당신의 회사는 SOX 법을 준수하고 있지만 그러나 여전히 회계부정 등 부정수단에 노출되어 있다
외부 감사원들이 내부관리 시스템의 취약성에 대해 알기 위해 외부 감사원들로부터 취득한 경영보고서에 의존하는 경영진들과 부정행위에 대한 탐지에 책임이 없다고 주장하는 외부 감사원들의 사정은 사베인-옥슬리 법(SOX, Sarbanes-Oxley 법은 미국의 증권시장에 상장되어 있는 내외국 법인과 이들을 회계 감사한 내외국의 회계감사법인에 대해서도 적용되는 회계감사 법)의 시행으로 변화하게 되었다. SOX의 시행으로 대기업의 이사진과 경영진들, 외부 감사원들, 회사법인 변호사들은 사기와 같은 사내 부정행위 경감과 방지에 대한 법적인 책임을 지게 되었다. 해당지역의 법적인 요건과 관계없이 자동차에 타면 안전벨트를 매는 것이 현명한 것처럼 SOX나 다른 법적인 규정, 표준, 혹은 명령, 조례를 준수할 만큼 대기업이든 아니든 간에 회사 내 부정수단의 발생을 방지하기 위해 내부 통제와 관리를 강화하는 바이오인식기를 사용하는 것이 현명한 일이다. 회사들은 내부감시 시스템이 최소한의 기준을 충족하더라도 여전히 횡령, 회계부정, 기밀자료 도난과 같은 부정수단 때문에 큰 손실을 입고 있다.

회계 부정, 횡령
미국에서는 중대한 회계 부정과 횡령 사건의 수와 규모가 도를 넘는 수준이어서 의회가 2002년 사베인-옥슬리 법(SOX) 법안을 통과시키고 조지 부시 대통령이 이를 가결했다.
 
소송과 형사사건
경영진의 진술과 승인된 재무제표에 의지하는 투자자들과 기타 제3의 당사자들은 법정에서 자신들의 손실을 만회할 수 있는 방법을 찾고 있다. SOX의 도입과 함께 법정 소송이 증가하면서 회계 부정과 횡령, 내부 감시 실패의 책임이 누구에게 있는가 하는 것을 잘 이해하는 것이 중요해졌다. 외부 감사원, 법인 변호사, 이사들과 경영진에 대한 법정 소송은 이러한 실패를 수정하기 위해 어떤 일을 해야 할 필요가 있는지 그것에 대한 증거를 제공할 것이다. 동일한 손실과 관련된 몇 개의 법적 소송이 있을 수 있다. 왜냐하면 법적 당사자들은 서로 상대편에 대한 역 소송을 제기할 가능성이 있기 때문이다.
그러나 이제 회사가 향후의 회계 부정이나 횡령을 방지하기 위해 취해야 할 조치들이 있다.
 
외부 감사원들에 대한 법적 소송
시간이 흐르면서 법원의 결정은 승인된 재무제표의 제3의 사용자의 유형을 확장했다.
Ultramares 대 Touche & Co. 소송(1931). 법원은 감사원들이 자신들의 재무제표 승인이 알려진 당사자에 의해 특별한 용도로 사용될 것을 알고 있었다면 감사원들은 제3의 당사자에 대한 일반적인 태만과 무시에 책임이 있다고 판결했다.   최근의 소송들은 알려진 사용자에 대한 접근법에서 미래에 예측되는 사용자 접근법으로 옮겨가고 있다. 예를 들자면 Williams Controls 대 Parente, Randolph, Orlando&Associates 소송은 감사원이 감사 초기에 구매자가 누가될지 몰랐다고 하더라도 의뢰자의 사업의 구매자에 대해 책임이 있을 수 있다고 법원은 판결했다. 뉴저지의 Rosenblum 대 Adler(1983) 소송. 일반적인 사업 목적을 승인된 재무제표를 사용할 가능성이 있는 ‘이성적으로 예측 가능한’ 제3의 당사자에게 감사원은 책임이 있다고 판결하면서 감사원의 책임을 확대했다. 「Whittington, O. Ray, & Kurt Pany, 감사원칙과 기타 보증 서비스 원칙, 맥그로 힐 어윈, 2008」 법인 경영진이 회계 부정의 가능성을 경감시키지 않는 한 공인 회계사는 계속적인 재무 감사 계약을 수락할 수 없을 것이다.
 
보험 보장 안 됨
업체들이 내부 감시 시스템에서 발전을 이루지 않을 것이라고 기대하기는 어렵고, 법적인 소송에서 모든 가능한 손실을 충분히 커버할 수 있는 보험에 가입하지 않을 것이라고 예상하는 것도 현실적으로 불가능하다. 예를 들자면 한 국제 공인 회계 업체는 연간 2만 달러의 감사 비용의 의뢰자와 관련한 법적 소송을 성공적으로 변호하기 위해 6백만 달러를 지불했다. 적어도 한 주요 보험 회사는 법적 책임을 위해 회계 회사가 보험에 가입하려 했을 때 이를 거절했다. 「Whittington, O. Ray, & Kurt Pany, 감사원칙과 기타 보증 서비스 원칙, 16 쇄, 맥그로 힐 어윈, 2008」
이사진들과 임원들은 실수와 태만(직업적 책임) 보험의 이용 가능성에 의지한다.
 
사베인 - 옥슬리 법(SOX)
오랜 세월 동안 외부 감사인들은 재무 감사의 목적은 회계 부정의 감시가 아니라고 주장하면서 회계 부정 사건에서 자신들을 변호하고자 했다. 사베인-옥슬리(SOX) 법의 302, 404, 906조는 회계 부정 방지와 관련하여 회사 법인의 경영진과 감사인들의 책임성에 변화를 가져왔다.
SOX법 302조는 재무 보고와 내부 감시에 대한 회사 법인의 책임성을 규정한다. 모든 연간 보고서는 내부 감시에 대한 보고서를 포함하고 있는 SEC와 함께 제출해야 한다고 302조에는 명시되어 있다. CEO와 CFO는 정기적인 보고서를 검토했음을 보증해야 하며, 재무제표와 명세서가 모든 자료적 측면에서 회사의 운영결과와 재정상태를 올바르게 나타내고 있음을 보증해야 한다. 「Sarbanes-Oxley 법 302조. http://www.sox-online.com/act_section_ 302.html에서 2007년 9월 검색」 404조는 내부 감시에 대한 경영진의 평가를 요구한다. 모든 연간 보고서는 내부 감시에 대한 보고서를 포함하고 있는 SEC와 함께 제출해야 한다고 404조에는 명시되어 있다. 이 보고서에는 재무 보고에 대한 내부 감시 절차를 규정하고 준수하는 경영진의 책임과 이러한 내부 감시의 효과를 평가하는 경영진의 책임이 명시되어야 한다. 공인 회계 법인은 내무 감시에 대한 경영진의 평가를 다시 평가해야 한다. 「Sarbanes-Oxley 법 404조. http://www.sox-online.com/act_section_404.html에서 2007년 9월 검색」 906조는 CEO와 CFO(재무이사)가 SEC와 함께 제출된 재무제표를 인증하는 의무를 부과함으로써 재무 보고서에 대한 법인의 책임이 증대된다. 이러한 인증서들은 증권거래법을 준수해야 하며 또한 모든 자료들이 회사의 운영 결과와 재무 상태를 올바르게 표시하고 있음을 명시해야 한다. 「Sarbanes-Oxley 법. http://www.sox-online.com/ soxact.html#sec906에서 2007년 9월 검색」

사베인 옥슬리 법을 준수하기 위해서 법인들은 재무 보고에 대한 문서화와 내부 감시를 강화할 필요가 있다. 이러한 내부 감시는 재무 보고를 투명하게 하기 위해 실험과 모니터링이 되어야 한다. 경영진은 내부 감시에 대한 보고서를 제공해야 한다. 독립적인 감사인은 내부 감시에 대한 경영진의 평가를 사정해야 하고, 보고서를 제출해야 한다. 따라서 외부 감사인은 이제 회계 부정 방지의 추가 책임을 가지게 되었다.
 
경영진의 SOX 준수 요건
1. 리스크 산정 및 기획 감시
2. 업무 분리
3. 프로세스와 시스템 액세스를 위한 내부 감시 강화
4. 감시가 제 기능을 발휘하고 있는지 체크하기 위한 감시 강화 및 후속 조치
5. 감시 증거 서류 및 감시 테스트
6. 경영진은 내부 감시에 대한 보고서를 제출해야 한다.
7. 독립적인 감사자가 내부 감시에 대한 평가를 사정해야 하고 보고서를 제출해야 한다.

 
기업회계 감독기구(PCAOB)
사베인 옥슬리 법은 공공 기업의 감사 표준을 마련하기 위하여 기업 회계 감독 기구를 창설했다. 소규모 회사들이 미국 공인 회계사 협회(AICPA)의 감사 표준을 지속적으로 사용한다. 2007년 7월 25일 SEC은 PCAOB의 회계 표준 No.5번 「재무제표의 감사와 통합된 재무 보고서에 대한 내무 감시에 대한 감사」를 승인했다. 「“PCAOB의 재무 보고에 대한 내부 감시를 위한 새로운 감사 표준이 SEC의 승인을 받았다” 2007.7.25, http://www.pcaobus.org/ News_and_Events/News/2007/07-25.aspx에서 2007년 9월 검색」
모든 공인 감사 회사들은 내부 감시에 대한 이 감사 표준을 사용해야 할 것이다.

사례 연구 : 듀폰 회계 부정
듀폰 회계부정 사건. 듀폰에서 화학 연구자로 근무한 전 직원 게리 민은 400백만 달러에 달하는 듀폰의 거래 비밀을 듀폰에서 무단 도용했다. 그는 2005년 경쟁 회사인 Victrex의 고용 제안을 받아들였다. 고용 제안을 수락한 이후, 그는 몇 달 간 듀폰에서 계속 근무했고 듀폰 서버에서 180개의 기밀 서류들과 수천 개의 기밀 정보를 다운로드 받았다. 그리고 이 기밀 자료들을 새 직장에서 사용하려고 마음먹었다. 듀폰에서 퇴임했을 때 그가 기술 문서를 관리하는 서버를 자주 사용했다는 사실이 발각되었다. Victrex는 듀폰과 공동 작업하여 게리 민의 노트북을 압수하고 조사 목적으로 이를 FBI에 보냈다. 게리 민은 이후 듀폰의 거래 비밀 도용을 자인했다. 「“듀폰 화학 연구자가 IP 절도 행위로 유죄를 자인하다” 컴퓨터 부정행위 및 보안. 2007년 9월 사이언스 디렉트 데이터베이스에서 온라인검색」
 
사베인 옥슬리 법을 준수하고 있지만 여전히 회계 부정에 노출되어 있다. 2005, 2006 & 2007년의 듀폰’s 10-K 보고서에는 1934년 증권 거래법의 13(a)조를 준수하는 SEC와 함께 재무제표에 대한 CEO & CFO 승인이 포함되어 있고 또한 회사의 모든 운영 결과와 재무 상태를 보고서가 정직하게 보고하고 있다는 내용 또한 포함되어 있다.
그들의 10-K 보고서에는 또한 재무 보고에 대한 내부감시와 재무제표에 대한 책임에 관한 경영진의 보고서도 포함되어 있다. 이러한 사실들은 재무 보고와 내부 감시에 대한 듀폰 법인의 책임성을 증명해 주고 있다. 10-K 보고서에서 볼 수 있는 바와 같이 위의 문서들은 공인 회계 법인인 ‘PricewaterhouseCoopers LLC’에서 사정, 인증을 받았다. 따라서 듀폰사는 SOX 법을 준수했다.
하지만 이러한 SOX 법을 준수한다고 해서 내부 보안 위협에 노출되지 않는 것은 아니다. 내부자 감시를 위해 듀폰에서 바이오인식기를 사용했다면 회계부정이 방지될 수도 있었을 것이다. 컴퓨터 인증을 위한 패스워드 대신에 컴퓨터 바이오 인증을 사용함으로써 특정 사용자에게는 기밀 데이터 접근이 제한되었어야 했다. 게리 민은 바이오인식기 인증을 받은 후에 자신의 연구와 관련된 데이터에만 접근이 허락되어야 했다. 듀폰은 기밀 자료에 접근하는 사용자들에게 접근 권한을 부여하는 다양한 수준의 바이오 인증을 사용할 수 있었다. 이것은 게리 민의 경우는 아니었지만, 게리 민은 이런 방법을 통해서라면 기밀 자료에 대한 접근 권한이 주어지지 않았을 것이다. 이런 방법은 비 인증 사용자가 거래 비밀에 접속하는 것을 방지할 수 있다. 서버에 누가 접속했는지 혹은 누가 접속하려고 시도했는지에 관한 보고서에는 게리 민이 이 데이터에 접속하려고 했다는 사실을 제시할 수 있었을 것이고, 이로써 듀폰은 조사 기관이 게리 민의 의도를 조사하도록 할 수 있었을 것이다. 바이오 인증은 경쟁 업체에게 기밀 데이터를 분실하는 위험에서 듀폰을 구했을 것이고 또한 지적 재산권의 보호를 위한 법정 소송비용을 절감할 수 있었을 것이다.

감사 기준서(SAS)
2002년 11월, 회계 부정의 결과로서 감사 기준 심의회는 SAS 99 ‘재무제표 감사에서 회계 부정의 심의’를 발행했다. SAS 99는 SAS 82를 대체한다. 이에 따르면 감사자는 재무제표에서의 회계 부정으로 인한 재무 오류의 탐지에 더 큰 책임이 부여된다. 「CPA(공인회계사)의 ‘SAS 99의 영향 인식’ Donald C. Marczewski & Michael D. Akers. 출처: CPA 저널. http://www.nysscpa.org/ cpajournal/2005/605/essentials/p38.htm에서 2007년 9월 검색」
 
바이오 인식기 : 해결책(솔루션)
대기업의 고위급 관리자에 의해 자행되는 회계 부정이 사베인 옥슬리 법의 시행을 앞당겼다. 이러한 회계 부정이 가능한 것은 취약한 내부 감시 시스템과 외부 감사원들이 재무 감사는 회계 부정을 감시하기 위한 의도가 아니라고 주장하기 때문이었다. 듀폰 사건은 내부 감시 시스템 강화에는 회계 부정을 능가하는 이유들이 존재한다는 것을 잘 보여준다. 거래 비밀에 접속할 수 있는 한 사람의 직원이 회사에는 수 억 달러의 손실, 법적 소송, 그리고 회사 주식 가치의 하락을 초래할 수 있다.
2006년 공인 회계 부정 검사자 연합회의 연구에 따르면 내부 회계 부정의 25%는 적어도 각 사건마다 1백만 달러의 손실을 가져왔다. 단일 사건의 평균 손실은 US 159,000 달러였지만 9개의 사건 이상에서 내부 회계 부정 비용은 회사에 10억 달러의 손실을 초래했다. 「http:// www.acfe.com/documents/2006-rttn.pdf, 2007년 9월 검색」
회계 부정은 완전히 제거할 수는 없지만 그러나 회계 부정을 최소화하기 위해 감시 체제의 도입은 가능하다. 회사는 사용자의 시스템 접근 권한을 최대한 축소하고 사용자 역할 중심의 민감한 데이터에 대한 접근 권한을 제한하며 누가 민감한 데이터에 접속하고자 했는지 감시해야 한다. 주 단위 패스워드 감시 시스템을 사용하는 대신에 회사는 다음의 특징을 가진 사용자 액세스 인증 시스템을 사용해야 한다.
 
바이오인식 시스템 
바이오인식 시스템은 이러한 해결책을 제공한다. 바이오인식 시스템은 지문, 망막 패턴, 심지어는 말하는 패턴 같은 한 사람의 특정한 특징들을 사용하여 그 사람의 신분을 확인하고 인증된 사용자에게 접근 권한을 부여하며 비 인증 사용자는 확실히 거부한다.
컴퓨터 인증을 위한 바이오인식 시스템은 법 집행 목적의 바이오인식 시스템과는 다르다. 법 집 용으로는 ‘공개 시스템’이 사용되는데, 법 집행 기관은 IDENT나 AFIS 데이터베이스 내에서 광학 센서로 손가락(대부분 모든 손가락)을 스캔하고 손가락의 전체 이미지를 스캔한다. 이로써 모든 법 집행 기관들은 이러한 템플릿에 대한 지문을 체크할 수 있게 된다. 컴퓨터 인증을 위한 바이오인식 시스템은 사용자들을 고유한 방식(ID 사용 등)으로 확인하면서도 시스템 사용자들의 프라이버시를 보호할 수 있다. 지문의 광학적 스캔이 아니라 일련의 고유 번호로 구성된 2진법 템플릿(01110101010)이 생성된다.
1990년대 후반에 이미 노트북 컴퓨터에서 지문 센서 기능이 있었지만 모든 주요 노트북 제조업체들은 현재 적어도 지문 센서가 내장된 모델을 한 가지 이상은 시장에 내놓고 있다. 센서 기술의 놀라운 발전으로 제조업체들은 대형 터치 센서에서 소형의 더 안전한 센서로 이동해 가는 추세이다. 내장형 지문 센서는 하드 드라이브 암호화와 함께 미국의 노트북 제조업체에게 요구되는 두 가지 요건이다. 
<글 : By Paul Sheldon Foote and Reena Hora>

[월간 시큐리티월드 통권 제148호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>