암호화폐 기업을 위한 SOC 2와 ISO 27001
CTK ·
기관 상대는 실사 과정에서 예측 가능한 시점에 SOC 2와 ISO 27001 증빙을 요구한다. SOC 2는 AICPA 기준으로 공인 CPA가 수행하는 감사지로, Trust Services Criteria(보안·가용성·처리무결성·기밀성·프라이버시)를 바탕으로 통제의 설계와 운영성을 보고한다. Type I은 특정 시점의 설계를, Type II는 3~12개월의 운영 유효성을 검증하며 기관은 최종적으로 Type II를 요구한다. SOC 2 보고서는 NDA 하에 공유되는 제한적 문서다. ISO 27001은 정보보호관리체계(ISMS)를 공인 인증기관이 2단계 심사로 인증하는 제도다. 2022판은 문서화된 위험평가 및 처리, Annex A의 93개 통제를 포함한 적용성 진술서(SoA), 내부감사와 경영검토를 요구하며 인증서는 3년 유효하고 연간 심사 및 재인증이 필요하다. 두 프레임워크는 통제 수준에서 많은 중복이 있으므로 하나의 통제 집합을 두 프레임워크에 매핑하면 중복 비용을 줄일 수 있다. 지리적 수요를 따르라: 미국 기관은 대체로 SOC 2를, 유럽·중동·아시아는 ISO 27001을 선호한다. 범위는 구매자가 평가하는 시스템으로 정하고, 지갑·서명 인프라가 고객 자산에 관여하면 반드시 포함해야 한다. 준비 일정은 역산해 계획하라. Type II 관찰 기간은 통제가 실제 가동될 때부터 시작해야 하며, 신규 기업의 경우 은행이 수용할만한 보고서는 대개 1년 내외가 걸린다(준비 2~6개월, 관찰 3~6개월이 흔함, 현장검사 및 보고 4~8주). 핵심 통제 영역은 키 관리, 변경관리, 배포된 계약의 사전검토 및 테스트, 벤더 레지스터, 사고대응(온체인 사건 포함), 자산 모니터링, 복구 연습과 관련된 증거다. 증거는 작업과 동시에 생성하고 타임스탬프 등 기록을 유지하라. 내부감사를 사전 수행하고, 디지털자산 경험이 있는 감사인·인증기관을 선정하라(ISO 27001 인증기관은 ANAB·UKAS 등 인정기관의 인증 보유 확인). 독립성 규칙을 존중해 감사를 서명하는 CPA나 인증기관이 통제 설계를 담당하면 안 된다. 유지관리 계획도 필수다(최근 12개월을 커버하는 SOC 2 보고서와 갭에 대한 브리지 레터, ISO 27001의 연간 감시). 준비는 프로세스 전반을 점검하는 것이므로 스마트 계약 감사나 준비된 기술 보고서만으로는 대체되지 않는다. 준비와 갭해소 서비스를 별도로 제공하는 업체(예: CertiK)는 갭평가부터 개선, 사전감사를 지원할 수 있다.
DYAX 투자자 예측
상승(롱) 52% · 하락(숏) 48%
총 405명 참여