컴플라이언스 자동화 플랫폼이 데이터 생성·검증·감사 결론을 동일 시스템에서 처리해 493건 중 493건이 동일 오타를 포함한 위변조 감사 보고서 생성

Context

준수 프레임워크는 소프트웨어 엔지니어링의 관심사 분리(separation of concerns) 원칙을 따라야 하는데, 컨트롤을 구현하는 주체와 감시하는 주체가 동일해서는 안 된다. AICPA AT-C Section 205에서는 컨트롤 구현을 지원하는 기업이 해당 컨트롤에 대한 감사 결론을 생성할 수 없도록 명시하고 있다. 최근 노출된 플랫폼은 증거 생성, 감사 결론 작성, 감사 회사 라우팅을 모두 동일 시스템에서 처리하여 이 원칙을 위반했다.

Technical Solution

• 감사 증거를 템플릿 텍스트가 아닌 실제 인프라에서 자동으로 수집: AWS, Azure, GCP API 통합을 통한 클라우드 설정 스냅샷 추출
• 신원 관리 시스템에서 직접 접근 제어 로그 수집: 실제 인프라에 구현된 제어를 검증하기 위해 라이브 환경과 연동
• CI/CD 파이프라인에서 코드 검토 및 배포 증거 수집: 실제 이벤트 기반의 추적 가능한 증거 생성
• 암호화 설정(저장 시, 전송 중)을 라이브 인프라에 대해 검증: 구성 폼이 아닌 실제 환경에서의 확인
• Trust Center를 검증된 컨트롤의 소스로 활용: 감사 결론의 독립성을 보장하고 신뢰 페이지와 실제 보안 태세 동기화

Key Takeaway

감사 및 컴플라이언스 시스템은 데이터 생성자와 검증자를 분리하는 분산 시스템의 기본 원칙을 준수해야 하며, 모든 증거는 인프라 API를 통한 실시간 검증으로 추적 가능성을 보장해야 한다.