WISP 준수: 2026년 모든 세무 전문가에게 서면 정보 보안 계획이 필요한 이유

약 11분Mike ThriftMike Thrift
WISP 준수: 2026년 모든 세무 전문가에게 서면 정보 보안 계획이 필요한 이유

불편한 사실 하나: 지난 시즌에 유료 고객을 위해 단 한 건의 세금 신고서라도 작성했고 파일로 된 서면 정보 보안 계획(WISP)이 없다면, 귀하는 기술적으로 연방법을 위반하여 운영 중인 것입니다. 연방거래위원회(FTC)는 위반 건당 하루 최대 $46,517의 벌금을 부과할 수 있습니다. IRS는 귀하의 PTIN을 박탈할 수 있습니다. 그리고 귀하의 전문직 배상 책임 보험사는 데이터 유출 사고 발생 후 누락된 문서를 지적하며 보험금 지급을 거부할 수 있습니다.

대부분의 세무 대리인과 장부 기입자들은 "WISP"라는 약어를 들어봤지만, 이를 다른 사람의 문제—컴플라이언스 담당자가 있는 대형 로펌이나 걱정할 일—로 치부합니다. 그러한 가정은 대략 5년 전의 구식 사고방식입니다. 2023년 6월부터 전면 시행된 개정 FTC 세이프가드 규칙(FTC Safeguards Rule)은 개인 대리인, 소규모 CPA 사무소, 장부 기입 업체를 지역 은행을 규제하는 것과 동일한 규제 체계로 직접 끌어들였습니다. PTIN을 신청하거나 갱신하는 모든 유료 세무 대리인은 이제 Form W-12 11행에서 자신의 데이터 보안 의무를 이해하고 있음을 증명해야 합니다.

이 가이드는 WISP가 실제로 무엇인지, FTC와 IRS가 요구하는 9가지 요소, "권장 사항"에서 "필수 사항"으로 변경된 기술적 통제 항목, 그리고 단순히 바인더에 보관하는 용도가 아닌 실제 감사에서 견딜 수 있는 계획을 수립하는 방법을 설명합니다.

귀하를 여기까지 오게 한 두 가지 법률

두 가지 중첩된 규제 트랙이 동일한 결과로 수렴합니다. 즉, 서면 계획이 필요하다는 것입니다.

Gramm-Leach-Bliley Act (GLBA) 및 FTC 세이프가드 규칙. 의회는 금융 기관이 고객 정보를 처리하는 방식을 규제하기 위해 1999년에 GLBA를 통과시켰습니다. FTC의 시행 규정인 세이프가드 규칙(16 CFR Part 314)은 금융 활동에 "상당 부분 종사하는" 모든 비즈니스를 포함할 만큼 "금융 기관"을 광범위하게 정의합니다. FTC는 오래전부터 세금 신고 대행, 장부 기입 및 이와 유사한 서비스가 여기에 해당한다고 규정해 왔습니다. 이 규칙은 2021년 12월에 대폭 개정되었으며, 새로운 기술적 요구 사항(MFA, 암호화, 적격 개인, 서면 프로그램)은 2023년 6월 9일부터 전면 시행되었습니다.

IRS 간행물 4557 및 PTIN 증명. 내국세법(Internal Revenue Code) 제7216조 및 제6713조는 이미 세금 신고 정보의 무단 공개에 대한 처벌을 규정하고 있었습니다. IRS는 실질적인 로드맵으로서 간행물 4557("납세자 데이터 보호")과 간행물 5708("세무 및 회계 실무를 위한 서면 정보 보안 계획 수립")을 추가했습니다. 2024년 PTIN 갱신 주기에는 엄격한 체크박스가 추가되었습니다. 세무 대리인은 Form W-12 11행에서 자신의 WISP 준수 여부를 확인해야 합니다. 해당 항목에서 거짓말을 하는 것은 그 자체로 문제가 됩니다.

최종 결과: 상가 건물에 있는 1인 세무 대행소도 지역 CPA 법인과 동일한 기준을 적용받습니다. 규칙은 규모와 복잡성에 따라 통제 항목을 조정하지만, 서면 계획을 수립해야 할 의무는 이분법적입니다. 즉, 있거나 없거나 둘 중 하나입니다.

실제로 누가 이것을 갖추어야 하는가

다음과 같은 경우 WISP가 필요합니다:

  • 대가를 받고 연방 세금 신고서를 작성하는 경우 (유료 고객을 위한 간헐적인 부업 포함)
  • PTIN, EFIN을 보유하고 있거나 IRS 공인 전자 신고 서비스 제공자(Authorized IRS e-File Provider)인 경우
  • 고객의 재무 정보가 포함된 장부 기입, 급여 관리 또는 회계 서비스를 제공하는 경우
  • 가상 CFO, 파트 타임 컨트롤러(fractional controller) 또는 아웃소싱 회계사로 활동하는 경우
  • 등록 투자 자문사(RIA), 모기지 브로커, 수표 현금화 업체 또는 기타 GLBA 적용 대상을 운영하는 경우

수량은 중요하지 않습니다. 이 규칙은 신고서 작성 건수가 X건 미만이거나 수수료 수입이 Y 미만이라고 해서 예외를 두지 않습니다. 연간 20건의 신고서를 작성하는 1인 등록 대리인(Enrolled Agent)도 200명 규모의 법인과 동일하게 적용을 받습니다. 두 곳 모두 서면으로 된 최신의 서명된 계획을 갖추어야 합니다.

세이프가드 규칙에는 5,000명 미만의 소비자 정보를 유지하는 기관에 대해 소수의 문서화 요구 사항(서면 위험 평가, 사고 대응 계획, 이사회 연례 보고)을 완화해 주는 좁은 예외 조항이 존재합니다. 하지만 적격 개인 지정, 보안 조치 구현, 서면 프로그램 보유라는 핵심 의무는 규모와 관계없이 적용됩니다.

WISP에 반드시 포함되어야 할 9가지 요소

개정된 세이프가드 규칙은 9가지 필수 구성 요소를 명시하고 있습니다. WISP에서 이와 정확히 일치하는 제목을 사용할 필요는 없지만, 문서의 어딘가에서 이 모든 항목을 다루어야 합니다. IRS 간행물 5708 템플릿도 동일한 구조를 따릅니다.

1. 적격 개인 지정

정보 보안 프로그램을 감독할 책임이 있는 한 명의 개인을 공식적으로 지명해야 합니다. 1인 대리인의 경우 본인이 해당합니다. 법인의 경우 일반적으로 관리 파트너, IT 팀장 또는 최근에는 아웃소싱 vCISO가 이 역할을 맡습니다. 적격 개인이 반드시 보안 전문가일 필요는 없지만, 결정을 내리고 소유주나 이사회에 보고할 수 있는 권한이 있어야 합니다.

임명을 서면으로 문서화하십시오. 시작 날짜, 권한 범위 및 보고 체계를 포함하십시오.

2. 서면 위험 평가 실시

수집하는 고객 정보의 종류, 저장 위치, 접근 권한자, 발생 가능한 문제점을 파악하십시오. 평가는 반드시 서면으로 작성해야 하며, 정기적으로(최소 연 1회) 업데이트해야 합니다. 또한 환경에 중대한 변화(새 소프트웨어 도입, 인력 충원, 사무실 이전, 보안 침해 발생 등)가 있을 때마다 최신 상태를 유지해야 합니다.

최소 포함 범위:

  • 데이터 인벤토리: 사회보장번호(SSN), 생년월일, 금융 계좌 번호, W-2 및 1099 사본, 은행 거래 내역서, 전년도 세무 신고서, EIN 데이터, K-1 등
  • 저장 위치: 세무 소프트웨어 데이터베이스, 클라우드 백업, 이메일 첨부 파일, 클라이언트 포털, 종이 서류, 모바일 기기, USB 드라이브 등
  • 위협 시나리오: 피싱, 랜섬웨어, 노트북 분실, 악의적인 내부 직원, 벤더사의 데이터 유출, 물리적 침입 등
  • 가능성 및 영향: 각 시나리오의 순위를 매겨 보호 조치가 그에 상응하는 비중을 가질 수 있도록 합니다.

3. 보호 조치 설계 및 시행

이 부분은 서면 정보 보안 계획(WISP)의 핵심입니다. 규정은 구체적인 기술적 및 관리적 통제를 요구하며, 그중 일부는 이제 더 이상 선택 사항이 아닙니다.

  • 접근 제어: 고객 데이터에 대한 접근을 업무상 필요한 경우(Need-to-know)로 제한하고, 직원이 퇴사할 경우 즉시 접근 권한을 제거하십시오.
  • 저장 및 전송 시 암호화: 모든 기기, 하드드라이브, 백업 및 이동식 매체에 AES-256(또는 그에 상응하는 수준)을 적용하고, 전송 중인 데이터에는 TLS 1.2 이상을 적용하십시오. 모든 노트북과 워크스테이션에는 전체 디스크 암호화를 적용해야 합니다.
  • 다요소 인증(MFA): 세무 소프트웨어, 전자 신고 포털, 클라우드 저장소, 이메일, 원격 접속 도구 등 고객 정보에 접근하는 모든 시스템에 다요소 인증을 의무화하십시오. SMS 전용 MFA는 권장되지 않으며, 가능한 경우 인증 앱이나 하드웨어 키를 사용하십시오.
  • 보안 개발 및 구성: 소프트웨어를 직접 구축하거나 맞춤 설정하는 경우 보안 코딩 표준을 적용하고, 정해진 주기에 따라 시스템 패치를 실시하십시오.
  • 인벤토리 및 폐기: 기기를 추적하고 매체 폐기 시에는 안전하게 처리하십시오(NIST 800-88 표준에 따라 파쇄 또는 데이터 완전 소거).
  • 변경 관리: 고객 데이터를 처리하는 시스템의 변경 사항을 문서화하고 승인 절차를 거치십시오.

4. 보호 조치의 정기적 모니터링 및 테스트

제어 조치가 실제로 작동하는지 확인해야 합니다. 규정은 다음 두 가지 경로를 인정합니다.

  • 지속적 모니터링: SIEM, EDR 또는 매니지드 탐지 및 대응(MDR) 서비스와 같이 의심스러운 활동을 기록하고 경고하는 도구를 사용합니다.
  • 연간 침투 테스트 및 반기별 취약점 평가: 지속적 모니터링 체계가 갖춰지지 않은 경우, 전통적인 제3자 테스트를 실시해야 합니다.

1인 세무 대리인의 경우, "지속적 모니터링"은 이상 징후를 알리는 적절히 구성된 엔드포인트 보호 제품을 의미할 수 있습니다. 규모가 큰 회사는 외부 테스트 서비스 이용을 권장합니다.

5. 인력 교육

계약직 및 시즌별 작성자를 포함하여 고객 데이터에 접근할 수 있는 모든 인력에게 연간 보안 인식 교육을 실시하는 것은 필수입니다. 교육 주제에는 피싱 식별, 비밀번호 위생, 기기 보안, 사회 공학 기법 및 사고 보고가 포함되어야 합니다.

출석 기록을 보관하십시오. "팀 회의에서 구두로 전달했다"는 것은 인정되지 않습니다.

6. 서비스 제공업체 감독

세무 소프트웨어, 클라우드 저장소, 문서 관리, IT 지원, 급여 관리 업체, 전자 서명 도구, 심지어 파쇄 업체에 이르기까지 고객 데이터에 접근하는 모든 벤더는 다음 조건을 충족해야 합니다.

  • 보안 관행에 대한 실사(Due Diligence)를 거쳐 선정되어야 함
  • 적절한 보호 조치를 요구하는 서면 계약을 체결해야 함
  • 정기적으로(일반적으로 매년) 재평가되어야 함

벤더사에게 SOC 2 Type II 보고서 또는 그에 준하는 문서를 요청하십시오. 계약서에는 인지 후 72시간 이내 통보와 같이 구체적인 타임라인이 포함된 침해 사고 통지 조항이 있어야 합니다.

7. 프로그램의 최신 상태 유지

위협 환경이 변하거나 운영 방식이 변경될 때마다 WISP를 재평가하고 조정하십시오. 사무실을 이전했나요? 새 소프트웨어를 도입했나요? 소규모 사무소를 인수했나요? 계획을 업데이트하십시오.

8. 서면 침해 사고 대응 계획 수립

계획에는 다음 내용이 포함되어야 합니다.

  • 내부 에스컬레이션: 사고 소식을 누구에게 어떤 순서로 알릴 것인가
  • 봉쇄 및 복구: 피해 확산을 누가 막을 것인가
  • 외부 통지: 고객, 주 검찰총장, FTC 및 IRS에 대한 통보
  • 문서화: 로그, 증거 및 타임라인 보존
  • 사후 교훈: 문서화된 시정 조치를 포함한 사후 분석(Postmortem)

IRS는 세무 대리인이 데이터 도난을 인지한 후 24시간 이내에 IRS 이해관계자 연락처(Stakeholder Liaison) 및 세무 당국 연합(Federation of Tax Administrators)을 통해 보고할 것을 요구합니다. 2024년 5월 13일부터 시행된 보호 조치 규칙 개정안에 따라, 500명 이상의 소비자에게 영향을 미치는 보안 사고는 인지 후 30일 이내에 FTC에 신고해야 하며, 이 신고 내용은 공개됩니다.

9. 이사회(또는 경영진) 보고

전담 책임자(Qualified individual)는 최소 연 1회 이사회 또는 소규모 회사의 경우 책임 경영진에게 서면 보고서를 제출해야 합니다. 보고서에는 프로그램의 전반적인 상태, 위험 평가 결과, 연간 주요 이벤트 및 권장 변경 사항이 포함되어야 합니다.

1인 세무 대리인인가요? 스스로 보고서를 작성하고 서명하여 파일에 보관하십시오. 네, 정말입니다.

회계 기록: 잊혀진 컴플라이언스 증거

규제 기관이나 감사인이 방문했을 때 가장 먼저 요구하는 것은 문서화된 증거입니다. WISP에 3월에 직원 교육을 실시하고, 7월에 외부 침투 테스트 비용을 지불했으며, 9월에 워크스테이션을 교체하고, 11월에 사이버 보험을 갱신했다고 기록되어 있다면, 이 모든 주장을 뒷받침할 영수증, 송장, 원장 기입 내역이 필요합니다. 보안 관련 지출을 신용카드 명세서의 기타 항목으로 처리하는 업체는 결국 곤란을 겪게 됩니다.

보안 관련 비용(교육, 소프트웨어, 감사, 보험, 하드웨어)을 별도의 계정과목(Chart-of-accounts)으로 분리하여 설정하십시오. 그래야 필요할 때마다 깔끔한 전년 대비 보고서를 생성할 수 있습니다. 세금 신고 시 회계사를 만족시키는 텍스트 기반 기록(Plain-text records)은 FTC가 보안 계획의 실행 여부를 물을 때 강력한 증거 파일이 됩니다.

사람들을 곤란하게 만드는 기술적 통제 요소들

실제로 WISP 이행 실패의 대부분은 두 가지 요구 사항에서 발생합니다.

모든 곳에 다요소 인증(MFA) 적용. 보안 규칙은 "편의에 따라" MFA를 적용하는 것을 허용하지 않습니다. 시스템에서 고객 정보에 접근하는 모든 사람에게 적용됩니다. 여기에는 세무 소프트웨어, 전자 신고(e-file) 포털, 고객 포털, 이메일(세무 데이터가 포함된 첨부 파일 포함), 클라우드 저장소, 회계 소프트웨어 및 모든 원격 접속 도구가 포함됩니다. IRS는 SIM 스왑 공격에 취약한 SMS 방식보다 인증 앱이나 하드웨어 토큰 사용을 강력히 권장합니다.

간단한 자가 진단: 사용하는 모든 비즈니스 애플리케이션에서 로그아웃하세요. 다시 로그인을 시도해 보십시오. 만약 하나라도 비밀번호만으로 로그인이 가능하다면, 보완이 필요한 상태입니다.

저장 데이터 암호화(Encryption of data at rest). 고객 정보를 저장하는 모든 장치에 전체 디스크 암호화가 필요합니다. 여기에는 단기 아르바이트 직원이 집으로 가져가는 개인용 노트북도 포함됩니다. 윈도우 프로의 BitLocker나 macOS의 FileVault는 적절히 설정되었을 때 이 요구 사항을 충족합니다. 백업, USB 드라이브 및 모든 휴대용 매체를 암호화하십시오. 고객 데이터가 포함된 이메일도 암호화해야 합니다(일반적으로 암호화된 이메일보다는 고객 포털을 사용하는 것이 더 나은 솔루션입니다).

또 다른 흔한 누락 요소는 공급업체 감독입니다. 많은 기업이 세무 소프트웨어 벤더의 SOC 2 보고서는 가지고 있지만, 작년에 가입한 소규모 클라우드 저장소 도구나 시험 삼아 사용해 본 전자 서명 플러그인, 또는 관리자 권한을 가진 IT 계약업체에 대한 계약서나 평가는 가지고 있지 않습니다. 공급업체 인벤토리를 작성하고 매년 업데이트하십시오.

규정을 위반했을 때 발생하는 일

벌칙은 이론에 그치지 않습니다:

  • FTC 민사 벌금: 개정된 보안 규칙(Safeguards Rule)에 따라 위반 건당 하루 최대 $46,517 부과
  • 통지 실패 벌금: 공개된 조치 사례에서 최대 $500,000에 달함
  • IRS의 PTIN 정지 또는 취소: 사실상 세무 대리 업무를 중단해야 함
  • 주 법무장관 조치: 50개 모든 주에 존재하는 개인정보 유출 통지법에 따름
  • 개인 소송: 영향을 받은 고객으로부터의 소송 및 일부 주의 법정 손해 배상
  • 보험 지급 거절: 전문인 배상 책임 보험이나 사이버 보험이 컴플라이언스 미준수로 인한 청구를 제외하는 경우
  • 평판 저하: 세무 대리 업무의 경우 12개월 이내에 고객의 상당 부분을 잃게 됨을 의미함

IRS는 WISP의 부재를 단순한 서류 미비가 아니라, 광범위한 컴플라이언스 실패의 증거로 간주한다고 명시해 왔습니다.

방어 가능한 WISP를 위한 현실적인 로드맵

아무것도 없는 상태에서 방어 가능한 계획을 세우는 것은 1인 대리인에게는 4~6주 프로젝트이며, 규모가 큰 법인에게는 수개월이 걸리는 작업입니다. 현실적인 단계는 다음과 같습니다:

1주 차: 인벤토리 작성. 고객 데이터에 닿는 모든 시스템, 접근 권한이 있는 모든 직원 또는 계약업체, 데이터 체인에 있는 모든 벤더, 소유한 모든 장치 목록을 만드십시오. 이것이 기초 자료가 됩니다.

2주 차: 위험 평가. 인벤토리에 대해 발생 가능한 위협을 검토하십시오. 각 시나리오의 점수를 매기고, 가장 노출이 심한 5가지 요소를 식별하십시오.

3주 차: 격차 분석. 현재의 통제 수준을 9가지 필수 요소와 비교하십시오. 모든 격차를 기록하십시오. 소규모 기업의 가장 큰 격차는 일반적으로 MFA 적용 범위, 벤더 계약 및 사고 대응 절차에서 나타납니다.

4주 차: 개선 조치. 모든 곳에 MFA를 활성화하십시오. 모든 장치에 전체 디스크 암호화를 도입하십시오. 주요 벤더와 서면 계약을 체결하십시오. 교육 일정을 잡으십시오. 모든 것을 문서화하십시오.

5주 차: WISP 작성. IRS Publication 5708 템플릿을 시작점으로 삼아 철저하게 맞춤화하십시오. 단순히 복사해서 붙여넣은 계획은 성의 없음을 보여주기 때문에 아예 계획이 없는 것보다 나쁠 수 있습니다. 자격 있는 책임자가 서명하게 하십시오.

6주 차 (및 매년): 테스트, 교육, 보고. 사고 대응 계획에 대한 도상 연습(Tabletop exercise)을 실시하십시오. 연례 교육을 시행하십시오. 소유주를 위한 연례 보고서를 생성하십시오. 다음 검토 일정을 예약하십시오.

연간 주기에 맞춰 캘린더 알림을 설정하십시오. 가장 흔한 컴플라이언스 실패는 최초의 WISP 작성이 아니라, 2023년에 작성하고 한 번도 다시 들여다보지 않는 것입니다.

흔한 오해 몇 가지

"세무 소프트웨어가 SOC 2 인증을 받았으니 저는 안전합니다." 아닙니다. 소프트웨어 제공업체의 준수 사항은 그들의 환경에만 해당되며 귀하의 환경은 해당되지 않습니다. 이메일, 로컬 파일, 사무실 네트워크 등 해당 플랫폼 외부에서 수행하는 모든 작업에 대해 여전히 WISP가 필요합니다.

"집에서 일하므로 규칙이 다릅니다." 그렇지 않습니다. 재택 기반의 실무도 사무실 기반과 동일한 WISP 의무를 가집니다. 오히려 개인 시스템과 업무 시스템 간의 경계가 모호해지기 때문에 통제가 더 어려울 수 있습니다.

"기장 업무를 해외 팀에 아웃소싱했으므로 그들이 보안을 처리합니다." 그들은 보안 규칙상 귀하의 공급업체입니다. 그들을 평가하고, 계약을 체결하며, 그들의 통제 상태를 감독할 책임은 귀하에게 있습니다.

"사이버 보험이 있으니 보호받습니다." 현재 대부분의 사이버 보험 정책은 보장 조건으로 WISP를 요구합니다. 유출 사고가 발생한 후에 약관의 세부 내용을 확인하는 것은 너무 늦습니다.

첫날부터 체계적으로 재정 관리하기

방어 가능한 WISP는 문서화에 기반하며, 이는 체계적인 장부 관리도 마찬가지입니다. 컴플라이언스 프로그램이 실제로 작동하고 있음을 증명하는 보안 소프트웨어 구독료, 교육 인보이스, 감사 수수료를 추적하든, 고객이 신뢰하고 맡긴 장부 기록을 관리하든, 텍스트 기반 회계(Plain-text accounting)는 블랙박스 소프트웨어가 제공할 수 없는 완전한 투명성, 버전 관리 및 사용자가 직접 소유하는 감사 추적을 제공합니다. Beancount.io는 투명하고 버전 관리가 가능하며 AI 시대를 준비하는 텍스트 기반 회계를 제공합니다. 벤더 종속이나 불투명한 데이터 내보내기 없이 직접 관리해 보세요. 무료로 시작하기를 통해 왜 개발자와 금융 전문가들이 텍스트 기반 회계로 전환하고 있는지 확인해 보십시오.