엄격해진 신외감법의 도입으로 회계감사를 앞둔 기업들의 부담이 가중되고 있다는 점에 대해 앞선 ‘내부회계관리제도 적용 기업의 ITGC 대응 방안 (상)’편에서 안내해드렸는데요, 이처럼 내부회계관리제도 적용 대상 기업들은 정보기술일반통제(ITGC)에 대비해 적절한 IT 보안 통제 제도를 구축해야 할 것입니다. 이번 게시글에서는 기업이 ITGC에 대응하기 위해 필요한 방안으로 신시웨이의 PETRA 보안솔루션을 함께 소개해드리겠습니다.

ITGC에 대한 대비가 기업에 필요한 이유는 무엇인가요?

내부회계관리제도 통제활동의 원칙11에는 [정보기술 일반통제의 선정과 구축]이 있으며 원칙 달성을 위한 중점 고려사항은 다음과 같습니다.

11-01: 업무 프로세스에서 사용되는 정보기술과 정보기술 일반통제간 의존도 결정

경영진은 프로세스 및 자동통제와 정보기술 일반통제간의 의존성과 연관성을 이해하고 결정한다.

11-02: 정보기술 인프라 통제활동 수립

경영진은 정보처리의 완전성, 정확성 및 이용가능성을 확보하기 위한 정보기술 인프라에 대한 통제활동을 선택하고 구축한다.

11-03: 보안관리 프로세스에 대한 통제활동 수립

경영진은 업무책임에 상응하는 정보기술 접근권한을 허가된 담당자로 제한하고, 외부의 위협으로부터 회사의 자산을 보호하기 위한 보안 관련 통제활동을 선택하고 구축한다.

11-04: 정보기술의 취득, 개발 및 유지보수 프로세스에 대한 통제 수립

경영진은 내부통제 목적 달성을 위하여 정보기술 및 인프라의 취득, 개발, 유지보수 활동에 대한 통제활동을 선정하고 구축한다.

이처럼 회사는 보안관리프로세스에 대한 통제활동을 구축하여 내부회계관리제도 원칙 중 통제활동의 원칙을 준수하여야 합니다. 기업이 내부회계관리제도의 ITGC에 규정된 시스템을 구축하지 못한다면, 회계감사 결과에 따라 상당한 불이익이 발생할 수 있으며 상장사의 경우 2년 연속 비적정 의견을 받으면 상장폐지 대상이 될 수 있습니다. 따라서 기업은 내부회계관리제도 ITGC에 대한 준비가 갖춰져 있어야 할 것입니다.

ITGC에 대응하기 위해 기업에서 고려해야 할 사항은 무엇인가요?

정보기술 일반통제는 주로 IT업무 전반에 걸친 통제활동을 의미하며, 이에 대응하기 위해 기업에서 고려해야 할 사항들은 다음과 같습니다.

시스템 도입 및 개발에 대한 정보기술일반통제는 시스템이 최초에 개발될 때와 시스템 구축 이후 자동통제가 적절히 작동하는지에 대해 평가하기 때문에 정보기술 일반통제의 적절한 작동 여부를 확인해야 합니다. 또한 정보기술 일반통제에서는 기업이 정보기술처리의 완전성, 정확성, 이용가능성을 달성할 수 있는 절차 및 통제활동을 구축하고 적용할 수 있는지에 대해 고려합니다. 따라서 정보기술 인프라 통제활동을 알맞게 수립해야 합니다. 애플리케이션 시스템의 거래를 처리할 수 있는 권한을 포함하여 회사의 정보기술에 대한 접근권한을 누가 어떤 수준으로 보유하고 있는지에 대한 프로세스 및 통제활동을 평가하며 승인된 사용자 계정에 기반한 인증 통제활동을 통해 정보기술에 대한 사용자의 접근이 이루어지고 있는지 평가하므로 승인된 계정만 정보기술에 접근할 수 있도록 통제하는 접근제어 환경을 구축해야 합니다.

마지막으로는 정보기술의 취득, 개발, 유지보수 활동과 관련하여 시스템 설계 및 구축, 개발단계에 대한 개요, 문서화 요건, 승인체계, 점검항목에 대한 통제활동이 적절히 이루어지고 있는지 평가하고 있습니다. 따라서 기업에서는 정보기술의 취득, 개발, 유지보수활동과 관련한 항목에 대한 통제활동을 구축해야 합니다.

ITGC 평가항목 중 페트라 솔루션을 적용했을 때 어떤 측면에서 활용될 수 있나요?

ITGC 적용 기업에서는 내부통제를 위해 관련 없는 자의 접근을 제한하는 사용자 계정 및 접근 권한관리를 통한 보안관리가 필요하며, 이는 PETRA 접근제어 솔루션을 통해 구축할 수 있습니다. PETRA 접근제어에서는 기업의 주요 데이터, 소프트웨어, 하드웨어에의 접근을 관리하기 위한 물리적인 접근통제 및 식별, 인증, 승인 메커니즘 등의 논리적인 접근통제를 수립하고 적용하고 있습니다. 또한 보안활동에 대한 기록, 발생가능한 보안위반 사항에 대한 식별, 이에 대한 전달 및 적시대응 등을 포함한 효과적인 보안체제를 구축하고 있습니다.

이는 ITGC평가항목 중 다음과 같은 항목들에 적용 및 활용될 수 있습니다.

-전산시스템과 응용프로그램에 대한 시스템, 사용자의 통제에 대한 적절한 문서화가 이루어진다.

-새로운 시스템을 운영환경으로 이전함에 있어 접근통제를 수행한다.

-정보보안 정책을 수립하고 있으며, 보안실무를 고려하여 그 적정성을 정기적으로 검토한다.

-구성원이 수행하는 업무의 내용 및 직무기술서 등을 고려하여 시스템 접근권한의 적정성 정기적으로 검토한다.

-IT자원(하드웨어, 소프트웨어, 데이터)에 대한 접근을 관리하기 위한 물리적인 접근통제 및 논리적인 접근통제(식별, 인증, 승인메커니즘 등)를 수립하고 적용하고 있다.

-적시에 사용자 계정을 추가, 수정, 삭제할 수 있는 절차를 수립하고 적용하고 있다.

-보안활동에 대한 기록, 발생 가능한 보안위반 사항에 대한 식별 등 효과적인 보안체제를 구축하고 있다.

접근제어 이외에도 ITGC에서 적용 가능한 페트라 솔루션이 있나요?

DB 권한결제 솔루션 Petra Sign을 통해 ITGC에 대비할 수 있습니다. Petra Sign은 권한결재 시스템으로 사용자 계정에 대한 권한 부여와 책임 증빙으로 기업의 데이터를 효율적으로 관리할 수 있도록 해줍니다. 이는 ITGC평가항목 중 다음과 같은 항목들에 적용 및 활용될 수 있습니다.

-시스템에 대한 변경 요청은 적절한 경영진의 승인을 받는다.

-시스템 변경의 영향을 적절히 반영하기 위해 관련 시스템, 사용자, 관련 통제문서 등을 적절히 수정한다.

-운영환경에 적용된 시스템은 적절한 관리자의 승인없이 변경되지 않는다.

-변경된 시스템과 응용 프로그램을 운영환경으로 이전하기 전에 적절한 관리자가 승인한다.

-백업자료에 대한 접근을 승인된 구성원에게만 허용할 수 있는 통제절차가 존재한다.

기업에 페트라 솔루션을 적용했을 때 실제로 어떤 식으로 활용될 수 있나요?

기업에서 Petra 솔루션을 도입할 경우, 다음과 같이 기업 내 인사 시스템에 활용될 수 있습니다.

-인사시스템으로부터 자동으로 신규 입사자 목록을 연계·수신하여 접근권한 관리 솔루션에서 접속 계정을 생성할 수 있습니다.

-인사 시스템에서 수신받은 부서 및 역할정보에 따라 자동으로 기본 권한이 부여되며, 신규 접근 메뉴가 필요하거나 역할을 조정할 때에는 권한등록요청서 작성을 통해 권한을 부여합니다.

-접근권한관리 솔루션 상 권한등록변경 요청 절차를 거치기 위해 요청서를 작성한 후 부서장 결재가 이루어진 후 시스템 소유자 또는 정보보안파트 결재가 이루어집니다.

-IT운영담당자는 매월 부서변경 등으로 인해 권한변경이 발생한 임직원의 리스트를 각 부서에 송부하고, 부서장은 변경된 권한의 적정성을 검토합니다.

-동일 부서 내 이동의 경우, 역할을 조정하며 타 부서로 이동한 경우에는 기존 사용자 권한을 삭제한 후 새로운 권한으로 재부여 합니다.

신시웨이의 PETRA 솔루션을 통해 내부회계관리제도 ITGC감사 대응을 위한 선제적이고 효율적인 보안 환경을 구축할 수 있을 것입니다. 데이터베이스 보안 관리에 최적화된 신시웨이 PETRA 솔루션은 신시웨이 홈페이지(www.sinsiway.com)에서 보다 자세히 확인하실 수 있습니다.