며칠전에 건국대학교에서 한국 마이크로소프트 에서 주최하는 SQL 서버 관리 솔루션 페어가 있었습니다.
지금 다니는 회사에서도 세션을 하나 발표하는 관계로 저도 강제 참석 ^^;; 하게 되었네요.

MS에서 발표한 내용은 Windows 와 SQL Server의 상호 작용에 관한 내용이었고 개별 참석 회사들이 발표한
내용은 DB보안의 중요성, 데이터 백업의 중요성등등..  대/내외 적으로 발생하는 각종 안전불감증 혹은 내부자
정보 유출에 대한 대응을 어떻게 할 것인가에 대한 것들이었습니다.

발표 자료들인데 링크는 MS 사이트이고, 관리는 mplanners 입니다만 공개된 홍보용 자료들이니
올려놔도 상관없겠죠 ^^;;;

MS SQL Server 보안에 대해 관심있으시면 한번 다운받아서 살펴보세요..
PS. http://channel8.msdn.com/ 에 가보시면 젬난거 몇가지 있어요 ^^;

Time

Session

09:00~09:30

등록

Keynote
09:30~10:10

SQL OS 작동 메커니즘 (한국마이크로소프트)

10:10~10:30

휴식(Track 분리) 전시관람

 

Track 1 (대강당)

Track 2 (국제회의장)

Session1
10:30~11:20

Microsoft SQL Server 2005환경을 위한
차세대 백업 기술과 재해복구 구현 방안
(한국이엠씨컴퓨터시스템즈)

케이포솔루션과 함께하는 Microsoft SQL Server 2005 One-Stop(감사,접근제어, 튜닝)
솔루션 (케이포솔루션)

11:20~12:30

점심식사

Session2
12:30~13:20

가볍지만 강력한 Glass SQL 이용한 Microsoft SQL Server 2005 튜닝 방법론
(필라넷)

외부 공격 내부자의 정보 침해 방지를 위한 데이타베이스 보안 취약점 분석 해법
(웨어밸리)

13:20~13:30

휴식

Session3
13:30~14:20

Microsoft SQL Server 2005 신속하고
정확한 시스템 데이터베이스 복구 방안
(시만텍)

Microsoft SQL Server 2005 환경하의
DB
보안기법 (모니터랩)

14:20~14:30

휴식

Session4
14:30~15:20

Microsoft SQL Server 2005 Database
백업을 위한 HyperBac 압축 백업 솔루션
소개 (데이터웍스)

메모리 DB SQL 파서에 기반한
신개념의 데이터베이스 보안 (신시웨이)

15:20~15:30

휴식

Session5
15:30~16:20

ERwin for Microsoft SQL Server 2005   (제니시스기술)

아이데라(IDERA) 활용하여 Microsoft SQL Server 2005 쉽고 빠르게 관리하기!!
(실크로드소프트)

16:20~16:30

휴식

Session6
16:30~17:20

SSMA(SQL Server Migration Assistance) 활용한 효율적인 마이그레이션 전략 사례 (온디멘드)

QCSS 이용한 Microsoft
SQL Server 2005
효율적인 관리 방안
(
퀘스트소프트웨어)

17:20~17:30

경품추첨

Session7

DB보안 Data거버넌스 솔루션(에스컴)



 

 

SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.
(a) RULES REQUIRED.—The Commission shall prescribe rules
requiring each annual report required by section 13(a) or 15(d)
of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d))
to contain an internal control report, which shall—
(1) state the responsibility of management for establishing
and maintaining an adequate internal control structure and
procedures for financial reporting; and
(2) contain an assessment, as of the end of the most recent
fiscal year of the issuer, of the effectiveness of the internal
control structure and procedures of the issuer for financial
reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING.—With
respect to the internal control assessment required by subsection
(a), each registered public accounting firm that prepares or issues
the audit report for the issuer shall attest to, and report on, the
assessment made by the management of the issuer. An attestation
made under this subsection shall be made in accordance with standards
for attestation engagements issued or adopted by the Board.
Any such attestation shall not be the subject of a separate engagement.

http://frwebgate.access.gpo.gov/cgi-bin/getdoc.cgi?dbname=107_cong_bills&docid=f:h3763enr.txt.pdf
http://www.sec.gov/rules/proposed/s74002/card941503.pdf


사베인 옥슬리법(SOX) 준수: 심층 분석
[출처 http://kr.sun.com/news_market/boardroom/200503/0305leadingvision.html]
[원문
http://www.sun.com/emrkt/boardroom/newsletter/0305leadingvision.html]

Sun 사의 재정담당 이사인 Sue Patterson 씨는 기업의 사베인 옥슬리법 404 조항 준수에 관한 분야를 책임지고 있습니다. 총 2부로 구성된 본 연재물의 2 부분에서는 법안 준수와 관련한 그녀의 경험과 법안 준수 노력 전반에 관한 의견을 들어보는 자리를 마련하였습니다.

주어진 질문은 다음과 같습니다.

질문: 사베인 옥슬리법(SOX)이 회사와 경영진에 미치는 영향은 무엇입니까? 회사는 내부 재정 담당자를 추가로 고용해야 합니까?

답변: 전술적인 면에서는 막대한 자원이 필요합니다 . 내부 인력으로 이를 충당할 수 있는 회사도 있고 외부 컨설턴트를 고용해야 하는 회사도 있겠습니다. 우리 회사는 가능한 한 내부 인력을 강화하려고 노력해 왔지만 외부 인사를 일부 고용해야 했습니다.

소규모 회사들의 경우 외부 자원을 활용하지 않으면 법안 준수가 더 어려울 전망입니다 . 이 법안, 특히 404 조항에 대하여 소규모 회사들의 항의가 계속해서 있어 왔습니다. 중/대기업의 경우에는 법안 준수가 그다지 어렵지는 않지만 소기업들에게는 커다란 난관이 아닐 수 없습니다.




경영자들은 법안 준수 노력을 지원하고 이를 위한 적절한 조건을 만들어 주어야 합니다 . 조직의 최상부에서 설정한 조건들은 통치 환경의 나머지 부분에 영향을 주며 궁극적으로 재정 보고에도 영향을 미칩니다.

썬의 경영진은 윤리 실현 , 올바른 행동, 부정 행위 보고에 대해 특히 강한 어조로 강조한 바 있습니다. 결국, 이 모든 것들이 재정 보고에까지 영향을 미치게 됩니다. 다른 회사의 경영진은 이를 본보기로 삼아 윤리 기준과 바른 기업 관리를 강조하는 기회로 활용하면 될 것입니다.

질문: 법 준수를 위해서 해야 할 일에 대하여 간단히 설명해 주십시오.

답변: 먼저 모든 재정 절차를 문서화할 필요가 있습니다 . 예를 들어, 우리 회사에는 임금 대장, 자재공급에서부터 대금지불, 장려 보조금 등의 재정 절차가 있습니다. 전체 절차를 문서화하고 핵심 제어(또는 관리) 요소가 무엇인지 우선 파악해야 합니다. 예를 들어, 자재조달과 대금지불의 핵심 제어 포인트는 구매주문서를 공급자에게 보내기에 앞서 필요한 관계자들의 승인을 모두 받아내는 것입니다. .

둘째 , 한 발 뒤로 물러 서서 이러한 절차들과 관리 상태를 관찰하고 본인이 포함되어 있는지 확인하고 설계를 평가하는 것입니다. 그 다음, 많은 시간이 소요되는 작업은 그 절차를 시험하는 것입니다. 예를 들어, 구매주문서에 필요한 수만큼의 서명을 받았는지 확인해야 하는데, 이를 위해서는 일정 수의 구매주문서를 표본으로 뽑아서 이들 하나하나가 올바른 수의 서명을 받았는지 확인해야 합니다. 기본적으로 거래내용을 테스트하는 것입니다.

테스트를 통과하지 못했다면 관리 요소를 수정하여 다시 테스트할 필요가 있습니다 . 여러분의 독립 감사들 또한 이러한 일을 모두 거치면서 그들 자체적으로 테스트를 수행할 것임을 기억하십시오.

관련 절차는 다음과 같습니다 :

  1. 서류
  2. 설계평가
  3. 테스트
  4. 교정
  5. 재테스트
  6. 독립 감사로부터 허가 획득

질문: SOX가 부정 행위를 억제할 수 있다고 믿으십니까?

답변: 시간이 지나면 알 수 있을 것입니다 . 대립되는 관점들이 존재하고 있으니까요. 마음만 먹으면 속일 수 있다는 의견도 있습니다. 판매주문서에서 속임수를 쓰고자 하거나 장부를 조작하려 하면 404 인증 역시 속이게 되는 것입니다.

그러나 , 이 법안에 의하면 다른 수표나 잔고처럼, 독립 감사들을 대상으로 그러한 속임수를 쓰는 것이 어렵습니다. 만약 간부 팀이 제대로 일을 하지 않고 404 인증에 서명을 한다면 그들이 어떻게 감사를 통과할 수 있겠습니까? 이것은 전체 절차에 대한 신뢰를 구현하는 일환이라 할 수 있습니다.

사베인 옥슬리 법안의 일부로 설립된 것이 주식회사 회계 감독위원회 (PCAOB)입니다. 그들의 임무는 감사들을 규제하는 것인데, 특히 Enron 스캔들의 경우 비난의 일부는 감사들에게 돌아가야 한다는 의견도 있었습니다. Enron의 경우, 경영진은 물론이고 감사들도 올바르지 못했다는 평을 듣고 있는 것이 사실입니다.

따라서 , 이 법안은 PCAOB를 통해 감사들을 규제하게 한 것인데, 감찰 및 업무 서류 검사가 수행되고, 잘못된 감사가 있을 경우 이를 찾아 내어 업무에서 제외시킵니다. 모든 상황에 많은 변화가 있어 왔습니다.

질문: 다소 강요적인 측면은 없습니까?

답변: 어느 정도 그렇다고 볼 수도 있지만 , 이는 매우 의미가 있는 일입니다. 기업과 규제자 양측 모두에게 그렇습니다. 한편, 규제자 입장에서는 미국 의회로부터 거의 거침 없이 예산 승인을 받습니다. 그들은 PCAOB를 위해서 사람들을 고용하는데 그들이 대규모 감찰 프로그램을 보유하고 있으며 이 프로그램을 통해 감사 기관을 감사하게 됩니다.




질문: 만약 효과가 있다면, 투자자의 신뢰 측면에서는 어떻습니까?

답변: 신뢰라는 것이 변화 발생 측면에서 쉽사리 측정할 수 없는 무형의 것 중의 하나라고 생각하지만 , 이론적으로는 그렇습니다.

질문: Sun 사의 법안 준수를 위하여 일해 오신 경험을 근거로 해서, 서로 다른 규모의 회사들을 위한 충고를 한 마디 해주십시오.

답변: 세 단계로 요약해서 말씀 드리겠습니다 . .

  1. 성공의 열쇠는 노력을 강구함에 있어서 적절한 자원을 지원 받는 것입니다 . 며칠 또는 몇 주 만에 할 수 있는 일이 아니며, 또한 준수하지 않을 경우의 위험은 너무나 큽니다. 준수하지 않을 경우 처벌 그 이상의 곤경에 빠질 수 있습니다. 여러분은 중대한 취약성을 가지게 됨으로써 비리가 있는 것으로 여겨질 수도 있습니다. 재정 보고에 대한 내부 제어에 있어서 중대한 취약성이 있을 경우 여러분은 재무제표 상의 중대한 오류를 초래할 수 있을 만큼 커다란 약점을 갖게 되며 이는 매우 심각한 결과를 초래할 수 있습니다. 이 경우, 독립적 감사들은 어느 회사가 재정 보고에 있어서 효과가 없는 내부 제어 시스템을 가지고 있는지를 나타내는 반대 의견 (adverse opinion)을 피력해야 합니다. 그러한 경우에 기업의 주가와 기업 이미지에 어떤 충격파가 발생할 지 상상이 가실 것입니다.
  2. 성공 열쇠는 그러한 노력에 대한 지원을 경영진으로부터 실질적으로 받아내는 것입니다 .

  3. 아직 시작하지 않았다면 가능한 한 즉시 시작을 하고 이를 유지하십시오 . 감사, 감사 위원회 그리고 간부 팀과의 정기적인 대화를 통해 동료들이 상황을 알 수 있도록 하십시오.

질문: 이 규정을 썬에서 시행함에 있어서 도전 과제와 이득은 무엇입니까?

답변: 썬에서 직면한 도전 가운데 하나는 우리가 일을 수행함에 있어서 분산적인 즉 , 중앙집권화를 배제하고 있다는 점입니다. 우리는 여러 나라에 진출해 있고 서로 다른 사업부를 운영하고 있기 때문에 어떤 절차를 시행함에 있어서 다양한 방법들이 사용될 수 있습니다. 따라서 우리가 이것들을 글로벌 프로세스라고 부르고는 있지만 실제로 보면 그렇지 않습니다.

반대로 , 우리가 단일 기업으로서 노력해 온 것은 국제화, 절차 개선 그리고 효율성을 증진하는 지렛대로서 404 인증 절차를 활용하는 것인데 저는 이것이 다른 회사에도 이익이 된다고 생각합니다. 만약 모든 자원과 자금이 법안 준수로만 흘러 들어갈 것이라면 우리의 프로세스도 개선해야 할 것입니다. 실제로 수정이 필요한 제어 장치들이 발견되었으며 우리는 이것을 수정했습니다.

내부의 제어 장치를 개선하고 노력과 지출 부분을 강화했다는 것이 우리가 얻은 이익입니다 . 다시 말하지만, 여러분이 할 수 있는 것이 법 준수 뿐이라면 여전히 홈런을 친 것이나 다름 없습니다.




질문: SOX 404에 관한 다음의 질문을 할 때 Scott McNealy 씨는 무슨 말을 했습니까? “누가 어느 시스템에 액세스하고 있는지 알고 있습니까? 확신합니까? SEC는 동의할까요?”

답변: Scott McNealy 씨는 프로세스 업데이트와 문서화를 통해서 재정 데이터의 일관성을 보장하는 것이 SOX 준수가 요구하는 전부는 아니라고 언급했습니다. 효과적인 사용자 인증 관리 솔루션 등과 같은 기술적인 보호책을 사용하는 것이 매우 중요합니다. 왜냐하면, 이것은 재정 보고 절차를 구성하는 데이터 및 애플리케이션 대한 액세스 권한의 내부 제어와 관련한 준수 요구사항을 다루기 때문입니다.

간단히 말해서 , 만약 귀사의 재정 시스템에 누가 접속할 수 있는지 여러분이 알지 못한다면 어떻게 보고의 일관성을 유지할 수 있겠습니까? 썬은 이 문제를 자세히 다룰 수 있는 유용한 백서를 보유하고 있습니다.

질문: SOX는 회사의 프라이버시에 어떤 영향을 줍니까?

답변: 이 법안은 정부가 여러분의 장부를 열람할 수 있도록 하는 권한을 강화시켜 주며 , 또한 귀사의 CEO 또는 CFO가 허위 진술로 감옥에 갈 수도 있다는 점에서 매우 심각한 사안이라 할 수 있습니다. Enron이나 다른 경우를 보면 이것이 꼭 나쁜 일만은 아니지만 말입니다. 그러므로, 정부당국은 유연성을 두면서 그들이 이를 심각하게 여기면서 기업들을 주시하고 있다는 메시지를 경영 간부들에게 보내고 있다고 저는 생각합니다.

질문: 회사의 경영진들의 경우, 다른 개인적 또는 재정적인 영역에 대해서도 영향을 받을 수 있습니까?

답변: 정부는 적어도 불미스러운 행위로 축적된 이익에 대해서는 그들의 개인적인 재정을 추적할 수 있습니다 . 이것은 간부들이 회사의 상황에 대해서 몰랐다는 이유를 내세울 수 없도록 하기 위한 것입니다. 그들은 회사에서 어떤 일이 일어나고 있는지 알아야 할 개인적 책임과 의무를 가지고 있습니다.

질문: 이 프로그램으로 인해 회사가 치러야 할 비용은 무엇입니까?

답변: SOX를 준수할 경우 10억 달러의 돈을 벌면 약 1백만 달러의 비용이 발생하게 된다는 말을 들었습니다. 2004년 7월에 META Group은 전체 주식회사의 약 64%가 재정 규정을 준수하기 위한 예산을 설정해 놓고 있으며 2005년 평균 예산은 720만 달러라고 발표된 바 있습니다. 회사의 감사에 드는 비용이 50% 증가할 것이라는 통계를 들은 적도 있습니다. 이 정도 규모의 비용이라면 대단한 것입니다. 한 해가 마무리되고 기업들이 3월 말에 보고서를 SEC에 제출하게 되면 실질적 효과가 무엇인지 알 수 있을 것입니다.

질문: 이 법안이 미국 기업과의 비즈니스를 보다 안전하게 할 수 있다는 점에서 세계적으로도 영향을 미친다고 생각하십니까?

답변: 그것은 SOX 목표의 일부라고 저는 생각합니다. 기업들의 스캔들로 인하여 미국 자본 시장에서 세계적인 투자자로서의 신뢰에 금이 갔습니다. 유럽과 캐나다 등의 국가는 사베인 옥슬리법과 유사한 프로그램을 이미 시행하고 있다고 들었습니다. 따라서 강화된 기업 통제와 재정적 투명성의 분위기가 널리 확산될 것으로 예상됩니다. 다시 말하지만, 이 법안의 결과로 미국 시장에 대한 신뢰가 회복될 수 있는지는 시간이 지나면 알 수 있을 것입니다.




 

샤베인 옥슬리 법안이라고 불리우며 투자자 및 정보보호를 위한 법률이라고 할 수 있습니다.

SOX법안은 는 철저한 사내 견제와 균형을 통한 경영의 투명성 증가, 기업회계 및 재무보고의 투명성을 목적으로 하여, 기업지배구조(Corporate Governance)의 본연의 모습과 감사제도를 근본적으로 개혁함과 동시에 투자자에 대한 기업경영자의 책임과 의무, 벌칙을 규정한 미국연방법.

정식명칭은 "Public Company Accounting Reform and Investor Protection Act of 2002:상장기업회계개혁 및 투자가보호법" 이며, 법안은 제출한 폴 사베인(Paul Sarbanes) 상원의원, 마이클 G 옥슬리(Michael G.Oxley) 하원의원의 이름에 유래하여 "사베인-옥슬리법」이라 불린다. "기업개혁법"이라 의역되는 경우가 많다.

1929년 대공황 이후 투자자들을 보호하기 위해 입법된 증권법을 통한 노력들에도
불구하고 최근 몇년간 커다란 기업 스캔들이 잇달아 일어나자 , 기존 연방 증권법 중 기업 지배 구조 부분을 대폭 강화한 이 개정안은 기업 활동과 문화에 엄청난 파급 효과를 가져오고 있고 그 여파는 미국을 넘어 유럽과 아시아에도 미치고 있으며 한국 기업도 그 예외일 수 없습니다.

전 11장 69개 조문으로 구성되며, 상장회사회계감사심의회(PCAOB:Public Company Accounting Oversight Board)의 설치, 감사인의 독립성, 재무 디스클로저(기업정보 공개, disclosure)의 확장, 내부통제의 의무화, 경영자에 의한 부정행위에 대한 벌칙강화, 증권분석가 등에 대한 규제, 내부고발자의 보호 등이 규정되어 있다.

이 법은 미국의 공개기업과 그 연결대상 자회사가 적용대상이 될 뿐 아니라, 외국기업이라도 미국의 각 증권시장에서 주식을 공개한 경우에는 원칙적으로 적용된다.
[나스닥에 상장한 국내회사는 이미 이 법에 적용되어 데이터베이스에 대한 보안을 실시하고 있다.]

특히, 주목되는 것이 제404조. 이것은 CEO와 CFO에 대하여 SEC(미국증권거래위원)에 제출하는 서류에 "허위나 기재 누락이 없을 것", "내부통제의 유효성 평가의 開示" 등을 보증하는 증명서와 서명을 첨부하도록 요구하고 있다. 허위가 있을 경우에는 개인적인 책임을 묻게 되며, 벌칙으로 벌금이나 5~20년의 금고형이라는 엄한 형사벌이 마련되어져 있다.

또한 재무보고의 투명성 확보를 위하여 그 기초가 되는 기업 내의 각종 데이터, 업무 프로세스를 포함하여 명확화, 문서화할 것을 의무짓고 있다.

이는 ERP나 회계시스템 등의 정보시스템이나 시스템 개발/보수/운용이라는 업무 프로세스에까지 미쳐 시스템에 대한 접근권한 룰 및 관리, 외부IT벤더에의 위탁계약방법을 포함하여, 공정하고 명확학 절차에 따라 수행되고 그것을 증명할 수 있어야 한다.

데이터베이스 측면에서 바라보면 개인정보 및 이를 포함하는 금융정보를 저장/관리하는 메인 데이터베이스 뿐만 아니라, 이에 액세스하여 서브정보를 수집 하는 영역까지 이 테두리를 벗어날 수 없으며, 이러한 DB에 대한 접근 내역을 모두 기록으로 남겨야 하며 지정된 기간까지 별도로 저장하고 있어햐 한다.

참고.
http://www.tech-faq.com/lang/ko/sarbanes-oxley.shtml
http://www.soxlaw.com/
http://www.sarbanes-oxley-forum.com/
http://www.atmarkit.co.jp/aig/04biz/sox.html
http://en.wikipedia.org/wiki/Sarbanes-Oxley_Act
http://fl1.findlaw.com/news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf






+ Recent posts