'엄격한 규정과 실효성 논란'의 사베인스-옥슬리법의 정의와 목적

사베인스-옥슬리법(Sarbanes-Oxley Act, SOA, Sarbox, SOX)은 상장기업의 사기적 회계 및 재무 관행을 방지해 투자자를 보호하기 위한 미국 법이다. 

일련의 기업 스캔들과 닷컴 거품의 붕괴 속에서 2002년에 통과된 사베인스-옥슬리법은 각종 보고, 회계, 데이터 유지 규정을 강제해 대기업의 사업 관행을 공명정대하게 보여준다. 
사베인스-옥슬리법의 규정은 주로 재무 및 회계 문제에 치중되어 있지만, 기업 데이터의 적정한 취급이 법의 유효성을 지탱하는 중추 역할을 한다. 그리고 이는 IT가 커다란 영향력을 가지고 있기에 이를 중점적으로 다룰 것이다. 
 

사베인스-옥슬리법의 목적 

사베인스-옥슬리법은 2000년 전후에 일어난 일련의 스캔들의 산물이다. 몇몇 상장기업이 회계 조작, 페이퍼 컴퍼니, 여타 사기 수법을 이용해 사업 손실을 대중으로부터 숨기고 주식 가격을 인위적으로 높게 유지했다. 대표적으로 엔론(Enron)과 월드컴(WorldCom)이 있다. 이 기업의 임원과 이사진은 이런 조작을 통해 자신의 부를 축적했다. 주식을 현금화하고 투자자에게 떠넘겼고 사기 행위를 더 이상 유지하기 어려워지자 주가가 폭락했다. 

이런 사건은 닷컴 주식 가격이 붕괴하던 시기에 일어났다. 초창기 인터넷 기업은 엔론과 같은 규모로 사기를 저지르지는 않았지만, 거액의 IPO에 앞서 수익 잠재성에 대한 보고를 부풀렸고, 이는 기본적으로 투자자의 희생으로 회사 설립자를 부유하게 만들었다.
 
사베인스-옥슬리법은 이러한 부패 행위가 재발하는 것을 막기 위해 무거운 규제적 부담을 강제한다. 이 법은 회사 자체 재무에 관한 정확한 데이터를 생산하고 유지하도록 하고, 나아가 거의 실시간으로 이들 데이터를 투자자와 규제기관이 열람할 수 있도록 함으로써 회사 행위를 개선하는 것을 목적으로 한다. 

IT에 있어서 이는 막대한 양의 기업 데이터가 지극히 정확해야 하고, 내부 및 외부 위협으로부터 절대적으로 안전하게 유지되어야 하고 단시간의 통지 후 감사인과 투자자가 이용 가능해야 함을 의미한다. 

사베인스-옥슬리법의 적용 대상 

일부 사베인스-옥슬리법 조항은 비상장 기업에게도 적용된다. 예를 들어 미 연방기관의 조사를 방해하기 위해 기록을 파기하거나 내부고발자를 보복하는 행위를 금지한다. 그러나, 여기서 논의하는 법 조항은 주식거래소에서 거래되거나 IPO를 작성하는 기업에게 적용된다. 이 법이 강제하는 데이터 투명성은 투자자나 잠재적 투자자가 내부자의 조작에 의해 기업의 재무 상태를 오판하지 않도록 보호하기 위함이다.

 
서베인스-옥슬리법 규정  

사베인즈-옥슬리법의 규정은 숫자로 표시된 조항으로 나누어진다. IT 및 데이터 보안과 관련해 가장 흥미로운 조항은 다음과 같다. 
 

• 조항 302: 상장기업은 증권 거래 위원회(Security and Exchange Commission, SEC)에 정기 보고서를 제출해야 한다. 최고 임원들은 보고서 내의 정보를 개인적으로 보증해야 하고, 데이터의 내부 통제 수단을 확립할 의무가 있다. 
• 조항 404: 연례 재무 보고서는 내부 통제 수단의 유효성을 평가한 내용을 포함해야 하고, 통제 수단 내의 발견된 결함은 공개되어야 한다. 공인 외부 감사인이 경영진의 내부 통제 수단에 대한 평가를 보증해야 한다. 
• 조항 409: 회사의 재무 상황 및 사업의 중대한 변화는 적시에 대중에게 공개되어야 한다. 
• 조항 802 및 906: 이 조항은 처벌 규정으로 조사를 방해하기 위해 문서를 변경하는 것을 금지하고, 또한 누구든지 오해의 소지가 있거나 허위인 재무 보고서를 승인하는 것을 불법화한다. 

이 가운데 404조는 가장 복잡하고 가장 부담스러운 조항으로 여겨진다. 정교한 IT 시스템이 설치되어 데이터 무결성과 보호를 유지해야 할 뿐 아니라 회사 경영진과 외부 감사인은 이들 시스템의 유효성을 정기적으로 평가하고 문서화해야 한다.

 
사베인스-옥슬리법의 요구사항 

사베인스-옥슬리법의 요구사항은 관련 조항이 매우 많다. 그리고 이에 따른 구체적인 의무를 깊이 있게 파악해야 한다. 유의해야 할 법의 요구사항을 거시적으로 요약하면 다음과 같다.
  
일체의 연관 기업은 추적 가능한 소스 데이터와 함께 쉽게 검증할 수 있는 재무 보고서를 생성할 수 있는 재무 회계 체계를 확립해야 한다. 소스 데이터는 원래 상태로 유지되어야 하고 문서화되지 않은 수정을 해서는 안 된다. 아울러, 재무 또는 회계 소프트웨어의 변경이 있다면 누가 무엇을 언제 왜 변경했는지에 관한 완벽한 기록이 있어야 한다(출처. 사베인스 옥슬리 101조). 

이는 정보보호 3요소(Confidentiality, Integrity, and Availability, CIA)와 이의 변형을 반영한다. 구체적으로, 데이터 무결성이 보호되어야 하고, 데이터는 필요한 사람이 이용할 수 있어야 하고, 누가 데이터를 생성했거나 변경했는지를 알 수 있도록 강제해야 한다. 

사베인스-옥슬리법의 통제수단 

사베인스-옥슬리법 요구사항이 조직 내에 구현된 것을 ‘통제수단(controls)’이라고 칭한다. 이런 맥락에서 ‘통제수단’은 재무 보고 주기 내의 오류 또는 부정 행위를 예방하거나 검출하도록 의도된 내부 규칙이다.
 
사베인스-옥슬리법은 ‘통제수단’이 전사적으로 구현되도록 강제한다. 사베인스-옥슬리 감사 절차 하에서 검토해야 할 내부 규칙의 실례를 구체적으로 다음과 같이 제시한다.
 

• 접근(Access): 사무실 및 종이 서류로의 물리적 접근, 그리고 데이터로의 전자적 접근을 다루는 규칙이 있어야 한다. 이 법은 최소한으로 접근을 허용하는 모델을 강제하고, 따라서 직원은 직무 수행에 필요한 정도까지만 접근을 허용하고 그 이상의 접근을 허용하지 않는다. 
• 데이터 백업: 재무 기록은 법에서 규정한 방식으로 외부에 백업되어야 한다. 
• 보안: 데이터를 유출로부터 보호했음을 증명하는 일련의 규칙이 있어야 한다. 다만 이의 구현은 합리적인 정도까지 재량에 의해 이루어질 수 있다. 
• 변화 관리: 기업 재무를 관리하는 데이터베이스나 소프트웨어를 추가하거나 변경하는 것, 나아가 새로운 사용자를 추가하는 것과 관련해 명확한 절차가 있어야 한다. 

이들 통제수단은 추상적으로 묘사되어 있다. 일반적으로, 통제 수단은 이들이 하는 일이나 보호하는 것 측면에서 서술되고, 이를 구현하는 것은 IT 부서의 재량이다. 예를 들어 전자적 접근에 관한 규칙은 회사의 내부 재무 데이터를 변경할 권한이 있는 직함을 명시할 수 있지만, 이를 실행할 적절한 개인을 선정하는 것은 IT 부서의 재량이다. 

이는 분명히 상당한 작업이 필요하고, 따라서 표준화된 사베인스-옥슬리법 통제수단을 구현하는 데 도움을 주는 소규모 소프트웨어 패키지 업종이 생겨나는 것은 새삼스럽지 않다.

  
사베인스-옥슬리법 규정 준수  

사베인스-옥슬리법 규정 준수(compliance)는, 다음의 단계를 이행해 기업의 절차를 제반 의무사항에 합치시키는 것으로 구성된다.
 
1. CEO와 CFO는 재무 보고 및 내부 통제 수단에 책임을 진다
2. 내부 통제수단 보고서는 기업의 통제수단을 정직하게 평가해야 한다 
3. 정식 데이터 보안 정책을 작성하고 실행해야 하고, 데이터 보안 전략을 개발해야 한다
4. 제반 규정준수 단계는 기록되어야 하고, 지속적으로 문서화되어야 한다 

규정 준수는 기업에게 큰 부담을 주고, 이를 위해 도움을 구하는 기업이 많다. 후원 기업 위원회(Committee of Sponsoring Organizations of the Treadway Commission, COSO)가 리소스를 제공한다. 1985년에 결성되어 기업 사기 행위에 대항하는 COSO는 기업이 최고의 사기 방지 관행을 구현하는 데 따른 내부 통제수단 프레임워크를 여러 해 동안 유지해왔다.  

보안 업체인 엑사빔(Exabeam)은 이해하기 쉬운 7가지 사베인스-옥슬리법 점검 목록을 다음과 같이 제시했다. 

1. 데이터 조작 방지 
2. 핵심 활동에 대한 타임라인 기록 
3. 검증 가능한 접근 추적 수단 구축 
4. 안전 장치를 테스트하고 검증하고 감사인에게 공개 
5. 안전 장치의 유효성에 관한 보고 
6. 보안 침해 탐지 
7. 보안 침해 및 보안 통제수단의 실패를 감사인에게 공개 

사베인스-옥슬리법 처벌 

사베인스-옥슬리법 처벌은 매우 엄중할 수 있는데, 중요한 것은 권한을 가진 개인에게 직접 적용되며, 관습적으로 회사에 적용되지 않는다. 기업 임원은 오류가 있는 보고서에 무심코 서명하더라도 처벌받을 수 있다. 의도적 사기 행위는 가장 심하게 처벌받는다. 예를 들어 이 법을 위반한 보고서를 고의로 승인한 CEO 또는 CFO는 500만 달러의 벌금이나 최대 20년의 징역형을 받을 수 있다.

 
사베인스-옥슬리법 사례  

미국 연방 정부가 사베인스-옥슬리법의 조항을 적용한 사례가 분명히 있다. 예를 들어 법이 통과된 지 얼마 되지 않았던 2003년 EY(Ernst & Young) 직원이 고객과 관련된 문서를 파괴한 혐의로 체포됐다. 2014년에는 연방통신위원회(Federal Election Commission, FEC)가 내부 통제수단의 현황에 관해 감사인을 속인 혐의로 한 플로리다 컴퓨터 업체의 CEO와 CFO를 고발했다. 

그러나 실무적으로, 사베인스-옥스리법이 기업 사기를 처벌한다는 측면에서 실패한 것으로 보는 이들도 있다. 재무 보고서가 사기라고 증명할 수 있지만, 그렇다고 해서 CEO와 CFO가 보고서에 서명할 때 사기임을 인지했음을 증명하기 어려울 수 있다. 그리고 검사가 강력한 증거를 가지고 있다면 사베인스-옥슬리 법과 무관한 한층 강력한 사기 형벌을 구형하는 데 이용할 것이다. 

하지만 법학 교수인 피터 헤닝은 "회계 부정이 더 이상 용납되지 않을 것임을 확정한 것이다"라며, 이 법이 억제 수단으로 긍정적 효과가 있다고 판단했다. editor@itworld.co.kr