SOC 1과 SOC 2란 무엇인가?
2024 Verizon Data Breach Investigations Report에 따르면, 서드파티 벤더가 이제 데이터 유출의 62%를 유발하고 있으며, IBM의 2024 Cost of a Data Breach Report에 따르면 평균 서드파티 유출 비용은 476만 달러에 달합니다. 벤더가 어떤 SOC 보고서가 필요한지 물을 때, 귀하의 답변은 전체 벤더 위험 평가 프로세스를 결정합니다.
SOC 1과 SOC 2는 SSAE No. 18 인증 기준에 따라 공인회계사가 발행하는 독립적인 감사 보고서입니다. 두 보고서 모두 서비스 조직의 내부 통제를 평가하지만, 목적이 다릅니다. AICPA에 따르면, SOC 1은 "사용자 조직의 재무보고 내부 통제와 관련될 가능성이 있는 서비스 조직의 통제"를 검토합니다. 이 보고서는 벤더의 통제가 GAAP 기준에 따라 귀하의 재무제표 정확성에 실질적으로 영향을 미칠 수 있는지에만 초점을 맞춥니다.
SOC 2는 보안 및 운영 통제를 다룹니다. AICPA는 SOC 2를 "보안, 가용성, 처리 무결성, 기밀성 또는 프라이버시와 관련된 서비스 조직의 통제에 대한 보고서"로 정의합니다. 민감한 고객 데이터를 저장, 처리 또는 전송하는 벤더를 평가할 때 SOC 2 보고서가 필요합니다.
.jpg)
SOC 1과 SOC 2 이해: Type I과 Type II의 구분
SOC 1과 SOC 2 중 선택 외에도, 어떤 보고서 유형이 필요한지 명확히 해야 합니다. SOC 1과 SOC 2 모두 두 가지 유형이 있습니다. Type I 보고서는 특정 시점의 통제 설계를 평가합니다. Type II 보고서는 6~12개월 동안의 설계 적합성과 운영 효과성을 모두 평가합니다.
중요 공급업체에 대한 벤더 위험 평가를 수행할 때, Type II 보고서는 지속적인 통제 운영을 입증하므로 단순한 이론적 적합성만을 보여주는 Type I보다 훨씬 더 높은 신뢰를 제공합니다. 엔터프라이즈 고객은 조달 승인 전에 벤더가 적절한 데이터 프라이버시 및 보안 조치를 입증할 것을 점점 더 요구하고 있어, Type II 인증은 엔터프라이즈 시장을 대상으로 하는 SaaS 및 기술 벤더에게 사실상 필수 요건이 되었습니다.
SOC 1 보고서가 필요한 경우
이제 보고서 유형을 이해했다면, 다음 질문은 어떤 프레임워크가 귀하의 벤더 관계에 적용되는지입니다. 벤더가 귀하의 재무제표에 영향을 미치는 거래를 처리할 경우 SOC 1 Type II 보고서를 요청하십시오. AICPA에 따르면, SOC 1 검토는 "사용자 조직의 재무보고 내부 통제와 관련될 가능성이 있는 통제"를 평가합니다.
SOC 1 Type II 인증이 요구되는 일반적인 시나리오는 다음과 같습니다:
- 일반 원장 항목을 생성하는 급여 처리업체
- ASC 606 준수 계산을 수행하는 수익 인식 플랫폼
- 수익 항목에 영향을 미치는 청구 시스템
- 이자 계산을 관리하는 대출 서비스 플랫폼
- 이연 보상을 처리하는 복리후생 관리자
외부 감사인은 감사 기간 동안 Sarbanes-Oxley 준수를 위해 아웃소싱된 재무 프로세스가 적절한 통제를 유지하는지 검증하기 위해 이러한 보고서를 필요로 합니다.
SOC 2 보고서가 필요한 경우
SOC 1이 재무보고 통제를 다루는 반면, 대부분의 벤더 위험 평가는 데이터 보안에 초점을 맞춥니다. 서비스 조직이 고객 데이터를 처리할 경우 SOC 2가 필요합니다. 클라우드 제공업체, SaaS 애플리케이션, 결제 처리업체, 보안 서비스, 민감한 고객 데이터를 처리하는 벤더 모두 SOC 2 평가가 요구됩니다.
엔터프라이즈 조직은 벤더가 기밀 정보를 처리하거나, 보안 사고가 평판 또는 규제 위험을 초래할 수 있거나, 프라이버시 준수(GDPR, CCPA, HIPAA)가 벤더 통제에 의존하는 경우 SOC 2 Type II 보고서를 요청해야 합니다. SOC 2 준수는 엔터프라이즈 고객을 대상으로 하는 기술 벤더의 기본 요건이 되었습니다.
SOC 1 vs SOC 2: 보안팀을 위한 주요 차이점
각 프레임워크가 무엇을 평가하는지 이해하면, 보안팀은 어떤 보고서를 요청하고 어떻게 해석할지 정보에 기반한 결정을 내릴 수 있습니다.
범위 및 목적
SOC 1은 외부 감사인을 위한 것으로, 재무제표 감사 프로세스를 지원합니다. 외부 감사인은 아웃소싱된 재무 프로세스가 재무보고와 관련된 적절한 통제를 유지하는지에 대한 보증이 필요합니다. SOC 1 보고서는 재무 데이터 무결성, 거래 정확성, 일반 원장 영향에 초점을 맞춘 통제 목표로 이 특정 요구를 충족합니다.
SOC 2는 벤더가 고객 데이터를 보호할 수 있는지 평가할 때 귀하에게 직접적으로 도움이 됩니다. 이 보고서는 보안, 가용성, 처리 무결성, 기밀성, 프라이버시를 다루며, 이 다섯 가지 신뢰 서비스 기준과 관련된 서비스 조직의 통제에 대한 상세 정보를 제공합니다.
배포 및 이해관계자 대상
AICPA는 SOC 1 보고서가 "서비스 조직을 이용하는 조직과 사용자 조직의 재무제표를 감사하는 공인회계사"의 요구를 충족한다고 명시합니다. 배포는 기존 고객, 잠재 고객, 그리고 그들의 감사인으로 제한됩니다.
SOC 2 보고서는 더 넓은 이해관계자 그룹을 대상으로 합니다: 보안팀, 위험 관리 기능, 조달 부서, 컴플라이언스 담당자, 데이터 보호 통제에 대한 상세 정보가 필요한 고객 등입니다. 여전히 NDA가 요구되는 제한적 사용 보고서이지만, SOC 2는 정당한 보안 평가 필요가 있는 모든 사람을 포함합니다.
통제 프레임워크 차이
SOC 1은 재무보고 목표와 관련된 통제를 재무보고 통제 프레임워크를 사용해 평가합니다. 여기에는 거래 승인, 재무 데이터의 완전성 및 정확성, 직무 분리, 조정 절차, 재무 애플리케이션을 지원하는 일반 IT 통제가 포함됩니다.
SOC 2는 오직 신뢰 서비스 기준(Trust Services Criteria)을 사용하며, 보안, 가용성, 처리 무결성, 기밀성, 프라이버시의 표준화된 통제 목표를 적용합니다. 이 표준화는 벤더 간 직접 비교와 귀하의 기존 보안 통제 프레임워크와의 정렬을 가능하게 합니다.
보안 프로그램과의 통합
LinfordCo의 프레임워크 분석에 따르면, NIST 사이버보안 프레임워크는 SOC 2 기준과 직접적으로 매핑됩니다: NIST Identify는 CC3 위험 평가와 일치하고, NIST Protect는 CC6 접근 통제 및 기밀성/프라이버시 기준과 매핑되며, NIST Detect는 CC4 모니터링 및 CC7 시스템 운영과 대응하고, NIST Respond는 CC9 사고 대응 역량과 통합되며, NIST Recover는 가용성 기준과 연결됩니다. 이 정렬은 벤더 SOC 2 보고서가 귀하가 내부적으로 구현하는 동일한 통제 범주에 대한 표준화된 증거를 제공함을 의미합니다.
SOC 1 vs SOC 2: 비교
다음 표는 보안팀이 특정 벤더 관계에 어떤 인증이 적용되는지 결정할 수 있도록 SOC 1과 SOC 2 보고서의 주요 차이점을 요약합니다.
| 기준 | SOC 1 | SOC 2 |
| 주요 목적 | 사용자 조직의 재무보고 내부 통제(ICFR)에 영향을 미치는 통제 평가 | 보안, 가용성, 처리 무결성, 기밀성, 프라이버시와 관련된 통제 평가 |
| 적용 기준 | SSAE No. 18, AT-C Section 320 (통제 검토 보고) | SSAE No. 18, AT-C Section 205 (AICPA가 개발한 신뢰 서비스 기준 사용) |
| 통제 프레임워크 | 서비스 조직이 재무보고 영향에 따라 정의한 맞춤형 통제 목표 | 다섯 가지 범주의 표준화된 신뢰 서비스 기준(TSC); 보안은 필수, 나머지 네 가지는 선택 |
| 주요 대상 | 재무제표 감사를 수행하는 외부 감사인 및 SOX 준수를 담당하는 재무팀 | 보안팀, 벤더 위험 관리, 조달, 컴플라이언스 담당자, 엔터프라이즈 고객 |
| 일반 요청자 | 연간 재무제표 감사 주기 중 CFO, 컨트롤러, 외부 감사팀 | 벤더 온보딩 및 연간 검토 시 CISO, 서드파티 위험 관리팀, 조달팀 |
| 규제 동인 | 상장사의 Sarbanes-Oxley(SOX) 404조 준수; GAAP 재무보고 지원 | SOC 2 준수는 GDPR, CCPA, HIPAA 등 데이터 보호 규정 지원; 엔터프라이즈 계약에서 점점 더 요구됨 |
| 일반 벤더 유형 | 급여 처리업체, 복리후생 관리자, 대출 서비스업체, 수익 인식 플랫폼, 청구 시스템 | 클라우드 제공업체, SaaS 애플리케이션, 데이터 센터, 관리형 보안 서비스, 결제 처리업체 |
| 통제 테스트 초점 | 거래 승인, 재무 데이터 정확성, 직무 분리, 조정 절차, IT 일반 통제 | 접근 통제, 암호화, 사고 대응, 변경 관리, 가용성, 데이터 보존, 프라이버시 관행 |
| 보고서 범위 정의 | 벤더가 처리하는 특정 재무 프로세스 및 거래와 관련된 통제로 범위 정의 | 시스템 경계, 인프라 구성요소, 적용되는 다섯 가지 신뢰 서비스 기준으로 범위 정의 |
| 표준화 수준 | 벤더별 특정 재무 서비스에 따라 통제 목표가 크게 다름 | 표준화된 기준으로 벤더 간 직접 비교 및 NIST CSF와 같은 프레임워크와 정렬 가능 |
| 브릿지 레터 제공 여부 | 브릿지 레터는 감사 기간 사이 재무보고 연속성을 위한 보증 연장 | 브릿지 레터는 드물며, 보안 보증을 위해 지속적 모니터링 및 최신 보고서 선호 |
| 일반 감사 비용 범위 | 재무 프로세스 복잡성 및 거래량에 따라 $20,000~$60,000+ | 범위, 신뢰 서비스 기준 수, 조직 규모에 따라 $12,000~$100,000+ |
이러한 차이점을 이해하면 적절한 보고서 유형을 요청하고, 귀하의 특정 위험 우려와 관련된 통제에 검토를 집중할 수 있습니다.
SentinelOne을 통한 벤더 위험 평가 강화
SOC 2 보고서는 벤더가 CC6에 명시된 다중 인증, 역할 기반 접근 통제, 특권 접근 관리 등을 구현하는지 문서화합니다. Singularity Platform은 벤더 계정 및 서드파티 통합 활동을 포함하여 환경 전반에 걸친 실시간 행위 분석을 제공함으로써 이 가시성을 확장합니다.
Purple AI는 초기 도입자 기준 최대 80% 빠른 위협 조사를 제공합니다. 플랫폼의 행위 기반 AI는 예상 패턴에서 벗어난 이상 행위를 식별하여, 조사 대상이 될 수 있는 잠재적 보안 문제를 표시합니다. MITRE ATT&CK 평가에서 88% 적은 알림으로, SOC 분석가는 오탐 처리 대신 실제 위협 조사에 집중할 수 있습니다.
지속적 컴플라이언스 증적
SentinelOne AI-SIEM은 자율 SOC를 위해 설계되었습니다. 업계에서 가장 빠른 AI 기반 오픈 플랫폼으로 모든 데이터와 워크플로우를 보호합니다.
SentinelOne Singularity™ Data Lake 기반으로, Hyperautomation을 통해 워크플로우를 가속화합니다. 무제한 확장성과 무한 데이터 보존을 제공합니다. 기존 SIEM의 데이터를 필터링, 보강, 최적화할 수 있습니다. 모든 초과 데이터를 수집하고 현재 워크플로우를 유지할 수 있습니다.
실시간 탐지를 위해 데이터를 스트리밍하고, 자율 AI로 기계 속도의 데이터 보호를 구현할 수 있습니다. 업계 유일의 통합 콘솔 경험으로 조사 및 탐지에 대한 가시성을 높일 수 있습니다.
스키마 프리 및 인덱싱 불필요, Exabyte 규모로 모든 데이터 부하를 처리할 수 있습니다. 전체 보안 스택을 쉽게 통합할 수 있습니다. 구조화/비구조화 데이터 모두 수집 가능하며, OCSF를 기본 지원합니다. 자동화된 사고 대응 플레이북으로 일관되고 효과적인 위협 대응을 보장할 수 있습니다. 오탐 및 알림 노이즈를 줄이고, 리소스 할당을 최적화하며, 전반적인 보안 수준을 개선하십시오.
SentinelOne 데모를 요청하여 Singularity Platform이 자율 위협 보호 및 지속적 모니터링을 통해 귀하의 벤더 위험 평가 프로그램을 어떻게 보완하는지 확인해 보십시오.
주요 요점
SOC 1은 외부 감사인을 위한 재무보고 통제를 평가하며, SOC 2는 벤더 위험 관리를 위한 보안, 가용성, 처리 무결성, 기밀성, 프라이버시를 평가합니다. 6~12개월 운영 효과성을 입증하는 Type II 보고서는 시점 평가인 Type I보다 훨씬 더 높은 신뢰를 제공하므로, 엔터프라이즈 벤더 평가에서 선호됩니다.
SOC 2 준수는 최초 인증 시 12개월 이상의 기간이 필요하며, 관찰 기간, 벤더 의존성, 증적 수집에 대한 신중한 계획이 요구됩니다. 지속적 모니터링은 연간 SOC 인증을 실시간 통제 추적으로 보완하며, 보완적 사용자 조직 통제(CUEC)는 벤더가 SOC 의견에서 무결함을 유지하더라도 귀하의 책임으로 남아 있습니다.
자주 묻는 질문
SOC 1 및 SOC 2는 SSAE No. 18 인증 기준에 따라 공인회계사(CPA)가 발행하는 독립적인 감사 보고서입니다. SOC 1은 사용자 조직의 재무 보고 내부 통제와 관련된 통제를 검토하며, 서비스가 재무제표의 정확성에 영향을 미치는 공급업체에 중점을 둡니다.
SOC 2는 민감한 데이터를 처리하는 서비스 조직을 대상으로 보안, 가용성, 처리 무결성, 기밀성, 프라이버시와 관련된 통제를 평가합니다. 두 보고서 유형 모두 Type I(시점 기준)과 Type II(6~12개월 동안의 운영 효과성) 버전이 있습니다.
SOC 1은 재무 보고에 영향을 미치는 통제에 중점을 두며, 외부 감사인이 아웃소싱된 재무 프로세스에 대한 신뢰를 얻기 위해 사용합니다. SOC 2는 보안 및 데이터 보호 통제에 중점을 두며, 공급업체의 데이터 처리 관행을 평가하는 보안팀과 리스크 관리자를 대상으로 합니다.
공급업체가 귀하의 재무제표에 영향을 미치는 거래를 처리하는 경우 SOC 1을 요청하십시오. 공급업체가 민감한 고객 데이터를 저장, 처리 또는 전송하는 경우 SOC 2 컴플라이언스 증빙을 요청하십시오.
주요 위험 신호에는 통제 결함을 나타내는 한정된 감사 의견, 사용 중인 중요 서비스를 제외하는 좁은 범위 정의, 문서화된 시정 조치 없이 다수의 통제 예외, 6개월 미만의 관찰 기간, 보고 기간 간 통제 설명의 중대한 변경 등이 포함됩니다.
또한, 하위 서비스 조직이 제외되어 있는지 확인하고, 해당 의존성을 별도로 평가해야 하는지 검토하십시오.
SOC 보고서는 유용한 보증을 제공하지만, 보안 팀이 반드시 이해해야 할 한계가 있습니다. SOC 프레임워크는 귀하의 서드파티 리스크 관리 과제를 직접적으로 다루지만, 최근 침해 사례들은 연례 인증에만 의존하는 것의 한계를 보여줍니다. 2020년 SolarWinds 침해 사건은 연례 SOC 2 인증에만 의존한 공급업체 리스크 평가가 18,000개 이상의 조직에 영향을 미친 지속적인 침해를 놓쳤음을 보여주었습니다. 공격자는 악성 코드를 소프트웨어 업데이트에 삽입하여 보안 통제를 우회하고 수개월 동안 은폐되었습니다.
2023년 MOVEit 파일 전송 취약점은 공격자가 신뢰받는 공급업체의 소프트웨어를 악용하면서 2,500개 이상의 조직과 6,600만 명의 개인이 노출되었습니다. 이러한 사건들은 SOC 2가 정확히 무엇을 평가하고, 무엇을 평가하지 않는지 이해하는 것이 효과적인 공급업체 리스크 관리에 필수적임을 강조합니다.
예. 재무 및 데이터 보안 요소를 모두 제공하는 조직은 종종 이중 인증을 추구합니다. 복리후생 관리 플랫폼은 급여 공제에 대한 재무 보고 통제를 위해 SOC 1이 필요하고, 직원 건강 정보 보호를 위한 프라이버시 통제를 위해 SOC 2가 필요할 수 있습니다.
감사인은 서로 다른 통제 프레임워크를 사용하여 별도의 검토를 수행하지만, IT 일반 통제에 대한 증거 수집은 중복될 수 있습니다.
한정 의견은 감사인이 무조건적(적정) 의견을 제시하지 못하게 한 통제상의 결함을 식별했음을 나타냅니다. Type II 보고서에서 Section 4는 테스트 결과와 예외 사항을 문서화하여 감사 관찰 기간 동안 특정 통제 이탈에 대한 투명성을 제공합니다.
문서화된 결함이 공급업체에 위탁하는 데이터에 영향을 미치는지, 그리고 귀하의 환경 내 보완 통제가 이러한 격차를 해소하는지 평가해야 합니다. 한정 의견이 있는 경우 공급업체 승인 전에 보다 심층적인 위험 평가가 필요합니다.
SOC 보고서는 서브서비스 조직을 분리 방식(서브서비스 조직의 통제가 범위에서 제외됨) 또는 포함 방식(서브서비스 조직의 통제가 포함됨)으로 제시할 수 있습니다.
벤더가 분리 방식을 사용하는 경우, 해당 SOC 보고서에는 AWS 인프라스트럭처나 결제 처리 네트워크와 같은 주요 서브서비스 조직의 통제가 제외됩니다. 엔터프라이즈 조직은 제외된 계층을 식별하고, 민감한 데이터를 처리하는 주요 서브서비스 조직으로부터 별도의 SOC 2 보고서를 요청해야 합니다.
보완적 사용자 엔터티 통제(CUEC)는 서비스 조직이 고객이 통제 목표를 달성하기 위해 구현할 것으로 가정하는 통제입니다. 일반적인 CUEC에는 사용자 접근 검토, 직무 분리, 서비스 조직 보고서 검토, 고객 측 구성, 처리 결과 모니터링 등이 포함됩니다.
공급업체의 무결 SOC 의견이 고객의 통제 책임을 면제하지는 않습니다. 보고서의 1번 섹션에는 귀하가 구현해야 하는 모든 CUEC가 나열되어 있습니다.
연간 SOC 2 보고서는 발행일로부터 12개월 동안 유효합니다. 조직은 공급업체 SOC 보고서 만료일을 추적하여 지속적인 컴플라이언스 가시성을 유지해야 합니다.
민감한 데이터를 처리하는 고위험 공급업체의 경우, 연중 내내 공급업체 보안 사고, SLA 준수, 소유권 변경 등을 추적하기 위해 지속적인 모니터링을 구현하십시오.
