Last Updated on 6월 5th, 2023, By
 In AppSealing News, 앱실링 블로그

2021년은 디지털 뱅킹 분야에서 커다란 혁신이 일어난 한 해였습니다. 이러한 혁신 이후 전 세계적으로 규제에서도 큰 변화가 뒤따랐습니다. 국책은행에서 일반 은행이나 조합에 이르는 모든 금융 참여자들은 이러한 최신 규제 변화를 파악해야 합니다. 규제 준수가 금융산업에서 점차 중요해지는 이유는 무엇일까요? 다양한 이유가 있습니다.

금융서비스 기업들은 극히 민감한 고객 정보를 이용합니다. 이들은 고객의 개인정보와 금융기록 등을 저장, 처리, 공유하며 이러한 정보는 사이버 공격자들에게 좋은 먹잇감입니다. 이러한 사이버보안 위험이 높아지면 자연스럽게 금융서비스 기업들에게 영향을 미치는 규제도 강화됩니다.

이 규제를 위반하여 데이터 침해가 일어나면 금융산업의 모든 참여자들에게 매우 심각한 문제가 됩니다. 금융 분야의 규제 압박이 높아지면 이를 따르지 않는 참여자들은 그에 상응하는 대가, 즉 벌금 등 처벌을 받고 명성이 훼손되며 고객은 이탈하는 결과를 겪게 됩니다.

반면에 이 지역 및 국내외 규제를 준수하면 참여자들은 보다 효율적으로 사이버보안 문제에 대응할 수 있습니다. 사이버보안 차원에서의 규제 준수는 그 외에도 여러 함의를 갖습니다.

  • 기업들은 민감성 고객 정보를 보호하기 위해 보다 우수한 보안 시스템에 투자합니다.
  • 조직은 핵심 시스템과 데이터 보안 정책을 보다 폭넓은 관점에서 바라볼 수 있게 됩니다.
  • 기업들은 최우선적인 사이버보안 전략이나 기법을 보다 정확히 이해하게 됩니다.

이제 금융서비스 기업들에게 영향을 미치는 가장 중요한 데이터 보안 표준과 규제에 대해 알아보겠습니다.

금융데이터 보안 표준과 규제

국내외 유관기관들은 민감성 고객 정보를 적절히 보호할 목적으로 다양한 규제를 수립했습니다. 아래는 금융서비스 분야에 적용되는 가장 중요한 국내외 규제와 규범입니다.

1. 국제 데이터 보안 표준

다양한 국제 데이터 보안 표준들이 금융분야에 속한 모든 기업들에게 영향을 미칩니다. 

결제카드산업 데이터 보안 표준

결제카드산업 데이터 보안 표준(PCI-DSS)은 주로 신용카드 문제를 다룹니다. 안전한 데이터 전송, 처리, 저장이 이루어지도록 하여 카드 사용자에 대한 보호를 강화합니다. 또한 PCI-SSC는 모든 카드업체들이 준수해야 합니다.

PCI-DSS는 주로 미국에서 제정된 표준입니다. 다만 다국적 기업인 VISA나 Mastercard에도 적용됩니다. 그러므로 PCI-DSS는 전 세계적으로 영향을 미칩니다. 즉 세계의 모든 결제 서비스 업체는 이 표준을 준수해야 합니다. 또한 이 표준은 2021년에만 전 세계적으로 약 285억 8천만 달러의 피해를 입힌 카드 부정행위를 줄이고자 합니다. PCI-DSS의 목표는 6가지입니다 –

  • 카드사용자 데이터 보호
  • 안전한 신용카드 결제망 구축 및 유지
  • 취약점 관리 프로그램 시행 및 유지
  • 강력한 접근 제어 조치 시행
  • 일관된 네트워크 모니터링 및 시험 실시
  • 기업들이 최신 정보보안 정책을 준수하도록 함

그렇다면 기업은 어떻게 PCI-DSS를 준수할 수 있을까요? 아래와 같은 12가지 보안 요건을 따라야 합니다.

  • 카드사용자 데이터를 보호하는 방화벽을 사용 및 관리합니다.
  • 일반적이거나 업체에서 제공하지 않은 고유한 시스템 암호를 생성, 사용하고 정기적으로 수정합니다.
  • 모든 데이터를 정기적으로 암호화하여 카드사용자 데이터를 보호합니다.
  • 수신자를 잘 알지 못하거나 데이터를 암호화하지 않을 시 절대로 카드사용자 데이터를 전송하지 않습니다.
  • 최신 안티바이러스 소프트웨어를 사용합니다.
  • 최신 정보보안 시스템을 이용합니다.
  • 외부에서 카드사용자 데이터에 접근하지 못하도록 방지합니다.
  • 카드사용자 데이터에 접근할 수 있는 사용자 및 기업은 고유한 사용자 ID를 이용하도록 합니다.
  • 카드사용자 데이터의 사본에 대한 접근 권한은 업무상 필요에 따라 엄격히 제한합니다.
  • 카드사용자 데이터에 대한 접근 시점, 접근 인원 및 방식을 기록, 관리합니다.
  • 정기적인 시험과 검사를 통해 시스템 취약성을 파악합니다.
  • 엄격한 준수 정책을 수립, 시행하여 내부 임직원과 외주업체 등 모든 인원이 이러한 정보보안 조치를 준수하도록 합니다.

PCI-DSS의 핵심 요건은 방화벽을 설치, 운용하여 무단 접근을 방지하는 것입니다. 또한 PCI-DSS 요건 11.4에 따라 모든 금융기관은 침투 감지 시스템을 설치, 운용하여 항상 네트워크 침투를 예방 및 감지해야 합니다.

SWIFT 고객 보안 프로그램

SWIFT 고객 보안 프로그램(CSP)은 국제 은행간 전기통신협회(SWIFT) 소속 금융기관을 대상으로 합니다. SWIFT는 간단히 말해 매년 50억 건이 넘는 금융 관련 메시지를 전송하는 국제 메시지 네트워크입니다. 금융기관들은 SWIFT를 이용하여 정확, 신속, 안전하게 금융 정보를 주고받습니다.

SWIFT CSP는 금융기관이 사이버공격에 맞서기 위한 방어 전략을 수립할 것을 의무화합니다. 즉 SWIFT 서비스를 이용하는 조직은 모두 SWIFT CSP 요건을 준수해야 합니다. 또한 사이버보안 관련 조치와 규정을 최신으로 유지하고 효과적으로 관리해야 합니다. 이러한 요건을 통해 국제 SWIFT 금융 네트워크의 무결성을 보호하게 됩니다.

2. 유럽 데이터 보안 표준

결제서비스 디렉티브 2 

결제서비스 디렉티브 2(PSD2)는 유럽 경제지역(EEA)에서 사업을 영위하는 모든 결제서비스 기업에 영향을 미치는 가장 중요한 법규 중 하나입니다. 이는 아래와 같은 조치를 목표로 합니다.

  • 현재 시장 요건에 따라 결제 관련 규제를 최신화합니다.
  • 전자결제를 받거나 처리하는 기업은 모드 엄격한 보안 요건을 준수하도록 합니다.
  • 고객의 결제 데이터를 보호합니다.
  • 은행과 금융기관은 반드시 고객들이 자신의 금융 데이터에 접근하도록 허용하는 서드파티(TPP)를 인식해야 합니다.

이에 따라 PSD2에 따라 은행 및 기관들은 고객이 동의할 시 TPP에게 고객 데이터를 제공해야 합니다. 또한 PSD2는 결제서비스 기업(PSP), 은행, 핀테크 기업들 간의 간극을 제거하고자 합니다. 동시에 PSD2에 따라 은행은 다른 기업들과의 데이터 공유에 사용하는 API를 안전하게 만들어야 합니다.

즉 PSP와 TPP 및 결제 개시 서비스 기업(PISP)는 반드시 모든 거래체 다중 인증 방식을 도입해야 합니다. 다시 말해 PSD2 법규의 핵심 조건인 강력한 고객 인증(SCA)이 이루어져야 합니다.

즉 PSP는 PSD2에 따라 아래와 같은 요소에 준하여 고객이 2가지 이상의 인증 기능을 사용하도록 해야 합니다.

  • 지식: 암호 등 고객만이 인지하는 정보를 이용합니다.
  • 보유: 등록된 휴대폰과 같이 고객만이 보유한 수단을 이용합니다.
  • 본질성: 생체데이터 등 고객만이 본질적으로 가진 정보를 이용합니다.

이 때 이용하는 인증 기능은 상호간에 독립적이어야 합니다. 즉 암호가 도난되는 등의 데이터 침해가 일어나더라도 다른 인증 기능은 이와 무관해야 합니다. PSD2는 2019년 9월 14일부터 발효되었으며 EU 내에서 통합되고 안전한 결제 시장을 조성하고자 합니다.

PSD2 규제 기술표준

PSD2 규제 기술표준(PSD2-RTS)은 결제 업체에서 고객 데이터를 보호할 수 있는 절차를 제시합니다. 또한 PSP, TPP 등 금융기관이 준수해야 하는 의무와 책임을 명시합니다. PSD2-RTS는 모든 PSP로 하여금 전자 신원, 인증, 신뢰 서비스(eIDAS)를 이용하도록 의무화합니다.

일반 데이터 보호

일반 데이터 보호법(GDPR) 역시 EU 차원에서 금융기업에 영향을 미치는 유럽 규정입니다. 2018년 3분기에 발효되었으며 EU 내 데이터 관리에 포괄적으로 적용되는 규정입니다. 또한 EU 국가들 간에 데이터가 관리되는 방식을 표준화함으로써 EU 국민들이 자신의 데이터를 보다 강력히 통제할 수 있습니다.

엄밀히 말하면 GDPR은 EU 법이므로 EU 내에서 활동하는 모든 조직에 영향을 미칩니다. 다국적 기업과 조직이라면 EU에서 영위하는 모든 활동과 관련하여 GDPR를 고려한 정책을 수립, 시행해야 합니다. 또한 GDPR는 기업들이 준수해야 하는 데이터 수집 정책을 매우 명확히 제시합니다. 즉 민감성 고객 데이터를 수집하는 기업은 반드시 아래 7개 원칙을 준수해야 합니다.

  • 책임성
  • 정확성
  • 기밀성과 무결성
  • 데이터 최소화
  • 목적 제한
  • 저장 제한
  • 투명성과 합법성

GDPR은 최근 발효된 EU의 보안 관련 법규 중에서도 가장 포괄적입니다. 갈수록 디지털화되는 경제체제에서 금융 보안을 표준화하고 민간 고객 데이터를 보호하는 것이 목적입니다. 위반 시 최대 2천만 유로의 벌금이 부과됩니다.

네트워크 및 정보 시스템 보안 디렉티브

네트워크 및 정보 시스템 보안 디렉티브(NIS 디렉티브)는 EU 내 사이버보안을 강화하는 법적 조치를 제시합니다. NIS 디렉티브의 기본 특징은 아래와 같습니다.

  • 회원국들이 사이버보안 사고에 대비하도록 합니다.
  • 회원국들이 사이버보안 사고대응 조직(CSIRT)을 설치, 운용하도록 합니다.
  • 회원국들이 상호간 협력을 위한 조직을 설치, 운용하도록 합니다.
  • 경제에 중요한 모든 분야에서 사이버 안전을 강화합니다.

3. 미국 데이터 보안 표준

미국에서 활동하는 조직은 여러 데이터 보안 규제를 준수해야 합니다. 여기에는 FINRA와 같이 국가적 차원의 규제와 NYDFS 등 주 차원의 규제가 있습니다. 아래는 금융거래, 고객 데이터 저장, 금융 부정행위에 대한 일부 미국 규제입니다.

GLBA(Gramm-Leach-Bliley Act)

이 데이터 보안 및 개인정보 보호법은 미국 내의 모든 은행, 증권사, 금융서비스 기업에 적용됩니다. GLBA의 데이터 보안 규칙(16 CFR Part 314)에 따라 모든 금융 조직은 자신의 규모와 업무의 복잡성에 적합한 물리적, 행정적, 기술적인 데이터 안전 조치가 포함된 엄격한 데이터 보안 프로그램을 수립, 시행, 관리해야 합니다.

모든 금융서비스 제공자는 고객의 데이터를 공유하는 방식과 자신이 취하는 데이터 보호 조치에 대해 고객에게 알려야 합니다. 또한 GLBA를 준수하는 조직은 고객에게 외부 당사자와 자신의 데이터를 공유하지 않을 선택권을 제공해야 합니다. GLBA를 이행하지 않거나 위반하는 경우 최대 1백만 달러의 벌금이 부과됩니다. GLBA는 ‘금융서비스 선진화법’이라고도 합니다.

사베인즈 옥슬리법(SOX)

 사베인즈 옥슬리법은 부정행위성 금융거래를 방지하기 위한 업무 방식과 표준을 제시합니다. 이는 미국 상장사들을 대상으로 합니다. 구체적으로 금융 기록의 보호 방식 및 저장 대상과 제외 대상 기록 및 그 저장 기간을 제시합니다.

온라인 뱅킹 합법화 및 편의화법(MOBILE 법)

 온라인 뱅킹 합법화 및 편의화법은 은행들이 단순한 온라인 인증 절차를 통해 거래를 처리하도록 합니다. 이 MOBILE 법은 도드 프랭크 법에 따른 규제를 대체합니다. 이에 따르면 전자서명으로 은행 고객을 인증할 수 있습니다.

주별 사이버보안법

미국 내 50개 주별로 지역 기업들이 사이버보안 침해를 방지하기 위해 준수해야 하는 사이버보안 법규를 시행합니다. 뉴욕과 캘리포니아가 대표적입니다. 이는 이 두 지역에 테크 및 핀테크 기업들이 가장 많이 소재하기 때문입니다. 일부 중요한 주별 사이버보안 규제에는 아래와 같은 것이 있습니다.

전 세계적으로 중요한 데이터 보안 표준

국가별로 금융기관을 대상으로 한 여러 보안 제도를 운용하고 있습니다. 이러한 규제는 타국의 다른 기관들에도 영향을 미칩니다. 주요국의 데이터 보안 규제는 아래와 같습니다.

은행 및 금융기관의 사이버보안 준수를 위한 최상의 업무 방식과 표준

데이터 보안법과 사이버보안 표준마다 다른 요건을 제시합니다. 이들을 모두 준수하는 것은 어려워 보일 수 있습니다. 동시에 핵심 데이터 관리 시스템의 보안 강화를 최우선순위로 설정해야 합니다. 또한 각 조직은 간단하면서 효과적인 방식으로 완전한 규제 준수가 이루어질 수 있도록 해야 합니다.

일반 개인정보와 민감성 개인정보의 구분

앞으로는 ‘일반적인’ 개인정보를 처리할 시보다 ‘민감성’ 개인정보를 처리할 시에 더욱 명확한 근거를 갖추어야 합니다. 즉 이 두 정보를 구분하는 것이 기업과 규제기관 양쪽에게 매우 중요합니다. 기업의 CFO는 반드시 규제기관과 투명하게 협의하여 이를 구분해야 합니다. 

정기 위험평가

기업은 정기 위험평가를 통해 내부 IT 인프라의 취약점을 정확히 파악할 수 있습니다. 금융업계에서 일어나는 사이버공격 중 약 90%는 피싱에서 발생합니다. 즉 금융 조직은 피싱에 특히 유의해야 합니다.

개인정보 보호 조치

주요 개인정보 규제를 준수하려면 아래와 같은 체계적인 접근법이 필요합니다.

  • 내부적인 개인정보 보호 프로그램을 통해 견고한 거버넌스 모델을 정의, 실행합니다.
  • 목표 운용 모델을 설계, 검토, 실행합니다.
  • 내부에서 이용하는 정보시스템의 기존 기능을 검토하고 보다 최신화된 정보보안 시스템을 운용합니다.

사용자 활동 모니터링

사용자 활동의 지속적인 모니터링은 PCI-DSS, SOX 등 여러 사이버보안 규제의 핵심 요건입니다. 이를 통해 의심스러운 상황을 감지 및 방지할 수 있습니다. 또한 이는 사이버공격의 초기 징후를 찾아내고 실시간으로 막아낼 수 있는 가능성을 높여줍니다. 일반 사용자와 특수 사용자(관리자 등)를 구분하여 긴밀히 관찰해야 합니다. 조직 구성 및 직위 고하에 따라 다양한 사용자 그룹을 모니터링할 시에는 사용자 행동 분석(UEBA) 도구가 도움이 될 수 있습니다.

암호화

GDPR과 PCI-DSS는 데이터 암호화를 권장하며 ISO 표준은 암호화를 의무화하고 있습니다. 암호화된 데이터는 도난당해도 사용할 수 없습니다. 그러므로 모든 업무 과정에서 고객 데이터를 암호화하는 방안을 모색해야 합니다. 고객 데이터는 단순 저장 및 전송 중에도 암호화해야 합니다.

서드파티 위험관리

서드파티 위험관리는 외주업체, 협력업체 등을 긴밀히 모니터링하여 데이터 침해 위험을 최소화하는 프로세스이며 아래는 서드파티로 인한 위험에 대응할 수 있는 간단한 조치입니다.

  • 중요 고객 데이터에 대한 외주/협력업체의 접근을 제한합니다.
  • 중요도에 따라 외주/협력업체의 접근 권한을 구분합니다.
  • 네트워크에 접근할 수 있는 모든 서드파티의 활동을 긴밀히 모니터링합니다.
  • 모든 서드파티가 사이버보안 표준 및 데이터 보안 규제를 준수하도록 합니다.

금융기관이 이러한 목표를 달성하는 데 도움이 되는 핵심 자산에 대 대한접근에는 제로 트러스트 모델을 적용합니다. 이러한 프로세스는 다중 인증(MFA)을 적용하는 것이 최상의 출발점입니다.

사고 대응 계획 수립

금융기관별로 명확한 사이버보안 정책을 수립해야 합니다. 이 정책의 핵심은 사고 대응 계획입니다. 즉 데이터 침해 시 실행할 명확한 조치 계획이 있어야 합니다. 이 계획은 아래 사항을 명시해야 합니다.

  • 여러 사이버보안 사고에 대한 명확한 조치 시나리오
  • 사이버보안 사고의 명확한 정의
  • 사이버공격 시 취해야 할 초동 조치
  • 데이터 복구 방안
  • 공격으로 영향을 받는 시스템의 최소화 방안
  • 사고 시 신고할 유관기관
  • 사고 시 최소 대응 시간

데이터 보안 규정 위반 시의 비용

데이터 보안 규정의 위반으로 인한 사이버공격 및 데이터 침해 시의 비용은 최근 수 년간 급증하는 추세입니다. 아마존의 경우 GDPR 위반으로 인해 8억 8,700만 달러(7억 4,600만 파운드)의 벌금을 부과받았습니다. 데이터 침해를 파악하고 적절한 대응 계획을 실행하는 평균 비용도 크게 증가하고 있습니다.

이러한 위반 시의 비용을 줄이는 방법을 소개합니다. 이를테면 데이터 보안 규정에 대한 준수를 촉진하는 강력한 제도를 실행해야 합니다. 특히 조직 전체적인 운용 및 정보시스템에 걸쳐 엄격한 준수가 이루어지는데 초점을 맞추어야 합니다. 이를 통해 벌금 등의 비용 뿐 아니라 명성이 훼손되는 상황도 방지할 수 있습니다.

금융 데이터 보호의 새로운 동향 

금융 기업들은 여러 문제를 극복해야 최상의 데이터 보호가 가능합니다. 먼저 명확한 데이터 보안 아키텍처를 구축하여 고객의 신뢰를 얻어야 합니다. 다만 이 아키텍처는 네트워크의 규모나 데이터 공유의 기회를 줄이는 단점이 있습니다. 새로운 성장의 기회를 활용하지 못할 수도 있습니다.

이것이 완전히 새로운 데이터 보안 아키텍처를 설계하여 데이터를 보호하는 것이 어려운 이유입니다. 민감성 고객 데이터는 누가 어느 정도까지 이용할 수 있어야 할까요? 최근의 금융 환경에서 통상적 업무를 수행하려면 어느 정도의 데이터 접근이 필요할까요? 이러한 문제들로 인해 암호화가 주목받고 있습니다.

암호화를 이용하면 보다 효율적이면서 적절하게 데이터를 관리할 수 있습니다. 이 경우 AES 256 암호화를 지원하는 최신 아키텍처를 이용해야 합니다. 이는 현재 가장 안정적인 암호화 기법이기도 합니다.

정리하자면 금융산업은 자신들이 이용하는 데이터의 가치로 인해 사이버 범죄자들의 목표물이라 할 수 있으므로 누구보다 보안이 중요합니다. 하지만 목표 데이터가 암호화되었음을 사이버공격자가 인지하면 더 이상 노리지 않게 됩니다.

마무리하며

전 세계적으로 뱅킹 및 금융서비스의 제공 방식이 크게 변화하고 있습니다. 또한 코로나19로 인해 탈현금 및 디지털화가 일어나는 중입니다.

그에 따라 많은 금융기관들은 클라우드로 이전하고 자체 디지털 플랫폼의 UX(사용자 경험)를 개선하고자 합니다. 동시에 사이버보안 위협이 강화되면서 광범위한 규제의 변화가 요구되는 상황입니다. 다만 금융기관들이 이러한 변화를 수용하면서 사이버보안 우려를 해소하기란 쉽지 않습니다. 이것이 앱실링(AppSealing)과 같은 서드파티 솔루션이 전 세계 핀테크 산업에 중요한 이유입니다.

앱실링(AppSealing)은 세계 최고의 모바일 앱 보안 솔루션입니다. 또한 앱실링(AppSealing)의 최신 암호화 아키텍처를 이용하면 내부 네트워크의 민감성 데이터를 보호하고 사이버공격을 감지하며 보안 표준을 모두 준수할 수 있습니다. 앱실링(AppSealing)의 솔루션은 AES-256 암호화를 지원하며 PCI-DSS, GDPR 등의 보안 규제를 준수하는 동시에 종단간 암호화가 가능하여 SDK 통합이나 별도 코딩 없이 즉각적인 규정 준수가 이루어집니다. 지금 바로 문의 주시면 관련 규정을 준수하면서 효율적이고 안전하게 고객 데이터를 보호할 수 있습니다.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.