본문으로 건너뛰기

SaaS 스타트업을 위한 SOC 2 Type II: 비용, 기준 및 6개월 관찰 기간

· 약 11분
Mike Thrift
Mike Thrift
Marketing Manager

한 기업 잠재 고객이 방금 창업자에게 SOC 2 Type II 보고서를 요청하는 이메일을 보냈습니다. 하지만 귀사에는 보고서가 없습니다. 이 계약의 가치는 400만 달러이며 조달 마감일은 90일 후입니다. 여기 불편한 진실이 있습니다. SOC 2 Type II는 최소 3개월의 관찰 기간을 요구하며, 대부분의 안목 있는 기업 구매자는 최소 6개월 이상을 요구합니다. 보고서를 향해 전력 질주할 수는 없습니다. 그저 시계의 태엽을 감기 시작할 수 있을 뿐입니다.

첫 번째 대형 기업 계약을 앞둔 창업자들에게 SOC 2는 "검토해보고 싶다"와 "보고서를 보내주면 이야기하겠다"를 가르는 필수적인 자격 요건(table-stakes credential)이 되었습니다. 이 가이드는 감사가 실제로 무엇을 다루는지, 범위를 어떻게 설정하는지, 2026년 기준 비용은 얼마인지, 그리고 실제 계약을 무산시킨 준비 과정의 함정들은 무엇인지 파헤칩니다. 이를 통해 영업을 1년 동안 중단하지 않고도 첫 번째 심사를 통과할 수 있도록 도와드립니다.

SOC 2란 실제로 무엇인가

2026-05-11-soc-2-type-ii-saas-startups-trust-services-criteria-audit-cost-six-month-observation-window-first-examination-guide

System and Organization Controls 2의 약자인 SOC 2는 미국공인회계사회(AICPA)가 제정한 기준에 따라 면허를 소지한 CPA 회사가 발행하는 인증 보고서입니다. 이는 서비스 조직이 고객 데이터를 보호하고 시스템의 신뢰성을 유지하기 위해 운영하는 통제 항목을 평가합니다. 보고서는 자격증이나 단순 체크리스트가 아닙니다. 귀사의 통제 항목이 적절하게 설계되고 효과적으로 운영되고 있는지에 대해 공식적인 언어로 작성된 감사인의 의견서입니다.

두 가지 유형이 존재하며, 그 차이는 창업자들이 흔히 생각하는 것보다 더 중요합니다.

  • SOC 2 Type I은 특정 시점의 스냅샷입니다. 감사인은 특정 날짜에 귀사의 통제 항목이 적절하게 설계되었는지를 평가합니다. 통제가 마련되면 몇 주 안에 획득할 수 있습니다. 많은 스타트업이 이를 디딤돌로 삼습니다.
  • SOC 2 Type II는 동일한 통제 항목이 일정 기간(일반적으로 3~12개월) 동안 실제로 효과적으로 운영되었는지를 평가합니다. 이것이 기업 고객이 진정으로 원하는 것인데, 통제 항목이 단순히 문서화된 것이 아니라 실제로 살아 움직이고 있음을 증명하기 때문입니다.

기업들은 일반적으로 Type I을 유망한 신호로, Type II를 실제 결과물로 간주합니다. Type I을 건너뛰고 바로 Type II로 가면 중복 감사 비용을 절약할 수 있지만, "준비 중"이라는 초기 자격 증명을 포기하게 됩니다.

신뢰 서비스 기준 (Trust Services Criteria)

SOC 2는 2017년 AICPA에 의해 최종 갱신되고 2022년 중점 사항(Points of Focus)이 개정된 신뢰 서비스 기준(Trust Services Criteria)을 기반으로 합니다. 5가지 카테고리가 있으며, 범위에 따라 적용할 항목을 선택합니다.

  1. 보안(Security) — 유일한 필수 카테고리로, 종종 공통 기준(Common Criteria, CC1~CC9)이라고 불립니다. 모든 SOC 2 보고서에 포함됩니다. 논리적 접근, 변경 관리, 위험 평가, 모니터링 및 사고 대응을 다룹니다.
  2. 가용성(Availability) — 약속한 대로 시스템에 접근하고 사용할 수 있는지 여부입니다. SLA를 판매하거나 가동 시간이 중요한 인프라를 운영하는 경우 유용합니다.
  3. 처리 무결성(Processing Integrity) — 처리가 완전하고 정확하며 적시에 승인되었는지 여부입니다. 결제 대행사, 과금 플랫폼, 데이터 파이프라인과 관련이 있습니다.
  4. 기밀성(Confidentiality) — 기밀로 지정된 정보가 적절하게 보호되는지 여부입니다. 독점적인 고객 데이터를 취급하는 대부분의 B2B SaaS 회사가 이를 추가합니다.
  5. 개인정보 보호(Privacy) — 개인 정보가 엔티티의 개인정보 처리방침에 따라 수집, 사용, 보유, 공개 및 폐기되는지 여부입니다. 범위가 크게 늘어나며, 일반적으로 명시적인 개인정보 보호 요구 사항이 있는 산업에 판매하지 않는 한 뒤로 미룹니다.

전형적인 첫 SaaS 범위는 보안 + 가용성 + 기밀성입니다. 개인정보 보호는 난이도가 높습니다. 처리 무결성은 서비스 자체가 데이터 변환 엔진이 아닌 한 거의 필요하지 않습니다. AICPA는 카테고리 전체에 걸쳐 약 300개의 중점 사항과 61개의 기준을 나열하고 있지만, 각 항목마다 통제 수단을 작성할 필요는 없습니다. 기존 통제 항목을 기준에 맞게 매핑하면 됩니다.

누가 실제로 SOC 2를 필요로 하는가

고객이 귀사의 서비스를 통해 데이터를 저장, 처리 또는 전송하고 그중 하나라도 중견 기업 이상이라면, SOC 2가 필요한지 여부가 아니라 "언제" 필요한지가 문제입니다. 문제를 강제하는 트리거는 다음과 같습니다.

  • 갱신 시 보안 설문지를 추가하는 조달 또는 공급업체 위험 관리 팀
  • "SOC 2"를 계약 전제 조건으로 언급하는 기업 잠재 고객
  • 구매자를 불안하게 만드는 경쟁사의 침해 또는 사고
  • 실사를 진행하는 인수자; SOC 2의 부재는 협상된 가격 인하 요인이 됨
  • 인증 증거를 요청하며 사이버 보험 증권을 인수하는 보험사

소규모 비즈니스, 개인 개발자 또는 셀프 서비스 고객에게 판매할 때는 SOC 2가 필요하지 않습니다. 하지만 연간 계약 금액이 5자리 또는 6자리 수(수천만 원에서 수억 원)가 되기 시작하면 설문지가 도착하고, 보고서 없이는 답변할 수 있는 한계에 부딪히게 됩니다.

SOC 2 Type II 심사 과정

Type II 계약은 대략 5단계로 나뉩니다.

1. 범위 설정 및 준비도 평가 (Scoping and Readiness Assessment)

첫 번째 단계에서는 시스템이 무엇인지, 경계가 어디인지, 어떤 하위 서비스 조직을 제외할지, 어떤 신뢰 서비스 기준을 적용할지 정의합니다. 때때로 격차 평가(gap assessment)라고 불리는 준비도 평가는 리허설과 같습니다. 감사인(또는 독립 컨설턴트)이 모든 기준을 검토하고, 누락된 통제 항목이나 취약한 증거를 식별하며, 관찰 기간이 시작되기 전에 수정해야 할 항목 목록을 제공합니다.

준비 과정을 건너뛰는 것은 첫 번째 감사 실패의 가장 흔한 원인입니다. 컴플라이언스 자동화 플랫폼을 구매하고 그것으로 충분하다고 가정하는 창업자들은 종종 테스트 시점에 플랫폼이 통제 항목을 문서화했을 뿐 실행하지 않았다는 사실을 발견하게 됩니다.

2. 보완 및 조치 (Remediation)

부족한 부분을 구축하고, 작성하고, 구성하고, 운영화합니다. 일반적인 보완 항목은 다음과 같습니다:

  • 정보 보안 정책 (허용 가능한 사용, 액세스 제어, 변경 관리, 사고 대응, 공급업체 관리, 비즈니스 연속성)
  • ID 및 액세스 관리 (싱글 사인온, MFA, 최소 권한 역할 설계, 입사-이동-퇴사 워크플로)
  • 엔드포인트 보호 및 패치 관리
  • 코드 리뷰 및 CI/CD 증적을 포함한 운영 환경 변경 관리
  • 정해진 주기에 따른 취약점 점검 및 모의 해킹
  • 알림 및 검토 기능이 포함된 중앙 집중식 로깅 및 모니터링
  • 모든 하위 처리자에 대한 실사 파일을 포함한 공급업체 리스크 관리
  • 연례 리스크 평가, 직원 보안 교육 및 신원 조회

3. 관찰 기간 (The Observation Window)

Type II의 결정적인 특징입니다. 감사인은 이 기간 전체에 걸쳐 귀하의 통제가 효과적으로 운영되었는지 테스트합니다. 일반적인 기간은 다음과 같습니다:

  • 3개월 — 기술적인 최소 기간으로, 엔터프라이즈 고객이 수용하는 경우는 드뭅니다. 일정이 촉박할 때 중간 보고서용으로 유용합니다.
  • 6개월 — 스타트업의 전형적인 첫 Type II 기간입니다. 속도와 신뢰성 사이의 합리적인 균형점입니다.
  • 12개월 — 리스크를 기피하는 대기업이 선호하며, 향후 연간 갱신 시 요구되는 기간입니다.

이 기간 동안 목록에 있는 모든 통제가 작동해야 합니다. 매월 액세스 권한 검토를 수행하기로 약속했다면 매월 수행하십시오. 통제 목록에 분기별 취약점 점검이 있다면 분기별로 실행하십시오. 이 과정에서 발생하는 공백을 감사인은 "예외 사항(exceptions)"이라고 부르며, 감사인이 광범위하다고 판단하는 단 하나의 예외 사항만으로도 한정 의견(qualified opinion)을 받을 수 있습니다.

4. 현장 실사 (Fieldwork)

관찰 기간이 종료되면 감사인은 티켓, 로그, 스크린샷, 교육 기록, 액세스 검토 확인서 등 증적 샘플을 추출하여 각 통제가 설명된 대로 작동했는지 테스트합니다. 담당자 인터뷰를 진행하고 시스템을 실시간으로 관찰하기도 합니다. 이 단계는 일반적으로 4~8주 정도 소요됩니다.

5. 보고서 작성 (Reporting)

감사인이 보고서 초안을 작성합니다. 귀하는 시스템 설명과 경영진 확인서(management assertion)를 검토합니다. 감사인은 최종 의견을 확정합니다: 적정(unqualified) (깨끗함), 한정(qualified) (예외 사항이 있으나 그 외에는 효과적임), 부적정(adverse) (통제가 효과적이지 않음), 또는 의견 거절(disclaimer) (의견을 형성할 수 없음). 창업자는 적정 의견을 목표로 해야 합니다. 한정 의견 보고서로도 계약을 체결할 수는 있지만, 불편한 후속 질문을 받게 됩니다.

2026년 비용의 현실

감사 수수료만 예산에 책정하는 창업자는 전체 비용의 아주 일부만 계산하는 셈입니다. 다음은 소규모 SaaS 기업(직원 50인 미만, 단일 제품, 클라우드 네이티브 인프라)의 현실적인 2026년 비용 분석입니다:

비용 구성 항목일반적인 범위
감사 수수료 (Type II, 6개월 기간)$12,000 – $25,000
준비 상태 평가 (감사인과 별개인 경우)$5,000 – $15,000
컴플라이언스 자동화 플랫폼 (연간)$7,000 – $25,000
모의 해킹 (연간)$5,000 – $15,000
보안 도구 추가 (MDM, SIEM, IAM 업그레이드)$5,000 – $25,000
내부 인력 투입 시간 (인월 비용)$20,000 – $60,000
첫해 전체 합계 비용$45,000 – $150,000

2년 차에는 일반적으로 비용이 30~50% 감소합니다. 정책이 이미 작성되었고, 도구가 배포되었으며, 감사는 처음부터 구축하는 것이 아니라 갱신 및 재테스트 과정이 되기 때문입니다. 감사 수수료 자체는 매년 작업량이 비슷하기 때문에 크게 변하지 않는 경우가 많습니다.

큰 결과를 초래하는 작은 세부 사항: 기성 회계법인은 스타트업 전문 부티크 회사가 $10,000에서 $15,000에 수행하는 동일한 감사에 대해 $20,000에서 $30,000를 청구합니다. 두 곳 모두 유효한 AICPA 보고서를 제공합니다. 일부 엔터프라이즈 구매자에게는 감사법인의 브랜드가 중요할 수 있지만(가끔 공급업체 설문지에 일류 법인 이름이 등장함), 대부분의 구매 팀은 법인이 어디인지보다 의견의 종류, 포함된 기준, 그리고 대상 기간을 더 중요하게 생각합니다.

첫날부터 컴플라이언스 지출을 추적하십시오

SOC 2는 창업자들이 연말에 "그 돈이 다 어디로 갔지?"라고 자문하게 되는 프로젝트 중 하나입니다. 감사 송장은 눈에 보이는 부분일 뿐이며, 실제 지출은 보안 도구, 모의 해킹, 컴플라이언스 플랫폼 구독료, 계약직 인건비, 정책 법률 검토, 그리고 수십 가지의 사소한 인프라 변경 사항에 흩어져 있습니다. 처음부터 회계 장부의 전용 Expenses:Compliance:SOC2 계정에 모든 거래를 태깅해 두면, 이사회가 프로그램 비용과 내년 예산에 대해 물을 때 정직한 답변을 내놓을 수 있습니다. 또한, 기술적 보완 작업의 상당 부분이 흔히 R&D 세액 공제 대상에 해당하므로 이에 대한 깔끔한 증빙 자료도 갖추게 됩니다.

첫 심사를 망치는 6가지 실수

수많은 첫 SOC 2 Type II 컨설팅을 진행해 본 결과, 동일한 실패 패턴이 반복됩니다. 다음을 피하십시오:

1. 문서화된 통제를 실제 운영 중인 통제로 착각하는 것

"분기별로 액세스 권한 검토를 수행한다"는 정책만으로는 감사를 통과할 수 없습니다. 전체 관찰 기간 동안 액세스 권한 검토가 실제로 제때에 매번 수행되었다는 증적이 있어야 감사를 통과할 수 있습니다. 대부분의 실패는 통제가 없어서가 아니라, 네 번 중 세 번만 작동했기 때문에 발생합니다.

2. 공급업체 리스크 관리를 과소평가하는 것

귀하는 클라우드 제공업체, 모니터링 벤더, 신원 조회 서비스 등 하위 서비스 조직의 통제에 대해서도 책임이 있습니다. 감사인은 각 공급업체의 SOC 2를 검토했는지, 혹은 SOC 2가 없는 공급업체에 대해 리스크 평가를 완료했는지에 대한 증거를 요구할 것입니다. 스타트업들은 현장 실사가 시작될 때까지 공급업체 목록을 절반도 채우지 못하는 경우가 많습니다.

3. 입사, 전보 및 퇴사 프로세스 관리의 방치

입사-전보-퇴사(Joiner-mover-leaver)는 가장 빈번하게 테스트되는 통제 항목 중 하나입니다. 모든 신규 입사자는 문서화된 권한 할당(provisioning) 절차를 거쳐야 하며, 모든 퇴사자는 정책에서 약속한 SLA 내에 문서화된 권한 회수(deprovisioning)가 완료되어야 합니다. 슬랙 메시지는 증거로 인정되지 않으며, 티켓팅 기록만이 유효한 증적입니다.

4. 위험 평가 무시

SOC 2 프레임워크는 연례 문서화된 위험 평가를 요구합니다. 여기에는 위협 식별, 가능성 및 영향 평가, 그리고 이를 완화하기 위한 통제 항목과의 연결이 포함되어야 합니다. 구글 문서의 글머리 기호 목록만으로는 부족합니다. 위험 대장(risk register)은 통제 집합, 사고 대응 계획, 그리고 비즈니스 연속성 계획(BCP)과 유기적으로 연결되어야 합니다.

5. 감사인 선임 지연

보고서가 필요한 시점부터 불과 두 달 전에 감사인을 찾기 시작하면, 여력이 있는 감사인을 찾지 못하거나 급행료를 지불하게 될 가능성이 높습니다. 목표로 하는 관찰 기간이 시작되기 3~6개월 전에 감사인과 계약하십시오. 많은 감사인이 먼저 준비 상태 평가(readiness assessment)를 수행하므로, 조기에 계약하면 보완 조치를 위한 파트너를 확보하게 되는 셈입니다.

6. 너무 짧은 관찰 기간 설정

3개월짜리 보고서는 엔터프라이즈 조달 기준을 만족시키기 어렵습니다. 보통 6개월 보고서가 기준이 됩니다. 일부 창업자들은 단일 계약을 따내기 위해 3개월이라는 도박을 걸기도 하지만, 결국 다음 잠재 고객을 위해 같은 과정을 반복하게 됩니다. 허용되는 최단 기간이 아니라, 고객이 실제로 수용할 수 있는 가장 짧은 기간을 선택하십시오.

효과적인 12개월 계획

대부분의 첫 SaaS Type II 프로젝트가 예상해야 할 타임라인은 다음과 같습니다:

  • 1~2개월 차: 범위 설정 (일반적으로 보안 + 가용성 + 기밀성으로 시작). 감사인 및 준비 상태 컨설턴트 선임. 격차 분석(gap assessment) 수행.
  • 3~5개월 차: 보완 및 개선. 정책 스택 작성. 누락된 보안 도구 도입. 모든 반복 통제 항목에 대한 티켓팅 및 증적 수집 체계 구축. 보안 의무 사항이 포함된 벤더 계약 체결.
  • 6개월 차: 내부 리허설. 모든 통제 항목에 대한 증적 추출. 깨끗한 증적이 생성되지 않는 부분 수정.
  • 7~12개월 차: 관찰 기간. 모든 통제 항목을 일관되게 운영. 절대적으로 필요한 경우가 아니면 기간 중간에 새로운 통제 항목을 추가하지 말 것.
  • 13개월 차: 현장 실사(Fieldwork). 샘플 제공, 인터뷰 진행, 감사인 질의 응답.
  • 14개월 차: 최종 보고서 발행. 파이프라인에서 대기 중인 잠재 고객에게 발송.

공격적인 창업자들은 준비 작업과 보완 작업을 병행하고 6개월의 관찰 기간을 선택하여 이 과정을 6~9개월로 압축하기도 합니다. 가능은 하지만, 첫 시도인 팀에게는 매우 드문 사례입니다.

보고서 발행 이후

보고서는 관찰 기간 종료일로부터 12개월 동안 유효합니다. 그 이후에는 잠재 고객들이 다음 보고서가 언제 나오는지 묻기 시작할 것입니다. 매년 정기적으로 수행할 계획을 세우십시오. 공백 없는 연속적인 12개월 관찰 기간을 유지하여 보고서가 서로 겹치게 하고, 항상 최신 상태의 문서를 공유할 수 있도록 해야 합니다. 이것이 SOC 2를 프로젝트가 아닌 프로그램으로 관리해야 하는 이유 중 하나입니다. 2년 차는 1년 차에 구축한 운영 주기를 따르는 것뿐입니다.

브릿지 레터(Bridge letters)는 보고서 주기 사이에 감사인이 발행할 수 있는 짧은 문서로, 지난 보고서 이후 실질적인 변경 사항이 없음을 증명합니다. 다음 보고서가 나오기 전 고객에게 확신을 주어야 할 때 시간을 벌어줍니다. 비용은 미미하므로, 감사 계약에 브릿지 레터가 포함되어 있는지 확인하십시오.

통제 항목만큼 깔끔한 회계 장부 관리

SOC 2는 문서화, 반복 가능성, 증빙 등 규율 있는 운영을 요구합니다. 회계 역시 동일한 원칙으로 운영되어야 합니다. Beancount.io는 투명하고 버전 관리가 가능하며 AI 활용이 준비된 텍스트 기반 회계(plain-text accounting)를 제공합니다. 보안 프로그램을 위해 구축 중인 감사 추적(audit trail)만큼이나 재무 감사 추적도 견고하게 유지하십시오. 무료로 시작하기를 통해 책임이 중요한 시대에 왜 창업자와 재무 전문가들이 텍스트 기반 회계를 선택하는지 확인해 보십시오.

Share on TwitterFollow @beancount_io

Beancount.io 시작하기

오픈 소스 복식부기 시스템으로 자산을 관리하세요. 오늘 바로 원장 작성을 시작해 보세요.

무료로 시작하기요금제 보기

시작하기

주요 기능

커뮤니티

법적 고지

Beancount.io© 2019 - 2026 Beancount.io
App Store에서 다운로드Google Play에서 다운로드
투명한 설계 • 버전 관리 지원 • AI 기반