이중 인증: 회계 감사 가이드

회계 감사 분야에서 이중 인증이 필수적인 이유

회계 감사 회사들은 매일 매우 기밀스러운 재무 데이터를 처리합니다: 세무 보고서, 재무제표, 급여 명세서, 수백 개의 클라이언트 기업의 은행 좌표. 2025년 ANSSI 연간 보고서에 따르면, 규제 대상 직업을 목표로 하는 피싱 공격은 1년 동안 37% 증가했습니다. 이러한 위협에 직면하여 이중 인증(2FA) — 다중 인증(MFA)이라고도 불림 — 은 권장되는 첫 번째 기술 방어선입니다.

이중 인증은 간단한 원리에 기반합니다: 시스템에 액세스하려면 사용자가 두 가지 별개의 요소를 통해 자신의 신원을 증명해야 합니다. 첫 번째는 일반적으로 "알고 있는 것"(암호)이고, 두 번째는 "소유하고 있는 것"(스마트폰, 물리적 키) 또는 "자신이 무엇인지"(생체 데이터)입니다. 이 메커니즘은 2024년 Verizon DBIR 보고서에 따르면 여전히 데이터 침해의 81%를 차지하는 단순 암호 도용 공격을 사실상 불가능하게 만듭니다.

회계 감사자들의 경우, eIDAS 규정과 강력한 식별 요건 준수 는 더 이상 선택 사항이 아닙니다: 이는 규정상 그리고 윤리적 필요성입니다. 이 기사는 회사에서 2FA를 구성하는 방법, 어떤 도구를 선택할지, 그리고 직원들이 이 전환을 어떻게 수행할지를 단계별로 설명합니다.

---

회계 분야에 적합한 이중 인증 방법

인증 애플리케이션(TOTP)

회계 감시 회사에서 가장 널리 사용되는 방법은 시간 기반 일회용 암호(TOTP — Time-based One-Time Password)를 생성하는 애플리케이션을 사용하는 것입니다. Google Authenticator, Microsoft Authenticator, Authy와 같은 솔루션은 30초마다 갱신되는 6자리 코드를 생성합니다. 이 코드는 등록 단계(QR 코드 스캔) 중에 애플리케이션에 저장된 공유 비밀과 연결됩니다.

회계 회사의 장점: 추가 비용 없이 배포, 오프라인에서 작동, 거의 모든 회계 소프트웨어(Sage, Cegid, ACD, MyUnisoft)와 호환됩니다. 단점: 직원이 휴대폰을 잃어버린 경우, 복구 절차를 미리 계획해야 합니다(복구 코드를 안전한 장소에 보관).

물리적 보안 키(FIDO2/WebAuthn)

많은 양의 민감한 데이터를 처리하거나 빈번한 감사 대상이 되는 회계 회사의 경우, 물리적 보안 키(YubiKey 또는 Feitian 유형)는 가장 높은 수준의 보호를 제공합니다. FIDO2 및 WebAuthn 표준을 기반으로, 이들은 설계상 피싱에 저항합니다: 키는 인증하기 전에 사이트의 도메인을 암호로 검증하며, 이는 "중간자" 유형의 공격을 중화합니다.

점점 더 많은 세무 포털과 필수 제출 플랫폼(DGFiP, infogreffe)이 이러한 표준을 수용하는 경향이 있습니다. 약 100개의 위임장을 관리하는 회계 회사는 보안 사건 관리 시간 감소를 통해 몇 주 안에 키 구매(단위당 약 50-80€)의 투자수익을 얻을 수 있습니다.

SMS OTP: 민감한 데이터의 경우 피해야 함

많은 시스템에서 SMS를 통해 전송된 코드가 여전히 옵션으로 남아 있지만, 미국 NIST(National Institute of Standards and Technology)는 2016년에 강력한 인증 방법의 범주에서 이를 강등했습니다. SIM 스와핑 공격(번호를 공격자가 제어하는 SIM 카드로 사기적으로 전송하는 것)은 최근 몇 년간 여러 프랑스 회계 회사에 영향을 미쳤습니다. 세무 데이터 액세스 또는 법무 및 회계 회사의 전자 서명 도구 의 경우, SMS OTP는 최후의 수단 솔루션으로만 고려되어야 합니다.

---

이중 인증 구성 방법: 단계별 가이드

1단계 — 애플리케이션 인벤토리 및 범위 정의

기술적 배포 전에, 회계 회사에서 사용하는 모든 애플리케이션의 완전한 인벤토리를 작성하세요:

• 회계 소프트웨어: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• 메시지 및 협업 도구: Microsoft 365, Google Workspace, Slack
• 문서 관리 및 서명 도구: 제출 플랫폼, 워크플로우 도구
• 원격 액세스: VPN, RDP, 가상 데스크톱
• 클라이언트 포털: 클라이언트와의 문서 교환 공간

각 애플리케이션에 대해 2FA 가용성을 확인하고(설정의 "보안" 섹션), 어떤 방법이 지원되는지(TOTP, FIDO2, SMS) 확인하세요. 액세스 가능한 데이터의 민감도에 따라 애플리케이션을 중요도별로 분류하세요.

2단계 — 기술적 배포 및 직원 등록

Microsoft 365의 경우, Azure Active Directory(Entra ID) 포털을 통해 구성됩니다. "보안 기본값"을 활성화하거나, 10명 이상의 직원이 있는 회계 회사의 경우 조건부 액세스 정책을 구성합니다(Business Premium 라이센스부터 가능). 이러한 정책은 특정 조건에서만 2FA를 요구할 수 있습니다: 사무실 외부에서의 액세스, 알려지지 않은 장치에서의 로그인, 비정상적인 시간.

회계 소프트웨어의 경우, 절차는 에디터에 따라 다릅니다:

• Cegid Loop: 보안 설정 > 이중 인증 활성화 > 각 사용자를 위한 QR 코드 생성
• MyUnisoft: 관리 > 보안 > 강력한 인증 > 모든 프로필에 2FA 강제
• Sage 100 Cloud: Sage 관리자 또는 재판매인에게 연락하여 MFA 모듈 활성화

각 직원과의 등록 세션을 준비합니다(사람당 15~20분). 각 사용자에게 복구 코드가 포함된 요약 시트를 배포하고 보안 물리적 위치(예: 회계 회사의 금고)에 보관합니다.

3단계 — 관리 정책 및 긴급 절차

기술적 구현은 작업의 절반일 뿐입니다. 문서화된 보안 정책은 다음을 명시해야 합니다:

• 2FA를 일시적으로 비활성화할 수 있는 사람(시스템 관리자만, 직원 본인은 절대 안 됨)
• 장치 손실 절차: 계정 즉시 차단, 복구 코드 재생성, 감독된 재등록
• 검토 빈도: 액세스 및 인증 방법의 반기별 감사
• 직원 퇴사 시: 직원 퇴사 시 액세스 및 2FA 비밀 즉시 취소

이 정책은 자연스럽게 업무연속성 계획(PCA)과 RGPD에 따른 데이터 처리 레지스터에 통합됩니다. Certyneo 도움말 센터를 참조하면 소규모 및 중규모 구조에 맞게 조정된 정책 템플릿을 얻을 수 있습니다.

---

전자 서명 도구와 2FA 통합

eIDAS 규정에서 정의한 대로 고급 또는 적격 전자 서명은 서명자의 강력한 식별을 요구합니다. 구체적으로, 회계 회사가 클라이언트에게 서명할 위임장 또는 서비스 계약을 전송할 때, 서명 플랫폼은 강력한 방식으로 서명자의 신원을 확인해야 합니다. 이것이 바로 2FA가 작동하는 곳입니다.

eIDAS 규정을 준수하는 서명 플랫폼(고급 또는 적격 수준)에서, 서명자는 이메일을 통해 링크를 받은 후 두 번째 채널(SMS, 인증 애플리케이션 또는 적격 인증서)을 통해 자신의 신원을 검증해야 합니다. 이 프로세스는 타임스탐프 및 암호로 검증 가능한 감사 추적을 생성하여 분쟁 발생 시 반박할 수 없는 증거를 구성합니다 — 이는 각 임무에 대해 직업상 책임을 지는 회계 감사자에게 중요한 문제입니다.

서명의 다양한 수준을 이해하고 문서 흐름에 맞는 수준을 선택하려면 전자 서명 완전 가이드 를 읽기를 권장합니다. Certyneo를 사용하는 회계 회사들은 서명 프로세스에 2FA가 기본적으로 통합되어 있어 서명자의 불편함을 줄이면서도 필요한 규정 수준을 유지할 수 있습니다.

위임장(OEC의 전문 기준 2400에 따른 필수 사항)과 감시인 보고서에 특별한 주의가 필요합니다: 이러한 문서는 전문가의 개인적 책임을 야기하며 완벽한 인증 추적성이 필요합니다. 또한 AI 계약 생성기 를 사용하여 이러한 문서의 생성을 자동화하면서 동시에 강력한 인증 요건을 설계에 통합할 수 있습니다.

---

직원 교육 및 인식: 인적 요소

가장 엄격한 기술적 배포도 직원들이 이해하지 못하거나 보안 조치를 우회하면 비효율적입니다. 회계 감시에서는 팀이 매우 다양한 프로필로 구성되어 있습니다: 선임 파트너, 주니어 직원, 인턴, 사무 보조원. 교육은 각 프로필에 맞게 조정되어야 합니다.

5~30명 규모 회계 회사에 권장되는 인식 프로그램:

1. 출범 세션(1시간): 구체적인 위험 제시(업계의 실제 사건 익명화 사례), 라이브 구성 시연, 질답
2. 짧은 튜토리얼 비디오(각 3~5분): 중요한 애플리케이션당 하나씩, 회계 회사 인트라넷에서 이용 가능
3. 시뮬레이션된 피싱 연습: 배포 3개월 후 가짜 피싱 이메일을 보내 실제 경각심을 측정하고 추가 지원이 필요한 직원 확인
4. 온보딩에 통합: 모든 새 직원은 첫 날에 2FA를 구성하며 전담 레퍼런스가 지원합니다

회계 감시 순서(OEC)는 또한 연간 교육 의무(기록부에 등재된 회계 감시자는 40시간) 범위 내에서 사이버 보안에 대한 계속 교육 자료를 제공합니다. 이러한 교육은 회계 회사가 ISO 9001 인증을 받았거나 사이버 보안 인증(ANSSI의 ExpertCyber 라벨 등)을 목표로 하는 경우 품질 접근 방식에서 가치 있을 수 있습니다.

회계 감시에 적용되는 법적 프레임워크

회계 감시 회사에서 이중 인증을 구현하는 것은 여러 기본 텍스트에 의해 규정된 조밀한 규정 프레임워크에 속합니다.

eIDAS 규정 번호 910/2014 및 그 개정 eIDAS 2.0(EU 규정 2024/1183)은 유럽 전역의 전자 신원 확인에 관한 기준이 됩니다. 제8조는 전자 신원 수단에 대한 세 가지 신뢰 수준을 정의합니다: 낮음, 상당함, 높음. 회계 감시자의 직업상 책임을 야기하는 행위(보고서 서명, 온라인 세무 보고서 검증)의 경우, "상당함" 또는 "높음" 신뢰 수준이 필요하므로 반드시 다중 인증이 필요합니다.

RGPD(규정 EU 2016/679)는 제32조에서 책임 있는 처리자가 개인 데이터의 보안을 보장하기 위해 "적절한 기술적 및 조직적 조치"를 구현해야 한다고 규정합니다. 회계 감시 회사는 민감한 개인 데이터(재무 데이터, 병가 휴가가 있는 급여 명세서를 통한 건강 데이터 등)를 처리합니다. 회계 소프트웨어에 대한 액세스 권한에 2FA가 없는 것은 이 조항의 위반을 나타내며, 회사를 연간 전 세계 매출의 4%에 달할 수 있는 제재에 노출시킵니다(RGPD 제83조).

민법 제1366조 및 1367조는 전자 서명의 법적 가치를 규제합니다. 제1367조는 "전자 서명 수단의 신뢰성은 반대 증명이 있을 때까지 적격 전자 서명을 구현할 때 추정된다"고 명시합니다. 강력한 인증은 이 신뢰성 추정의 필수 요소입니다.

NIS2 지침(EU 지침 2022/2555)은 2024년 5월 21일 법률 번호 2024-449 및 그 시행령으로 프랑스 법으로 전환되어 광범위한 항목에 사이버 보안 의무를 확장합니다. 회계 감시 회사는 필수 항목으로 직접 나열되지 않지만, 필수 또는 중요 항목(건강관리 시설, 지방 자치 단체, 중요 기반 시설 회사)에 디지털 서비스를 제공하는 회계 회사는 서비스 계약을 통해 간접적으로 의무를 받을 수 있습니다.

회계 감시 순서 전문 기준 2400은 법적 임무를 처리하는 회계 회사에 정보 시스템 보안 면에서 강화된 의무를 규정합니다. ANSSI는 "중소기업을 위한 정보 시스템 보안" 가이드(2024년 판)에서 명시적으로 MFA를 최소 조치로 권장합니다.

직업상 책임보험: 2FA 부재로 인한 클라이언트 데이터 침해의 경우, 회계 회사의 손해배상책임 보험자는 중대한 과실을 주장하여 보험금을 감액하거나 거부할 수 있습니다. 2FA 배포의 기술 문서를 근면의 증거로 보관하는 것을 강력히 권장합니다.

시나리오: 회계 회사의 실제 2FA 사용

시나리오 1 — 중규모 회계 감시 회사

약 15명의 직원과 약 400개의 활성 위임장을 관리하는 회계 회사는 피싱 사건으로 인해 급여 관리 소프트웨어에 대한 액세스가 거의 손상될 뻔한 후 모든 도구에 2FA를 배포하기로 결정했습니다. 경영진은 Microsoft 365(메일, SharePoint, Teams)에 Microsoft Authenticator를 선택했으며 회계 소프트웨어의 기본 TOTP 애플리케이션을 선택했습니다.

배포는 3주 동안 수행되었습니다: 1주일의 인벤토리 및 파라미터화, 5명 그룹의 직원 등록 1주일, 문제 추적 및 수정 1주일. 결과: 다음 12개월 동안 계정 손상 사건이 없음(이전 연도에는 2건). 보안 사건 관리 시간이 약 70% 감소했습니다. 회계 회사는 또한 여러 대형 클라이언트(보안 공급업체 헌장을 부과하는 중소 제조업체 고객 포함)에 대해 자사 시스템이 MFA 요구사항을 준수함을 정당화할 수 있었습니다.

시나리오 2 — 중소기업 감사에 특화된 회계 회사

약 60개의 감사 위임장을 관리하는 감사인 회계 회사는 구체적인 요구사항에 직면했습니다: 점점 더 많은 클라이언트들이 임무 갱신 시 RGPD 준수 증명을 요청하고 있습니다. 회계 회사는 가장 민감한 파일에 대한 액세스를 위해 동료들을 위해 FIDO2 보안 키를 배포하기로 선택했으며, 시니어 직원을 위해 TOTP 애플리케이션을 배포했으며, 낮은 민감도의 액세스만 SMS OTP를 유지했습니다.

동시에, 회계 회사는 서명자의 강력한 인증을 통해 감시인 보고서 서명 흐름에 고급 전자 서명을 통합했습니다. 생성된 감사 추적 덕분에, 보고서 제출 실제 날짜를 분쟁하는 클라이언트와의 두 가지 잠재적 분쟁을 타임스탐프된 인증 로그를 제출하여 회계 회사에 유리하게 해결할 수 있었습니다. 보고서 서명 시간 단축(평균 5일에서 24시간 미만)은 또한 청구서 작성을 간소화했으며 현금 흐름을 약 15% 개선했습니다.

시나리오 3 — 외부 성장 단계의 회계 회사

2년에 걸쳐 3개의 독립적인 구조를 인수한 지역 회계 회사 네트워크는 상당한 이질성을 직면했습니다: 인수된 일부 회계 회사는 2FA 정책이 없었고, 다른 회계 회사는 SMS OTP를 사용했습니다. 그룹은 2FA가 필수인 통합 신원 관리 솔루션(IAM — Identity and Access Management)으로 통합하는 기회를 이용했습니다.

초기 투자(IAM 라이센스, 교육, 지원)는 전체 그룹(약 45명의 직원)에 대해 약 8,000€로 추산되었습니다. 이에 따라, 보안 사건 관련 비용 감소(IT 공급자 개입, 위기 관리)는 첫 해에 약 15,000-20,000€로 추산되었습니다. 그룹은 또한 2FA 배포 문서를 보험자에게 제공하여 사이버 보험료를 약 20% 인하할 수 있었습니다.

결론

이중 인증은 더 이상 대규모 구조를 위해 예약된 사치가 아닙니다: 회계 회사의 규모에 관계없이 필수적인 보안 및 규정 준수 요구사항입니다. RGPD 요구사항, ANSSI 권장사항, 전자 서명에 대한 eIDAS 의무, 공급자의 보안 기준에 대한 클라이언트의 압력 증가 사이에서, 2FA는 이제 업계의 불가피한 표준이 되었습니다.

좋은 소식: 배포는 오늘날 접근 가능하고 빠르며 저비용입니다. 이 기사에서 설명한 단계를 따르면 — 애플리케이션 인벤토리, 적절한 방법 선택, 직원 등록, 문서화된 정책 작성 — 회계 회사는 몇 주 안에 강력한 보안 수준에 도달할 수 있습니다.

Certyneo는 전자 서명 흐름에 강력한 인증을 기본적으로 통합하여, eIDAS 규정 준수와 MFA 보안을 추가 복잡성 없이 결합할 수 있게 해줍니다. 당사의 오퍼 및 가격을 알아보세요 또는 당사 팀에 문의하세요 회계 회사의 규정 준수를 위한 맞춤형 지원을 받으세요.