EU 규정 준수 의무 시리즈 이해하기: 금융 서비스

이 블로그 시리즈의 1부에서는 규정 준수 환경과 다양한 산업에서 각각 사이버 보안에 대한 자체 규정 또는 지침이 어떻게 적용되는지에 대해 설명했습니다. 그 다음에는 제가 직접 경험한 분야이자 사이버 보안이 발전함에 따라 흥미를 느낀 중요 시스템 및 운영 기술 분야의 규제 및 보안 제어에 관한 포스팅이 이어졌습니다.

어떤 면에서는 정반대의 산업 유형으로 이동하여 금융 기관과 은행에 적용되는 EU 및 유럽 관련 의무 사항 중 일부에 대해 자세히 설명하겠습니다. 이 시리즈의 주제에 따라 SWIFT CSP 및 PCI-DSS에 대한 글로벌 의무사항은 다른 곳에서 자세히 다루고 있지만, 여기서는 특히 EU에 적용되는 통제 및 지침에 대해 집중적으로 다룰 것입니다. 이러한 의무 규정의 영향으로 유럽에서 가장 큰 규모의 IT 보안 프로젝트가 진행되고 있습니다.

이전과 마찬가지로 먼저 몇 가지 약어를 정의해 보겠습니다:

• FMI - 금융 시장 인프라. 이는 뱅킹 프로세스 자체를 뒷받침하는 시스템입니다.
• CPMI - 결제 및 시장 인프라 위원회. CPMI는 결제, 청산 및 정산 시스템의 안전을 증진하고 감독을 제공하는 권고안을 제시하는 국제 기구입니다.
• IOSCO - 국제증권감독위원회 기구. 이 기관은 글로벌 증권 및 선물 시장을 규제하는 기관입니다.
• ECB - 유럽 중앙은행. 유로화를 공통 통화로 채택한 19개 EU 국가의 중앙 은행입니다.
• SIPS - 시스템적으로 중요한 결제 시스템. 아래에서 자세히 설명하겠지만, 대부분의 은행에서 사용하는 국제 백본 결제 시스템 목록이 여기에 포함된다는 점만 말씀드리겠습니다.

계속 진행하기 전에 SIPS에 대해 잠시 살펴보겠습니다. SIPS는 일반적으로 장애가 발생할 경우 국가 전체에 영향을 미치는 주요 결제 시스템입니다. 여기에 정의된 것들의 경우 개별 국가가 아닌 최소한 유럽 전역에 걸쳐 있으며, 많은 경우 그 범위와 사용 범위가 전 세계에 걸쳐 있습니다.

관련 지침의 적용을 받는 주요 시스템은 TARGET2, EURO1 및 STEP2-T입니다. SIPS 규정에 따라 ECB는 이 세 가지 시스템을 감독할 책임이 있습니다. 또한, 유럽중앙은행과 국립벨기에은행/방크네셔널벨기에은행은 마스터카드 청산 관리 시스템 SIPS를 감독하고, 방크 드 프랑스는 CORE(FR)를 감독할 책임이 있습니다.

글로벌 사례로, 미국 연방준비제도는 CLS 시스템에 대한 1차 감독 책임을 수락하여 ECB가 G10 국가 중앙은행과 함께 참여하는 협력 감독 프레임워크를 주도하고 있습니다. 유로 시스템 내에서 ECB는 다른 유로 시스템 중앙은행과 긴밀히 협력하여 유로화 표시 결제에 대한 일차적인 책임을 지고 있습니다.

시스템적으로 중요한 결제 시스템을 위한 핵심 원칙

SIPS로 분류되려면 시스템이 아래 가이드라인을 따라야 합니다. 은행권에서는 이를 '10계명'이라고 부르기도 합니다:

1. 법적 근거가 확실합니다.
2. 참가자가 시스템 참여를 통해 발생하는 각 재무 위험에 대한 시스템의 영향을 명확하게 이해할 수 있는 규칙과 절차.
3. 신용 위험 및 유동성 위험 관리를 위한 절차를 명확히 정의하여 시스템 운영자와 참여자의 각 책임을 명시하고 해당 위험을 관리하고 억제할 수 있는 적절한 인센티브를 제공합니다.
4. 가치 당일, 가급적 당일 중, 최소한 하루 일과 종료 시점에 신속하게 최종 정산합니다.
5. 다자간 상계가 이루어지는 경우, 최소한 단일 정산 의무가 가장 큰 참여자가 정산할 수 없는 경우 일일 정산을 적시에 완료할 수 있어야 합니다.
6. 결제에 사용되는 자산은 가급적 중앙은행에 대한 청구권이어야 하며, 다른 자산을 사용하는 경우 신용 위험이 거의 또는 전혀 없고 유동성 위험이 거의 또는 전혀 없어야 합니다.
7. 높은 수준의 보안 및 운영 안정성과 일일 처리를 적시에 완료할 수 있는 비상 대책을 마련해야 합니다.
8. 사용자에게는 실용적이고 경제적으로는 효율적입니다.
9. 객관적이고 공개적으로 공개된 참여 기준을 통해 공정하고 개방적인 접근을 허용합니다.
10. 효과적이고 책임감 있으며 투명한 거버넌스 체계를 구축합니다.

목록에서 일곱 번째 항목을 강조 표시한 이유는 이 부분이 앞으로 집중적으로 다룰 사이버 보안 관련 지침에 해당하는 부분이기 때문입니다.

이러한 SIPS를 보호하는 방법에 대한 지침을 제공하기 위해 2016년 CPMI는 IOSCO와 함께 금융시장 인프라를 위한 사이버 복원력에 관한 지침(지침)을 마련했습니다. 여기에는 이러한 규모와 영향력을 가진 시스템 보안에 대한 자세한 지침이 포함되어 있으며, 측정 전략과 함께 여러 주요 중점 분야를 정의합니다.

예를 들어, 일부 고급 보안 섹션에는 다음이 포함됩니다:

식별: 식별: 이는 애초에 어떤 시스템을 보호해야 하는지 판단하는 조직의 능력과 관련이 있습니다. 여기에는 비즈니스 기능, 프로세스, 자산 및 정보가 포함됩니다. 정확한 식별을 통해 다음 작업의 우선순위를 정할 수 있습니다.

이 영역에서 개선의 핵심은 고부가가치 시스템과 이러한 시스템이 구축한 종속성을 신속하게 파악하는 것입니다. 대부분의 경우 이러한 시스템은 이미 복잡한 재개발 환경으로 존재하며, 모든 중요한 종속성과 경로를 식별하는 데 상당한 작업이 필요합니다.

보호: 사이버 공격 및 침해로부터 중요한 시스템을 보호하기 위해 효과적인 제어를 구현하는 방법.

저에게 제로 트러스트는 여기서 중요한 역할을 합니다. 가능한 한 기본 거부 아키텍처에 가까운 방식을 채택함으로써 보호 기능이 내재화되고 공격의 범위가 줄어듭니다. 또한, 성공적인 타협의 폭발 반경은 본질적으로 더 작습니다.

탐지: 실용적인 측면을 고려하여 범위 내 시스템에 대한 공격이 성공한 경우 사용해야 하는 탐지 방법, 봉쇄 및 완화 전술에 대해 설명합니다.  

이미 정상적인 동작을 설정하고 네트워크, 애플리케이션 및 사용자 액세스를 통해 기본 거부 구성을 설정한 경우 식별 및 보호 요소에 직접 연결하여 공격을 탐지하는 것이 훨씬 더 간단합니다.

테스트: 부록으로 테스트 섹션에는 앞의 세 섹션과 관련된 시스템을 가장 잘 준비하고 테스트하는 방법과 공격을 견딜 수 있도록 반복적인 증명을 통해 탄력적인 방식으로 시스템을 구성하는 방법이 포함되어 있습니다.

앞서 이 섹션의 매핑을 통해 중요한 애플리케이션과 흐름을 식별하고, 제로 트러스트 정책 아키텍처를 통해 공격으로부터 보호하고, 애플리케이션 동작의 변화를 감지하고, 마지막으로 지침의 범위에 있는 조직이 안전한 구성을 증명할 수 있도록 지원하는 Illumio에 대해 설명한 바 있습니다.

기존 작업에 더하여 매우 유용한 발전으로, 2018년 ECB는 금융시장 인프라에 대한 사이버 복원력 감독 기대치 (CROE) 라는 제목의 추가 자료를 발표하여 권장 사항을 구현하는 단계에 대한 추가 지침, 추상적인 개념을 명확한 실제 기술 사례에 매핑하고 마지막으로 FMI의 성공 여부를 측정하는 방법에 대한 명확한 기대치를 제공했습니다.

CROE는 모든 기관의 보안을 개선하는 데 도움이 되도록 FMI 간 커뮤니케이션을 장려하며, 2016년의 원래 문서에 설명된 세 가지 측정 수준을 여전히 참조합니다:

진화: 이사회가 승인한 사이버 복원력 전략 및 프레임워크에 따라 사이버 위험을 식별, 관리 및 완화하기 위한 필수 역량을 구축하고, 발전시키며, FMI 전반에 걸쳐 유지합니다. 관행의 성과를 모니터링하고 관리합니다.

발전: 이 레벨의 관행은 진화하는 수준의 요구 사항을 충족하는 것 외에도 FMI의 비즈니스 라인 전반에 통합되고 시간이 지남에 따라 개선된 고급 도구(예: 고급 기술 및 위험 관리 도구)를 구현하여 FMI에 제기되는 사이버 위험을 선제적으로 관리하는 것을 포함합니다.

혁신: 진화하고 발전하는 수준의 요구 사항을 충족하는 것 외에도 빠르게 진화하는 사이버 위협 환경에서 필요에 따라 FMI의 사이버 복원력과 생태계를 강화하고 외부 이해관계자와의 적극적인 협력을 통해 FMI 전반의 역량을 강화합니다. 이 단계에서는 사이버 리스크를 관리하고 사이버 복원력을 강화하기 위해 FMI와 더 넓은 생태계를 위한 인력, 프로세스 및 기술 혁신을 추진합니다. 이를 위해서는 새로운 제어 및 도구가 개발되거나 새로운 정보 공유 그룹이 만들어져야 할 수도 있습니다.

요약하면 다음과 같습니다.

문서와 담당 팀과의 대화 경험을 통해 이러한 시스템이 일상 생활에 미치는 영향(즉, 시스템이 손상될 경우 국가적, 나아가 전 세계에 미치는 재앙의 가능성)에 대한 이해가 크게 증가하고 있음을 알 수 있습니다. 이러한 발전은 아직 매우 최근의 일이며 지침의 실행은 이제 막 시작되었을 가능성이 높습니다. 이 글의 첫 번째 부분에서 언급했듯이, 저는 이러한 가이드라인이 구현되는 시스템의 유형, 문서의 주요 측정 가능한 영역에 대한 매핑, 시스템 자체의 설계 및 아키텍처 방식을 결정하는 등 10년 동안의 높은 수준의 IT 및 IT 보안 프로젝트를 형성하는 방식을 직접 목격했습니다.

일루미오에서는 애플리케이션 종속성 매핑을 통한 식별, 즉 두 문서에 직접 매핑되는 세 가지 핵심 영역에 중점을 두고 있습니다. 이를 통해 조직은 중요한 시스템과 애플리케이션의 실시간 맵으로 작업하고 이들 간의 정상적인 종속성 및 애플리케이션 흐름을 설정할 수 있습니다. 또한 다음 섹션인 보호에 필요한 경계를 정확하게 설정할 수 있습니다.

일루미오 플랫폼은 본질적으로 제로 트러스트 플랫폼입니다. 필요한 애플리케이션 흐름만 허용하는 정책을 정의하여 잠재적인 침해 경로와 측면 이동을 크게 제한할 수 있습니다. 매핑과 정책 구성의 조합을 통해 새로운 통신 시도 경로, 애플리케이션 워크로드 동작의 변화, 손상된 워크로드를 빠르고 안전하게 격리할 수 있는 기능을 통해 세 번째 핵심 요소인 위협을 쉽게 탐지할 수 있습니다.

Illumio가 금융 서비스 조직을 보호하는 방법에 대한 자세한 내용은 이 솔루션 페이지에서 확인하세요. 다음 시간에는 GDPR 및 TSR과 같은 EU의 다른 의무사항에 대해서도 함께 생각해 보시기 바랍니다!