Day 25: SOC 2 (Service Organization Control 2)

1. SOC 2의 개요

1.1 정의 및 발행 기관

정식 명칭 : Service Organization Control 2
개념 : 서비스 제공 조직의 내부 통제를 평가하는 미국 감사 기준
발행 기관 : AICPA (American Institute of Certified Public Accountants, 미국공인회계사협회)
목적 : 클라우드 서비스, SaaS, 데이터센터 등 서비스 제공자의 보안 및 운영 통제 수준을 고객에게 입증

1.2 제정 배경

클라우드 컴퓨팅 급증으로 고객 데이터를 제3자(서비스 제공자)가 처리하는 환경 확대
고객이 서비스 제공자의 내부 통제 수준을 확인할 방법 필요
표준화된 평가 기준 요구

1.3 SOC 보고서 종류

AICPA는 3가지 SOC 보고서를 제공합니다.

SOC 1 : 재무 보고 내부 통제 (ICFR) 평가
- 재무제표에 영향을 미치는 통제
- 예 : 급여 처리 서비스
SOC 2 : 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호 통제 평가
- 기술 기반 서비스 제공자 대상
- 예 : 클라우드, SaaS, 호스팅
SOC 3 : SOC 2의 공개 요약본 (세부 내용 없이 결과만, 웹사이트 게시용)

1.4 SOC 2 vs ISO 27001

구분	SOC 2	ISO 27001
성격	감사 보고서	인증
발행 기관	AICPA (미국)	ISO/IEC (국제)
범위	서비스 제공자	모든 조직
평가 기준	TSC (5개 영역)	93개 통제항목
평가자	CPA (공인회계사)	인증 심사원
결과물	SOC 2 보고서	인증서
공개	비공개 (고객에게만)	공개 가능
유효 기간	보고서 기준일/기간	3년
인지도	미국 중심	전 세계

SOC 2 : 미국 시장 중심, 감사 보고서
ISO 27001 : 글로벌 표준, 인증서

1.5 SOC 2가 필요한 대상

SaaS 기업 (Salesforce, Slack, Zoom 등), 클라우드 서비스 (AWS, Azure, GCP), 호스팅/IDC, 데이터 센터, 결제 대행사(PG), 보안 서비스, HR/급여 아웃소싱

필요 이유 :

미국 고객 요구, B2B SaaS 고객 요구, 입찰 조건, 투자 유치 (VC/PE가 요구), 고객 신뢰 확보

2. Trust Services Criteria (TSC)

2.1 5개 Trust Services Categories

SOC 2는 5개 영역을 평가하며, Security는 필수, 나머지는 서비스에 따라 선택합니다.

Security (보안) — 필수
Availability (가용성) — 선택
Processing Integrity (처리 무결성) — 선택
Confidentiality (기밀성) — 선택
Privacy (개인정보 보호) — 선택

2.2 CC 1.0: Security (보안) — 필수

모든 SOC 2 보고서에 필수 포함됩니다.

CC1 : 통제 환경 (Control Environment)
- 조직의 보안 문화, 이사회 및 경영진의 감독, 조직 구조 및 책임, 역량 및 교육
CC2 : 커뮤니케이션 및 정보 (Communication and Information)
- 내부 의사소통, 외부 의사소통, 정보 품질 관리
CC3 : 위험 평가 (Risk Assessment)
- 위험 식별, 위험 분석, 위험 대응
CC4 : 모니터링 활동 (Monitoring Activities)
- 지속적 모니터링, 평가, 보고
CC5 : 통제 활동 (Control Activities)
- 논리적 및 물리적 접근 통제, 시스템 운영, 변경 관리
CC6 : 논리적 및 물리적 접근 통제 (Logical and Physical Access Controls)
- 사용자 인증, 권한 관리, 물리적 보안
CC7 : 시스템 운영 (System Operations)
- 시스템 모니터링, 백업 및 복구, 용량 관리
CC8 : 변경 관리 (Change Management)
- 변경 요청, 변경 승인, 변경 테스트, 변경 배포
CC9 : 위험 완화 (Risk Mitigation)
- 보안 사고 관리, 취약점 관리, 침입 탐지

2.3 A 1.0: Availability (가용성) — 선택

시스템이 합의된 수준으로 사용 가능함을 보장합니다.

주요 통제 :

가용성 목표(SLA) 설정, 용량 관리, 시스템 모니터링
백업 및 복구, 재해 복구(DR), 사고 대응

예시 : SaaS 업타임 99.9% 보장, 일일 1회 데이터 백업, 복구 시간 목표(RTO) 4시간

2.4 PI 1.0: Processing Integrity (처리 무결성) — 선택

시스템 처리가 완전하고, 유효하고, 정확하고, 시기적절하고, 승인됨을 보장합니다.

주요 통제 : 입력 검증, 처리 검증, 출력 검증, 오류 처리, 데이터 무결성

예시 : 결제 처리 시스템 거래 금액 정확성, 급여 계산 정확성, 이중 결제 방지

2.5 C 1.0: Confidentiality (기밀성) — 선택

기밀로 지정된 정보를 보호합니다.

주요 통제 :

데이터 분류, 암호화(저장/전송), 접근 통제, 데이터 폐기, NDA(비밀유지계약)

예시 : 고객 기밀 데이터 암호화, 영업 비밀 접근 제한, 퇴사자 데이터 접근 즉시 차단

2.6 P 1.0: Privacy (개인정보 보호) — 선택

개인정보 수집, 사용, 보유, 공개, 폐기 시 개인정보 보호를 보장합니다. GAPP (Generally Accepted Privacy Principles) 기반이며 GDPR, CCPA 등과 유사합니다.

주요 통제 :

동의(Notice and Consent), 선택 및 동의, 수집, 사용/보유/폐기, 접근, 제3자 공개, 품질, 모니터링 및 집행

3. SOC 2 보고서 유형

3.1 Type I vs Type II

구분	Type I	Type II
평가 기간	특정 날짜	최소 6개월
평가 내용	통제 설계 적절성	설계 + 운영 효과성
소요 시간	1 ~ 2개월	6개월 이상
비용	상대적으로 저렴	높음
고객 선호도	낮음	높음

Type I : 특정 날짜 기준으로 통제가 적절히 설계되었는지 확인
- 예 : “2024년 12월 31일 기준, 통제가 적절히 설계됨”
Type II : 일정 기간 동안 통제가 효과적으로 운영되었는지 확인 (대부분 Type II 선호)
- 예 : “2024년 7월 1일 ~ 12월 31일, 통제가 효과적으로 운영됨”

3.2 보고서 구성

SOC 2 Type II 보고서는 일반적으로 100 ~ 200 페이지로 구성됩니다.

Section I : 독립 감사인 보고서 (CPA 의견)
Section II : 경영진 주장 (Management’s Assertion) — 통제에 대한 경영진 설명
Section III : 시스템 설명 (서비스 개요, 인프라, 소프트웨어, 인력, 절차, 데이터)
Section IV : Trust Services Criteria (선택한 TSC 기준)
Section V : 통제 및 테스트 결과 (각 통제 설명, 감사인 테스트, 결과, 예외 사항)

예외 사항 (Exceptions) : 통제가 효과적이지 않았던 경우. 예외가 있어도 보고서 발행은 가능하지만 고객이 우려할 수 있습니다.

4. SOC 2 준비 및 감사 절차

4.1 준비 단계 (6 ~ 12개월)

Phase 1 — 스코핑 (1개월)
- 범위 결정 : 어떤 서비스, 어떤 시스템, 어떤 위치
- TSC 선택 : Security(필수) + Availability, PI, Confidentiality, Privacy (선택)
- 보고서 유형 결정 : Type I vs Type II
스코핑 예시 :
- 범위 : ABC SaaS 플랫폼
- 시스템 : 웹 애플리케이션, 데이터베이스, AWS 인프라
- 위치 : AWS us-east-1 리전
- TSC : Security + Availability
- 유형 : Type II (6개월)
Phase 2 — 레디니스 평가 (2 ~ 3개월)
- 현재 통제 수준 대비 TSC 요구사항 갭 분석
- 개선 과제 도출 및 로드맵 수립
Phase 3 — 통제 구현 (3 ~ 6개월)
- 정책 및 절차 수립 : 보안 정책, 접근 제어 정책, 변경 관리 절차, 사고 대응 절차
- 기술적 통제 : 접근 통제(SSO, MFA), 암호화, 로그 관리, 백업, 모니터링
- 물리적 통제 : 데이터센터 접근 통제, CCTV
- 관리적 통제 : 보안 교육, 배경 조사, 역할 및 책임
- 증적 수집 : 정책 문서, 회의록, 교육 기록, 로그, 스크린샷
Phase 4 — 사전 평가 (선택)
- 비공식 모의 감사
Phase 5 — 감사 준비 (1개월)
- CPA 선정, 감사 계획 수립, 증적 정리, 담당자 교육

4.2 감사 단계 (2 ~ 3개월)

계획 : 감사 범위 확인, 일정 조율, 샘플 선정 방법 협의
현장 작업 (2 ~ 4주) :
- 문서 검토 : 정책, 절차, 시스템 문서
- 인터뷰 : 경영진, IT·보안·인사팀
- 통제 테스트 : 일반적으로 25 ~ 40개 샘플 검증 (자동화된 통제는 샘플 적음)
- 시스템 검사 : 설정 확인, 로그 검토
보고서 작성 (4 ~ 6주) :
- 초안 작성 -> 경영진 검토 -> 예외 사항 논의 -> 최종 보고서 발행

4.3 감사 비용

레디니스 평가 : $10,000 ~ $30,000
SOC 2 Type I : $15,000 ~ $50,000
SOC 2 Type II : $25,000 ~ $100,000+

비용 변수 : 조직 규모, 시스템 복잡도, TSC 개수, 감사 회사

4.4 유지 관리

SOC 2는 일회성이 아닙니다. 대부분 매년 갱신이 필요합니다.

통제 모니터링 및 증적 지속 수집
정책 정기 업데이트

5. 주요 통제 영역 상세

5.1 논리적 접근 통제

고유 계정 부여, 공용 계정 금지
강력한 비밀번호 (최소 8자, 복잡성) + MFA (특히 관리자 계정)
최소 권한 원칙, RBAC (역할 기반 접근 제어)
분기 1회 사용자 접근 권한 검토 및 불필요 권한 회수
신규 입사자 즉시 계정 생성, 퇴사자 즉시 계정 비활성화

테스트 예시 : 감사인이 25명의 퇴사자 샘플을 선정하여 계정이 당일 비활성화되었는지 확인

5.2 변경 관리

변경 요청 문서화 -> 변경 승인 (CAB : Change Advisory Board) -> 변경 테스트 -> 변경 배포 -> 변경 로그 유지

테스트 예시 : 감사인이 25개 변경 건을 샘플링하여 승인·테스트 증적 확인

5.3 백업 및 가용성

정기 백업 (일일, 주간) 및 복구 테스트 수행
오프사이트 백업
BCP/DR 계획 수립 : RTO (Recovery Time Objective), RPO (Recovery Point Objective) 정의
연 1회 BCP/DR 테스트

5.4 로그 관리

애플리케이션, 시스템, 접근, 보안 로그 수집
최소 1년 보관, 위변조 방지 (별도 로그 서버)
정기 검토 (주간 또는 월간)

5.5 취약점 관리

분기 1회 이상 취약점 스캔
중요 패치 30일 이내 적용, 패치 로그 유지
연 1회 이상 침투 테스트 (외부 전문 업체)

5.6 사고 관리

사고 대응 계획 수립 (사고 정의, 대응 절차, 담당자, 고객 통지 절차)
연 1회 이상 모의 훈련
사고 로그 유지 및 사후 분석

5.7 인적 보안

채용 시 배경 조사 (경력 확인, 신원 조회)
신규 입사자 즉시 보안 교육, 연 1회 전 직원 교육
입사 시 NDA (비밀유지계약) 서명, 보안 위반 시 징계 절차

5.8 물리적 접근 통제

데이터센터 출입 통제 (카드, 생체인증), 방문자 관리 (동행, 로그), CCTV (24시간 녹화)

클라우드 환경에서의 처리 방법 :
- Carve-out : 클라우드 제공자의 물리적 통제는 별도로 분리 (클라우드 제공자의 SOC 2 보고서 참조)
- Inclusive : 클라우드 제공자의 통제를 본인 보고서에 포함

5.9 공급업체 관리

공급업체 보안 수준 평가 (SOC 2, ISO 27001 등 인증 확인)
계약 내 보안 조항 및 SLA 포함
연 1회 공급업체 재평가

6. 보안 컨설팅 실무 시사점

6.1 SOC 2 컨설팅 프로세스 (총 7 ~ 12개월)

Phase 1 — 레디니스 평가 (2 ~ 3개월) : 스코핑, 갭 분석, 로드맵 수립
Phase 2 — 통제 구현 지원 (3 ~ 6개월) : 정책·절차 작성, 기술적 통제 구현, 증적 수집 가이드, 모의 감사
Phase 3 — 감사 대응 지원 (2 ~ 3개월) : CPA 선정 지원, 인터뷰 준비, 증적 제출 지원

6.2 SOC 2 vs ISO 27001 선택 기준

상황	권장
미국 고객 중심	SOC 2
글로벌 고객	ISO 27001
B2B SaaS	SOC 2
VC 투자 유치 (미국)	SOC 2
입찰 (미국)	SOC 2
입찰 (유럽/아시아)	ISO 27001

대기업은 SOC 2 + ISO 27001 모두 취득하는 경우가 많으며, 중복 부분이 많아 효율적입니다.

6.3 SOC 2 준비 팁

일찍 시작 : 최소 1년 전 준비 (Type II는 6개월 운영 증적 필요)
자동화 적용 : IaC(Infrastructure as Code), 자동화된 접근 제어, 자동화된 백업 => 통제 일관성 확보 및 증적 수집 용이
증적 수집 체계화 : 문서 관리 시스템, 스크린샷·로그 자동 수집
스코프 최소화 : 초기에는 핵심 서비스만 포함 (범위가 넓으면 비용·시간 증가)
경험 많은 CPA 선택 : SOC 2 경험이 풍부한 감사 회사 선정

7. SOC 2 보고서 읽는 법 (고객 관점)

7.1 서비스 이용자가 확인할 사항

보고서 유형 : Type II 선호 (Type I은 운영 증적 없음)
보고서 기간 : 최소 6개월 이상, 최근 1년 이내 보고서
TSC : Security 필수, 서비스에 따라 Availability, PI 등 추가 확인
예외 사항 (Exceptions) : 예외가 많으면 문제, 예외의 심각성 평가
범위 (Scope) : 내가 사용하는 서비스가 포함되었는지 확인
서브서비스 조직 : Carve-out인 경우 클라우드 제공자(AWS, Azure 등)의 SOC 2 별도 확인

7.2 레드 플래그 (Red Flags)

Type I만 제공 (Type II 없음)
보고서가 2년 이상 오래됨
예외 사항 10개 이상
중요 통제 누락 (예 : MFA 없음)
범위가 너무 좁음

8. 실무 체크리스트

조직 및 관리

보안 책임자를 지정했는가?
보안 정책을 수립했는가?
연 1회 위험 평가를 수행하는가?

접근 통제

모든 사용자에게 고유 계정을 부여하는가?
MFA 를 사용하는가? (특히 관리자)
강력한 비밀번호 정책이 있는가?
분기 1회 접근 권한을 검토하는가?
퇴사자 계정을 즉시 비활성화하는가?

물리적 보안

데이터센터 출입을 통제하는가?
CCTV를 설치했는가?

시스템 운영

변경 관리 절차가 있는가?
변경을 승인·테스트하는가?
정기 백업을 수행하는가?
백업 복구 테스트를 하는가?

로그 관리

로그를 1년간 보관하는가?
정기적으로 로그를 검토하는가?

취약점 관리

분기 1회 취약점 스캔을 하는가?
중요 패치를 30일 이내 적용하는가?
연 1회 침투 테스트를 하는가?

사고 관리

사고 대응 계획이 있는가?
연 1회 모의 훈련을 하는가?

인적 보안

채용 시 배경 조사를 하는가?
연 1회 보안 교육을 실시하는가?
NDA를 체결하는가?

재해 복구

BCP/DR 계획이 있는가?
연 1회 BCP/DR 테스트를 하는가?

학습 정리

SOC 2 : 미국 서비스 조직의 내부 통제 감사 기준, AICPA 발행, CPA가 감사
TSC 5개 영역 : Security (필수), Availability, Processing Integrity, Confidentiality, Privacy (선택)
Type I (특정 시점 설계 적절성) vs Type II (최소 6개월 운영 효과성) — Type II 선호
보고서는 비공개 (고객에게만 제공), 예외 사항이 있어도 보고서 발행 가능
주요 통제 : 접근 제어 (MFA 필수), 변경 관리, 백업, 로그, 취약점 관리, 사고 대응
준비 기간 : 6 ~ 12개월
비용 : Type II 기준 $25,000 ~ $100,000+
미국 시장 중심, B2B SaaS 및 투자 유치 시 필수
ISO 27001과 병행 인증 가능 (중복 부분 많아 효율적)
레드 플래그 : Type I만 보유, 보고서 2년 이상 경과, 예외 10개 이상, 범위 너무 좁음

다음 학습 주제

NIST Cybersecurity Framework (미국 사이버보안 프레임워크)
보안 프레임워크 및 방법론

Day 25: SOC 2 (Service Organization Control 2)#

1. SOC 2의 개요#

1.1 정의 및 발행 기관#

1.2 제정 배경#

1.3 SOC 보고서 종류#

1.4 SOC 2 vs ISO 27001#

1.5 SOC 2가 필요한 대상#

2. Trust Services Criteria (TSC)#

2.1 5개 Trust Services Categories#

2.2 CC 1.0: Security (보안) — 필수#

2.3 A 1.0: Availability (가용성) — 선택#

2.4 PI 1.0: Processing Integrity (처리 무결성) — 선택#

2.5 C 1.0: Confidentiality (기밀성) — 선택#

2.6 P 1.0: Privacy (개인정보 보호) — 선택#

3. SOC 2 보고서 유형#

3.1 Type I vs Type II#

3.2 보고서 구성#

4. SOC 2 준비 및 감사 절차#

4.1 준비 단계 (6 ~ 12개월)#

4.2 감사 단계 (2 ~ 3개월)#

4.3 감사 비용#

4.4 유지 관리#

5. 주요 통제 영역 상세#

5.1 논리적 접근 통제#

5.2 변경 관리#

5.3 백업 및 가용성#

5.4 로그 관리#

5.5 취약점 관리#

5.6 사고 관리#

5.7 인적 보안#

5.8 물리적 접근 통제#

5.9 공급업체 관리#

6. 보안 컨설팅 실무 시사점#

6.1 SOC 2 컨설팅 프로세스 (총 7 ~ 12개월)#

6.2 SOC 2 vs ISO 27001 선택 기준#

6.3 SOC 2 준비 팁#

7. SOC 2 보고서 읽는 법 (고객 관점)#

7.1 서비스 이용자가 확인할 사항#

7.2 레드 플래그 (Red Flags)#

8. 실무 체크리스트#

조직 및 관리#

접근 통제#

물리적 보안#

시스템 운영#

로그 관리#

취약점 관리#

사고 관리#

인적 보안#

재해 복구#

학습 정리#

다음 학습 주제#

Day 25: SOC 2 (Service Organization Control 2)

1. SOC 2의 개요

1.1 정의 및 발행 기관

1.2 제정 배경

1.3 SOC 보고서 종류

1.4 SOC 2 vs ISO 27001

1.5 SOC 2가 필요한 대상

2. Trust Services Criteria (TSC)

2.1 5개 Trust Services Categories

2.2 CC 1.0: Security (보안) — 필수

2.3 A 1.0: Availability (가용성) — 선택

2.4 PI 1.0: Processing Integrity (처리 무결성) — 선택

2.5 C 1.0: Confidentiality (기밀성) — 선택

2.6 P 1.0: Privacy (개인정보 보호) — 선택

3. SOC 2 보고서 유형

3.1 Type I vs Type II

3.2 보고서 구성

4. SOC 2 준비 및 감사 절차

4.1 준비 단계 (6 ~ 12개월)

4.2 감사 단계 (2 ~ 3개월)

4.3 감사 비용

4.4 유지 관리

5. 주요 통제 영역 상세

5.1 논리적 접근 통제

5.2 변경 관리

5.3 백업 및 가용성

5.4 로그 관리

5.5 취약점 관리

5.6 사고 관리

5.7 인적 보안

5.8 물리적 접근 통제

5.9 공급업체 관리

6. 보안 컨설팅 실무 시사점

6.1 SOC 2 컨설팅 프로세스 (총 7 ~ 12개월)

6.2 SOC 2 vs ISO 27001 선택 기준

6.3 SOC 2 준비 팁

7. SOC 2 보고서 읽는 법 (고객 관점)

7.1 서비스 이용자가 확인할 사항

7.2 레드 플래그 (Red Flags)

8. 실무 체크리스트

조직 및 관리

접근 통제

물리적 보안

시스템 운영

로그 관리

취약점 관리

사고 관리

인적 보안

재해 복구

학습 정리

다음 학습 주제