brunch

You can make anything
by writing

C.S.Lewis

by Dr Kim Sep 27. 2024

사이버보안 커리어 탐구: 내부감사/IT감사


내부감사(INternal Auditor)와 IT 감사(IT Auditor)는 조직의 내부 통제 시스템, 위험 관리, 그리고 규정 준수 여부를 평가하고 검토하는 역할을 수행합니다. 특히 IT가사는 IT시스템의 보안성, 신뢰성, 효율성을 검토하는 데 중점을 둡니다. 이 직무는 조직이 법적 규제, 내부 정책, 글로벌 표준을 준수하고 있는지 평가하고, 운영상 위험이나 보안 취약점을 식별하여 개선 방안을 제시합니다. 


업무 및 역할:  

내부 통제 검토: 기업 내 재무, 운영, 정보 시스템 등의 내부 통제 시스템을 점검하고, 그 효과성을 평가합니다

IT 시스템 및 보안 감사: IT 인프라, 애플리케이션, 데이터베이스, 네트워크 보안 등을 분석하여 시스템이 적절한 보안 조치를 따르고 있는지 확인합니다.

규제 및 정책 준수 평가: 조직이 법적 규제, 산업 표준, 그리고 내부 보안 정책을 준수하고 있는지 확인하고, 규제 불이행 위험을 평가합니다. 

위험 관리: IT 시스템이나 비즈니스 프로세스에서 발생할 수 있는 잠재적 위험을 분석하고, 이를 최소화하기 위한 방안을 제시합니다. 

감사 보고서 작성: 내부 통제와 IT시스템에 대한 감사 결과를 보고서로 작성하고, 경영진에게 이를 보고합니다. 필요한 경우 개선 조치를 권고합니다. 

외부 감사 지원: 외부 감사가 진행될 때 내부 시스템 및 IT 관련 자료를 제공하고, 감사 절차를 원활히 진행되도록 지원합니다. 

침해 사고 대응 검토: 보안 침해 사고가 발생했을 때, 사고 대응 절차가 효과적으로 수행되었는지 점검하고 개선점을 제시합니다. 


필요한 스킬:  

재무 및 내부 통제 지식: 내부 감사는 주로 재무 시스템과 관련된 검토를 수행하므로, 재무 관리 및 내부 통제 시스템에 대한 이해가 필요합니다.

IT 지식: IT 감사에서는 네트워크, 시스템 보안, 데이터베이스, 클라우드 기술, 소프트웨어 개발 주기 등에 대한 폭넓은 지식이 요구됩니다. 

컴플라이언스 및 규제 이해: 산업별 규제, GDPR, SOX, ISO 27001, ISMS-P와 같은 보안 표준에 대한 이해가 필수적입니다. 

위험 분석 및 관리 능력: IT 시스템이나 내부 통제의 위험 요소를 식별하고, 이를 평가하여 관리 방안을 제시할 수 있어야 합니다. 

문제 해결 및 분석 능력: 감사 과정에서 발생하는 문제를 분석하고, 해결책을 도출하는 능력이 필요합니다. 

감사 툴 활용 능력: ACL, IDEA, Audit Command Language 같은 감사 소프트웨어 및 분석 도구에 대한 사용 능력이 필요합니다. 

커뮤니케이션 스킬: 감사 결과를 경영진이나 기술 부서에 명확하게 보고하고 설명할 수 있어야 합니다. 


장점:  

안정적이 직업: 감사직은 대기업, 금융기관, 공공기관 등에서 필수적인 역할을 수행하므로, 높은 수요와 안정적인 직업의 특성을 가지고 있습니다. 

조직의 중요한 역할: 내부 감사와 IT 감사는 조직의 안정성과 규제 준수 여부를 평가하는 중요한 역할을 맡아, 조직의 신뢰를 유지하는 데 기여합니다. 

광범위한 경험: 감사 업무를 통해 다양한 부서와 기술을 접하게 되며, 폭넓은 업무 경험을 쌓을 수 있습니다. 

경력 발전 기회: 내부 감사 경험은 이후 경영진 직책이나 정보 보안, 리스크 관리 분야로의 경력 전환에 좋은 기회를 제공합니다. 


고려할 부분:  

지속적인 규제 변화: 법적 규제와 산업 표준은 끊임없이 변화하기 때문에, 감사 담당자는 이를 지속적으로 학습하고 반영해야 합니다. 

압박감: 감사 과정에서 문제를 발견했을 때, 해결 방안을 찾아야 하므로 높은 책임감과 압박을 받을 수 있습니다. 

복잡한 보고서 작성: 감사 보고서는 매우 상세하고 정확해야 하므로, 많은 시간이 소요될 수 있으며 세밀한 작업이 필요합니다. 

갈등 가능성: 감사 결과에 따라 조직 내 특정 부서와 갈등이 발생할 수 있으며, 이를 잘 관리해야 합니다.


채용하는 조직과 유형:  

대기업 및 중견기업: 대기업의 경우 재무 및 IT 감사팀을 운영하며, 내부 통제와 시스템의 효율성을 검토합니다. 

금융 기관: 은행, 보험사, 증권사 등 금융 기관에서는 규제 준수와 정보 보안이 매우 중요하기 때문에 내부 감사와 IT 감사를 필수적으로 운영합니다. 

컨설팅 회사: Deloitte, PwC, KPMG, EY와 같은 대형 회계 및 컨설팅 회사에서 감사 관련 자문 및 외부 감사 서비스를 제공합니다. 

공공기관 및 정부 기관: 정부 기관 및 공공 부문에서는 예산 관리, 법적 규제 준수 여부를 점검하기 위해 내부 감사와 IT 감사 직무를 운영합니다. 


내부 감사와 IT 감사는 조직의 신뢰성, 안정성을 유지하고 법적 규제와 보안 표준을 준수하는 데 매우 중요한 역할을 합니다. 이후에 PwC에서 내부감사 선진화 팀과 IT 감사팀에서 근무했던 사례를 몇 가지 이야기할 예정입니다. 

매거진의 이전글 사이버보안 커리어 탐구: 사이버보안 교육(교수, 강사)
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari