 감사인들은 보통 사업체에 통제가 실제로 존재하며, 실제로 준수되고 있다는 것을 확인하고 싶어 합니다.

이에는 Multi-Factor Authentication(다중 요소 인증, MFA)이 포함되는 경우가 많습니다. MFA는 로그인 시 비밀번호만이 아니라 두 번째 단계가 필요하다는 뜻입니다. 소프트웨어와 장치 업데이트를 유지하는 ‘패치 적용’도 포함될 수 있습니다. 또, 엔드포인트 보호도 필요할 수 있는데, 여기서 엔드포인트는 귀하의 사업에 연결된 노트북, 데스크톱, 전화기, 서버 등 어떤 장치든 의미합니다. 그리고 EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응) 같은 도구를 사용해 해당 장치에서 수상한 활동을 탐지하는 데 도움을 받을 수 있습니다.

장치 인벤토리(자산 목록), 접근 검토, 백업 절차, 직원 온보딩/오프보딩, 기본 문서화도 필요할 수 있습니다. 관리형 IT 제공업체와 함께 일한다면, 장치의 상태와 정기 유지보수를 추적하기 위해 RMM(Remote Monitoring and Management, 원격 모니터링 및 관리)을 사용할 수도 있습니다. 일부 사업체는 정책 가이드, 예산 수립, 계획을 위해 vCIO(virtual Chief Information Officer, 가상 최고정보책임자)를 함께 활용하기도 합니다.

모든 회사가 한 번에 이 모든 것을 필요로 하진 않으며, 올바른 세팅은 귀하의 규모, 사용 시스템, 고객 기대 수준, 위험 수준에 따라 달라집니다. 정직한 어떤 제공업체도 ‘해킹이 불가능한 네트워크’나 ‘무중단(0 downtime)’을 약속해서는 안 됩니다. 목표는 위험을 줄이고, 일관성을 높이며, 고객과 감사에서 기대하는 ‘합리적인 수준’을 충족하도록 돕는 것입니다.

좋은 SOC 2 준비는 보통 ‘좋은 의미에서’ 꽤 지루합니다. 계정이 어떻게 생성되고 삭제되는지 사람들이 알고 있습니다. 장치가 추적됩니다. 업데이트가 일정에 따라 진행됩니다. 중요한 파일은 백업되고 테스트됩니다. 접근 권한은 필요한 사람들에게만 제한됩니다. 정책은 쉬운 말로 작성되어 실제로 사용됩니다.

또 좋은 준비란 ‘증거’를 보여줄 수 있다는 뜻도 포함됩니다. 예를 들어 MFA가 활성화되어 있음을 보여줄 수 있고, 보안 교육이 진행되었음을 확인할 수 있으며, 관리자 접근 권한이 제한되어 있고, 백업이 실행되었으며, 사고가 발생했다면 문서화되었을 것임을 말할 수 있습니다. 백업과 관련해 ‘3-2-1 백업’이라는 표현을 들을 수 있습니다. 이는 데이터를 3개의 사본으로 만들고, 2가지 유형의 저장장치에 저장하되, 1개의 사본은 오프사이트에 보관한다는 의미입니다.

고객이 SOC 2에 대해 묻는다면, 좋은 준비는 ‘일찍 시작’하는 것으로 보입니다. 많은 사업체가 큰 딜이 들어올 때까지 기다렸다가, 그때서야 몇 달치 정리(cleanup), 문서화, 프로세스 변경이 필요하다는 것을 깨닫곤 합니다. 꾸준히 진행하는 방식이 보통 더 쉽고, 덜 방해적입니다.

SOC 2 준비의 IT 측면 비용은 범위가 꽤 넓을 수 있습니다. 소규모 사업체는 월 몇 백 달러에서 수 천 달러 수준까지, 인원 규모, 장치 수, 보안 필요, 해당 영역에 따라 지속적인 관리형 IT 지원에 지출할 수 있습니다. 별도로 감사 관련 비용, 컨설팅 비용, 컴플라이언스 소프트웨어 비용, 법무 비용 등이 추가로 들 수 있습니다. 아래 내용은 견적이 아니라 ‘범위’입니다.

귀하의 사업체가 고객으로부터 “SOC 2가 있나요?”라는 말을 듣고 있다면, 다음 단계는 보통 당황부터 할 필요가 없습니다. 먼저 어떤 데이터를 다루는지, 고객이 무엇을 요구하는지, 그리고 이미 갖춘 통제가 무엇인지 파악하세요. 그다음 기본 IT 정리가 필요한지, 컴플라이언스(규정준수) 가이드가 필요한지, 정식 감사 진행 경로가 필요한지, 아니면 그 조합이 필요한지 결정하면 됩니다.

NodeBridge IT는 MSP(관리형 IT 제공업체)가 아니고, 감사인도 아니며, 보안 업체도 아닙니다. 저희는 시스템을 관리하거나 귀하의 계정을 대신 접근·관리하지 않습니다. 옵션 비교를 위한 지원이 필요하시면, 일반적인 교육용 정보를 제공하고 독립적인 관리형 IT 제공업체를 찾는 것도 도와드릴 수 있습니다. 더 알아보려면 서비스 페이지를 보시거나 매칭 받기로 시작하실 수 있습니다.