귀하의 사무소가 연방 세무 신고서를 작성하거나, 급여 계산을 처리하거나, 고객의 은행 피드에 접근한다면, 연방 정부는 이미 귀하를 "금융 기관"으로 간주하고 있습니다. 2026년 신고 시즌부터 미 국세청(IRS)은 귀하가 서면 정보 보안 프로그램(WISP)을 갖추고 있음을 위증의 벌을 감수하고 증명하지 않는 한 PTIN(세무대리인 등록번호)을 갱신해 주지 않을 것입니다. 이 증명은 단순히 확인란에 체크하는 요식 행위가 아닙니다. 이는 귀하의 사무소가 FTC 세이프가드 규칙의 9가지 요소를 구현했으며, 프로그램을 운영할 적격자(Qualified Individual)를 지정했고, 지난 1년 이내에 테스트를 마쳤으며, 유출 발생 시 30일 이내에 규제 기관에 보고할 계획을 가지고 있다는 선서 진술입니다.
대부분의 1인 사업자나 소규모 장부 기성 사무소는 고객이 공급업체 실사 설문의 일부로 WISP를 요청하거나, 피싱 사고 발생 후 IRS에서 "세무 전문가 보안 인식" 서신을 보낼 때 비로소 WISP 요건에 대해 알게 됩니다. 두 경우 모두 처음부터 시작하기에 좋은 시점은 아닙니다. 이 가이드는 WISP에 실제로 포함되어야 하는 내용, FTC 세이프가드 규칙이 소규모 사무소의 현실에 어떻게 적용되는지, 그리고 프랙셔널 CISO를 고용하거나 엔터프라이즈 GRC 툴을 구매하지 않고도 신뢰할 수 있는 프로그램을 구축하는 방법을 설명합니다.
WISP가 더 이상 선택 사항이 아닌 이유
미국의 모든 세무 대리인과 장부 기성인 위에는 두 개의 규제 기관이 있으며, 이들은 서로를 강화합니다.
첫 번째는 IRS로, 수년 동안 섹션 7216 및 그램-리치-블라일리법(Gramm-Leach-Bliley Act)에 따라 서면 보안 계획을 요구해 왔지만, 최근에야 실질적인 강제력을 부여했습니다. 2024년 PTIN 갱신 주기부터 모든 신고인은 현재 유효한 WISP를 보유하고 있음을 확인해야 합니다. 2026년 갱신 기간에는 FTC 세이프가드 규칙의 9가지 요소에 대한 명시적인 증명이 추가됩니다. 허위 또는 부주의한 증명은 유출 조사 과정에서 사후에 발견되는 종류의 것이며, PTIN 신청서의 허위 진술은 유출 사고 자체와는 별개의 노출 위험입니다.
두 번째는 16 CFR Part 314에 의거하여 세이프가드 규칙을 집행하는 **연방거래위원회(FTC)**입니다. FTC는 준수 프로그램을 유지하지 못한 기업에 대해 위반 건당 최대 100,000달러의 민사 과태료를 부과할 권한이 있으며, "위반"은 좁게 정의될 수 있습니다. 수백 개의 고객 기록에 걸쳐 단 하나의 통제 장치가 누락된 경우도 대형 세무 대리 업체에 대해 8자리 수의 합의금을 이끌어낸 계산법에 해당합니다.
세이프가드 규칙은 지난 3년 동안 더욱 강화되었습니다. 2023년 10월 개정안은 500명 이상에게 영향을 미치는 암호화되지 않은 고객 정보의 무단 취득인 "통지 이벤트" 발생 시 30일 이내에 FTC에 통지할 것을 요구합니다. 이 보고 요건은 2024년 5월에 발효되었으며, FTC는 이미 이를 통해 유출 사고 발생 시 WISP를 갖추지 않았던 업체들을 식별하는 데 사용하고 있습니다. 계획 없이 유출을 겪는 것은 계획이 있는 상태에서 유출을 겪는 것보다 훨씬 나쁜 상황입니다.
세무 전문가에게 이러한 중첩된 구조는 단 한 번의 피싱 사고가 IRS의 PTIN 노출, FTC의 민사 과태료, 50개 주의 유출 통지법에 따른 주 검찰총장의 조사, 그리고 피해 고객들의 신원 도용 청구로 이어질 수 있음을 의미합니다. WISP는 이러한 파급 효과의 크기를 실질적으로 줄여주는 유일한 문서입니다.
문서화해야 할 9가지 요소
FTC 세이프가드 규칙은 16 CFR § 314.4에 9가지 특정 프로그램 요소를 나열하고 있습니다. IRS 간행물 5708 템플릿도 동일한 9가지 요소를 중심으로 섹션을 구성하고 있으며, 각 요소를 서면으로 다루지 않는 WISP는 규정을 준수하는 WISP가 아닙니다. 소규모 사무소에서 각 요소가 실제로 의미하는 바는 다음과 같습니다.
1. 적격자 지정
보안 프로그램을 책임질 한 사람을 직함과 이름으로 명시해야 합니다. FTC는 적격자(Qualified Individual)가 특정 학위나 자격증을 가질 필요는 없다고 명시하고 있습니다. 중요한 점은 역할이 문서화되어야 하고, 그 사람이 의사 결정 권한을 가져야 하며, 최소한 매년 경영진에게 보고해야 한다는 것입니다. 1인 사업장에서는 대개 소유주가 적격자가 됩니다. 소규모 사무소에서는 대개 관리 파트너나 사무장이 역할을 맡고, 기술적인 업무는 외부 MSP(IT 서비스 제공업체)의 지원을 받습니다. 역할은 아웃소싱할 수 있지만 책임은 외주화할 수 없습니다.
2. 서면 위험 평가 실시
위험 평가는 종이 기록, 디지털 파일, 클라우드 애플리케이션, 이메일, 모바일 기기 및 귀하가 사용하는 모든 제3자 서비스 전반에서 고객 정보에 대해 예측 가능한 내부 및 외부 위험을 식별하는 것입니다. 이는 서면으로 작성되어야 하며, 주기적이어야 하고, 이를 읽는 사람이 귀하가 어떤 위협을 고려했는지 알 수 있을 만큼 구체적이어야 합니다. "자산 → 위협 → 가능성 → 영향 → 완화"를 매핑한 한 페이지 분량의 표는 대부분의 소규모 사무소에 충분합니다. "우리는 백신 소프트웨어를 사용합니다"라는 두 줄짜리 문구는 충분하지 않습니다.
3. 보호 조치 설계 및 구현
보호 조치 규칙(Safeguards Rule)은 프로그램에서 다루어야 할 구체적인 기술적 제어 사항을 명시합니다. 여기에는 액세스 제어, 자산 인벤토리, 저장 및 전송 중인 고객 정보의 암호화, 사내 애플리케이션에 대한 보안 개발 관행, 고객 데이터에 액세스하는 모든 시스템에 대한 다요소 인증(MFA), 마지막 상호 작용 후 2년 이내의 고객 정보 보안 폐기, 변경 관리, 그리고 승인된 사용자 활동의 모니터링이 포함됩니다.
소규모 기업이 가장 많이 실수하는 두 가지 제어 사항은 암호화와 MFA입니다. 이 규칙은 귀하의 시스템 내 및 전송 중인 고객 정보의 암호화를 요구합니다. 만약 업무 수임 계약서가 개인 노트북과 동기화된 Dropbox 폴더에 암호화되지 않은 채로 있다면, 이는 위반 사항에 해당합니다. MFA는 지식, 소유, 내재성이라는 세 가지 인증 요소 중 최소 두 가지를 사용해야 하며, 이를 생략할 수 있는 유일한 방법은 적격 개인(Qualified Individual)으로부터 동등한 제어 조치에 대한 서면 승인을 받는 것뿐입니다. "불편하다"는 것은 동등한 제어 조치가 될 수 없습니다.
4. 정기적인 보호 조치 모니터링 및 테스트
이 규칙은 지속적인 모니터링 또는 연례 침투 테스트 및 반기별 취약점 평가를 요구합니다. 소규모 기업에게 현실적인 경로는 두 번째 방식입니다. 즉, 1년에 두 번 인증된 취약점 스캔을 실시하고, 상당한 양의 세무 신고를 처리하거나 고위험군 고객 데이터를 다루는 경우 매년 침투 테스트를 실시하는 것입니다. 테스트 결과는 적격 개인에 의해 문서화되고 검토되어야 합니다.
5. 직원 교육
고객 정보에 액세스하는 모든 직원은 역할에 적합한 보안 교육을 받아야 하며, 해당 교육은 정기적으로 갱신되어야 합니다. 적격 개인은 기본 교육 이상의 지식이 필요합니다. 피싱 시뮬레이션, 비밀번호 위생, 보안 파일 처리, 사고 보고 절차는 필수적인 주제입니다. 교육 로그(날짜, 참석자, 주제)는 WISP 폴더에 보관해야 합니다.
6. 서비스 제공업체 감독
세무 소프트웨어 공급업체, 클라우드 스토리지 플랫폼, 문서 서명 서비스, 급여 처리업체 또는 장부 정리 앱을 사용하는 경우, 이들은 규칙에 따른 서비스 제공업체에 해당합니다. 귀하는 적절한 보호 조치를 유지할 능력이 있는 업체를 선정해야 하며, 계약상 이를 요구하고, 해당 기준을 계속 충족하는지 정기적으로 평가해야 합니다. SOC 2 유형 II(Type II) 보고서가 표준 증거이며, 이를 제출하지 못하는 업체는 주의해야 할 신호입니다.
7. 프로그램 최신 상태 유지
WISP는 살아있는 문서입니다. 이 규칙은 테스트 결과, 운영상의 중대한 변화 및 위협 환경의 변화를 고려하여 프로그램을 평가하고 조정할 것을 요구합니다. 최소 매년 검토해야 하며, 세무 소프트웨어를 변경하거나 새로운 클라우드 플랫폼으로 마이그레이션하거나 새 사무실을 열거나 새 파트너를 영입할 때마다 갱신해야 합니다.
8. 서면 사고 대응 계획 작성
사고 대응 계획(IRP)은 보안 이벤트에 대응하기 위한 내부 프로세스를 구체적으로 명시해야 합니다. 여기에는 목표, 역할 및 책임, 내부 커뮤니케이션, 외부 커뮤니케이션, 증거 보존, 복구 단계 및 사고 후 검토가 포함됩니다. 또한 이 계획에는 규정에 따른 통보 경로도 포함되어야 합니다. 즉, 500명 이상의 개인에게 영향을 미치는 이벤트의 경우 30일 이내에 FTC에 보고하고, 데이터 도난의 경우 IRS 이해관계자 연락처(Stakeholder Liaison)에 보고하며, 관련 주의 개인정보 유출법에 따라 각 주 검찰총장에게 보고해야 합니다.
9. 매년 이사회(또는 소유주)에 보고
적격 개인은 최소 매년 기업의 관리 기구(이사회, 관리 파트너 또는 단독 소유주)에 서면으로 보고해야 합니다. 이 보고서는 프로그램의 전반적인 상태, 중대 위험, 테스트 결과, 서비스 제공업체 문제 및 모든 보안 이벤트를 다룹니다. 1인 기업의 경우, 소유주가 자신에게 메모를 작성하고 날짜를 기입하여 보관하는 것을 의미합니다. FTC 조사관 앞에 앉기 전까지는 우스꽝스럽게 들릴 수 있지만 매우 중요한 절차입니다.
IRS 간행물 5708 템플릿이 가장 쉬운 시작점입니다
IRS, 주 세무 기관 및 주요 세무 소프트웨어 업체 간의 파트너십인 보안 서밋(Security Summit)은 작성 가능한 WISP 템플릿인 **IRS 간행물 5708(Publication 5708)**을 발행합니다. 이는 FTC의 9가지 요소를 중심으로 구성된 28페이지 분량의 문서로, 소규모 기업이 필요한 모든 섹션을 작성할 수 있도록 안내합니다. 최근 개정판에는 MFA 승인 워크플로, 암호화 대안 및 30일 유출 통보 프로세스에 대한 내용이 추가되었습니다.
간행물 5708에 관한 두 가지 실질적인 참고 사항:
- 이것을 완성된 계획이 아니라 기초 뼈대로 취급하십시오. 템플릿은 귀사 고유의 구체적인 보호 조치, 업체, 교육 주제 및 사고 대응 연락처를 기입하도록 요구합니다. 플레이스홀더 텍스트가 그대로 남아 있는 WISP는 WISP가 없는 것보다 나쁩니다. 이는 귀하가 위험 평가를 수행하지 않았다는 문서화된 증거가 되기 때문입니다.
- 부록 항목을 건너뛰지 마십시오. 템플릿의 데이터 분류 부록, 자산 인벤토리 및 공급업체 목록은 WISP를 방어 가능하게 만드는 부분입니다. 자산 인벤토리가 없어서 "어떤 고객이 영향을 받았는지 정확히 모른다"로 시작하는 유출 사고 대응은 최악의 시작점입니다.
동반 간행물인 **IRS 간행물 4557 — 납세자 데이터 보호(Safeguarding Taxpayer Data)**는 연방 및 주 유출 통보법, 세무 전문가를 대상으로 하는 일반적인 공격 패턴, 작성자의 EFIN이 침해되었을 때의 IRS 보고 워크플로, 그리고 무료 또는 저비용 기술 리소스 목록 등 더 넓은 범위를 다루는 교육 가이드입니다. 한 번 읽어보고 즐겨찾기에 추가한 뒤, 신입 직원을 채용할 때마다 다시 확인하십시오.
실제 구축 사례: 소규모 회계법인을 위한 90일 로드맵
WISP(서면 정보 보안 계획)를 처음부터 구축하는 것이 위협적으로 느껴지는 이유는 관련 규정들이 6인 규모의 회계 사무소에 그대로 적용하기 어려운 기업 보안 프로그램 수준의 언어로 설명되어 있기 때문입니다. 여기 소규모 실무 환경에 실제로 적합한 단계별 일정을 소개합니다.
1일 ~ 14일 — 인벤토리 구축 및 담당자 지정. 적격 담당자(Qualified Individual)를 서면으로 지정하십시오. 자산 인벤토리를 구축합니다. 고객 데이터에 닿는 모든 장치, 모든 클라우드 애플리케이션, 모든 종이 파일 보관소, 모든 서비스 제공업체를 포함해야 합니다. 이 인벤토리는 WISP에서 가장 활용도가 높은 단일 문서입니다. 위험 평가, 암호화 결정, 공급업체 감독, 침해 사고 대응이 모두 이 문서를 참조합니다.
15일 ~ 30일 — 위험 평가. 인벤토리를 훑어보며 예측 가능한 위협을 식별하십시오. 직원을 대상으로 한 피싱, 고객 파일이 동기화된 노트북 분실, 문서 저장소를 암호화하는 랜섬웨어, 고객 업로드 파일이 노출되는 공급업체 침해 사고 등이 해당됩니다. 각 항목에 점수를 매기고, 현재의 완화 조치를 기록하며, 미비한 점(Gap)을 파악하십시오.
31일 ~ 60일 — 통제 조치 구현. 미비한 점을 보완하십시오. 세무 소프트웨어, 이메일, 클라우드 저장소, 문서 서명 및 회계 플랫폼을 포함하여 고객 데이터에 접근하는 모든 시스템에 다요소 인증(MFA)을 적용하십시오. 모든 워크스테이션과 노트북에 전체 디스크 암호화를 실시하십시오. 종이 문서, 하드 드라이브, 이전 고객 폴더에 대한 안전한 폐기 절차를 수립하십시오. 보안 의무 사항을 포함하도록 공급업체 계약을 업데이트하십시오. 완료 로그를 기록하며 직원 교육을 실시하십시오.
61일 ~ 80일 — 계획서 작성. 간행물(Publication) 5708을 열고 인벤토리, 위험 평가 및 현재 구현된 통제 조치에 맞춰 각 섹션을 채우십시오. 구체적인 담당자 연락처, FTC 보고 워크플로, 해당 지역의 IRS 이해관계자 연락관(Stakeholder Liaison) 정보를 포함한 침해 사고 대응 계획을 작성하십시오. 연간 검토 일정을 문서화하십시오.
81일 ~ 90일 — 테스트, 교육, 보고. 침해 사고 대응 계획에 대한 도상 연습(Tabletop exercise)을 실시하십시오. 신뢰할 수 있는 업체로부터 취약점 점검을 받으십시오. 공식적인 직원 교육 세션을 진행하고 참석 로그를 보관하십시오. 적격 담당자의 첫 번째 연례 보고서를 작성하고 서명한 뒤 보관하십시오.
90일이 지나면 방어 가능한 수준의 WISP를 갖추게 됩니다. 이것은 한 번으로 끝나는 작업이 아니라, 매년 프로그램을 발전시켜 나가는 연간 사이클의 시작입니다.
여전히 많은 소규모 법인이 실수하는 부분
수백 개의 소규모 실무 환경이 첫 번째 WISP 사이클을 거치는 과정을 지켜본 결과, 다음과 같은 격차(Gap)가 반복적으로 나타났습니다.
- WISP를 실행 지침이 아닌 단순한 Word 문서로 취급하는 것. 서랍 속에 보관된 계획은 보안 프로그램이 아닙니다. 규정 준수의 증거는 계획서 자체가 아니라 교육 로그, 공급업체 검토, 취약점 점검 보고서, 연례 이사회 보고서에 있습니다.
- 고객 비밀 유지와 데이터 보안을 혼동하는 것. 수임 계약서의 비밀 유지 조항은 계약상의 의무입니다. FTC 보호 규칙(Safeguards Rule)은 기술적, 관리적, 물리적 통제 요구 사항이 수반되는 규제상의 의무입니다. 둘은 겹치는 부분이 있지만 동일하지는 않습니다.
- 개인 기기를 무시하는 것. 파트너가 개인 휴대폰으로 고객 이메일을 확인한다면, 그 휴대폰은 WISP의 적용 범위에 포함됩니다. 위험 평가에서 이를 다루어야 하고, MFA를 강제해야 하며, 침해 사고 대응 계획에서도 이를 고려해야 합니다.
- 서비스 제공업체 검토를 건너뛰는 것. 적절한 감독을 입증할 수 없다면, 여러분의 고객에게 영향을 미치는 침해 사고를 겪은 공급업체로 인해 발생하는 FTC 통지 책임은 여전히 여러분에게 있습니다. 매년 1시간을 투자해 SOC 2 보고서를 검토하는 것이 회사를 구할 수도 있습니다.
- 침해 보고 워크플로를 "실제로 발생하면 그때 생각하자"며 미루는 것. FTC가 규정한 30일의 기한은 사고를 인지한 시점부터 시작되며, 사고가 확실하다고 판단한 날부터 시작되는 것이 아닙니다. 보고 양식, 주별 통지 연락처 목록, 사이버 보험사 전화번호를 WISP에 미리 배치해 두는 것이 통제된 사고와 규제 폭탄 사이의 차이를 만듭니다.
좋은 회계가 보안과 관련 있는 이유
WISP는 근본적으로 기록에 관한 이야기입니다. 즉, 무엇을 가지고 있는지, 그것이 어디에 있는지, 누가 만질 수 있는지, 문제가 생겼을 때 무엇을 할 것인지에 대한 것입니다. 보호 규칙(Safeguards Rule) 준수에 가장 큰 어려움을 겪는 법인은 대개 자체 장부 관리에도 어려움을 겪는 법인입니다. 연결되지 않은 시스템에 흩어진 기록, 버전 히스토리 부재, 누가 무엇을 언제 변경했는지에 대한 감사 추적(Audit trail)이 없는 경우가 많습니다.
이러한 연결 고리는 우연이 아닙니다. 평문 텍스트(Plain-text) 기반의 버전 관리되는 회계 방식 위에 세워진 실무는 신뢰할 수 있는 보안 프로그램이 필요로 하는 것과 동일한 원형을 제공합니다. 즉, 단일 진실 공급원(Single source of truth), 변조 방지 이력, 특정 날짜의 상태를 정확하게 재구성하는 능력, 그리고 추적성을 잃지 않으면서 권한을 부여하거나 취소하는 능력입니다. FTC가 사고 당일에 어떤 고객 데이터를 보유하고 있었는지 물을 때, "그 시점의 원장을 쿼리해 보겠습니다"라는 답변이 "백업이 아직 유효한지 확인해 보겠습니다"보다 훨씬 강력합니다.
회사의 재무 기록을 WISP만큼이나 방어 가능하게 유지하십시오
서면 정보 보안 계획(WISP)의 효과는 그것이 보호하는 기록의 품질에 달려 있습니다. 회사의 장부가 버전 히스토리도 없는 불투명한 시스템에 보관되어 있다면, FTC 보호 규칙과 전문직 책임 보험사, 그리고 고객이 기대하는 감사 추적을 이미 상실한 것입니다. Beancount.io는 평문 텍스트 기반의 Git 버전 관리 회계를 제공하여 회계 법인이 자신의 재무 데이터에 대해 완전한 투명성을 가질 수 있게 합니다. 모든 거래, 모든 재분류, 모든 조정 사항이 사용자가 직접 제어하는 변조 방지 이력에 기록됩니다. 무료로 시작하여 고객에게 제공하는 증거 수준과 동일한 기준으로 회사를 운영하십시오.