경험 기반 구체화
IT 감사 대응을 직접 준비한 경험은 없습니다. 수업에서 IT 감사의 핵심은 '증적(Evidence)'이 얼마나 잘 정리돼 있는가라고 배웠습니다. 감사자가 보는 건 "보안 정책이 있는가"가 아니라 "정책대로 실제로 운영했다는 기록이 있는가"이기 때문입니다.
케이스에서 인상적이었던 건 일상적으로 기록을 남기는 팀은 감사 대응에 추가 작업이 거의 없었지만, 감사 직전에 기록을 정리하려는 팀은 증적 누락이 드러나는 경우가 많았다는 점이었습니다. 접근 로그, 변경 이력, 그리고 승인 프로세스 기록이 평소에 잘 쌓여야 한다는 것이었습니다.
직접 경험은 없지만, 감사 대응 준비는 "감사 때 보여줄 것을 만드는 게 아니라 평소에 운영하면서 생기는 기록이 감사 자료가 되는 구조"를 만드는 것이라고 봅니다.