경험 중심 1인칭 답변
IT 통제 결함을 해결할 때 제가 따르는 절차는 식별 → 근본 원인 분석 → 시정 조치 계획 → 실행 → 재검증 순서입니다. 단순히 증상을 고치는 것이 아니라 왜 이 결함이 발생했는지를 먼저 파악해야 유사 결함이 재발하지 않습니다. 학부 IT 감사 수업에서 실제 기업 사례를 기반으로 한 감사 보고서를 작성했는데, 접근 권한 관리 부재로 인한 통제 결함 케이스를 분석했습니다. 결함의 근본 원인은 퇴직자 계정 회수 프로세스가 없었던 것이었고, 시정 조치로 자동 비활성화 워크플로우를 설계하고 분기별 계정 리뷰 절차를 추가했습니다. 조치 이후 동일 결함이 재감사에서 발견되지 않았다는 것을 확인하는 검증 단계가 빠지면 완결된 개선이 아닙니다.
통제 결함은 발견했을 때보다 재발 방지 구조를 만들었는지 여부가 더 중요하다는 것을 그 경험에서 배웠습니다. 앞으로도 IT 통제를 다룰 때 증상 해결보다 근본 원인 제거에 집중하겠습니다. 재발을 막지 않으면 수정한 것이 아니다라는 원칙이 생겼습니다.