개요
금융 서비스 보안 및 컴플라이언스는 고객의 돈과 금융 정보를 보유, 관리, 보호하기 위해 금융 서비스 회사가 져야 할 책임을 가리킵니다. 여기에는 고객 데이터에 대한 표준 보안 수준을 결정하는 연방, 주, 지방 규정을 준수하는 것이 포함됩니다.
금융 서비스 보안 및 컴플라이언스의 간략한 역사
금융 고객의 자산과 정보를 보호하는 기능은 역사적으로 액세스 권한과 함께 발전해 왔습니다.
자산과 정보가 저장소에 보관되고 물리적 환경에서 전송이 이루어지던 시절에는 물리적 장벽으로 충분했습니다. 이제 대출 기관(예: 은행, 신용 조합)과 보험 회사가 금융 기술(FinTech)을 통해 고객에게 금융 상품을 제공하는 시대가 오면서 규정을 준수하는 보안 시스템도 추가해야 하는 상황이 되었습니다.
전 세계 정부는 각기 다른 법률, 규정, 기술 표준을 시행하고 있고, 세계 금융 시스템에 대한 새로운 위협에 대응하기 위해 매년 규정이 변경되고 있는 실정입니다.
보안과 컴플라이언스는 왜 중요할까요?
이제 어느 것도 사일로에 존속할 수 없습니다. 모든 것은 디지털 기술로 연결되어 있습니다. 따라서 한 지점에서의 위협은 소수의 다른 금융 서비스 제공업체에 영향을 미칠 수 있습니다. 세간의 이목을 끄는 금융 범죄와 데이터 침해 사건이 증가하고 있는 현실을 생각해 보시기 바랍니다. 한 금융 서비스 기업에서 데이터 침해 사건이 발생하면 다른 금융 서비스 제공업체에 영향을 미칩니다.
대규모 규정 요구 사항, 기업 거버넌스, 데이터 관리 전략, 컴플라이언스 프로그램은 고객 데이터의 엔드포인트 및 전송 경로를 강화합니다. 모든 금융 서비스 제공업체가 규제 당국이나 컴플라이언스 담당관의 컴플라이언스 요구 사항을 충족하거나 초과하는 경우 보안 위협이 진입할 지점은 줄어듭니다.
사이버 보안 조치, 위험 평가, 지속적인 실사는 민감한 정보를 보호하며, 어떤 시스템도 잘못될 염려가 없습니다. 보안 기술에 대한 지속적인 투자로 새로운 규정과 보조를 맞추면 금융 서비스 조직이 항상 보안 위협에 앞서 진화할 수 있습니다.
금융 서비스의 과제는 무엇일까요?
편의성 및 고객의 기대치
금융업계는 기존의 오프라인 거래 모델에서 벗어나 오늘날의 편의성 및 기능에 대한 기대치에 부합하기 위해 큰 발전을 이루었습니다. 그러나 기술과 고객 정서는 확대 중인 일련의 디지털 기능에 대한 정부의 규제 감독보다 더 빠르게 변화하고 있습니다. 이에 은행은 고객 수요에 적응하면서 변화에 느리게 대응하는 규정을 준수해야 하는 과제에 직면하고 있습니다. 그뿐만 아니라 금융 서비스 업계의 신생 기업들은 공백을 빠르게 메우면서 경쟁력 유지를 위해 기성 업체에 도전하고 있습니다.
데이터 보호
디지털 정보에 더 편리하게 액세스할 수 있게 되면 데이터 사기 및 침해가 항상 위험 요인으로 다가옵니다. 데이터는 최종 목적지에 도달하기 전에 여러 포인트를 거쳐 전송되는데, 각 포인트가 잠재적 보안 위험 요인이 됩니다. 모바일 애플리케이션은 특히 손쉬운 대상입니다. 애플리케이션 자체와 애플리케이션이 상주하는 서버에는 악용 가능한 취약점이 있을 수 있습니다. 사용자 행동도 이러한 위험에 기여할 수 있습니다.
유럽 연합(EU)의 일반 데이터 보호 규정(General Data Protection Regulation, GDPR)과 같이 국경을 넘어 데이터가 전송될 때에도 이러한 다양한 취약점을 해결하려는 정부 규정이 존재합니다.
획일적인 관점
금융 서비스 업계의 사고 방식이 달라지면서 더 많은 과제가 생겨나고 있습니다. 금융 부문은 안정적으로 작동하는 비즈니스 모델에서 위험을 야기하는 비즈니스 모델로 변하지 않도록 경계하고 있습니다. 보안 위험에 대처하지 않은 채 소비자에게 더 많은 편의성을 제공하려고 서두를 경우 재난에 가까운 결과를 초래할 수 있습니다. 하지만 보안 프로세스로 인해 사용자 환경이 더 까다로워진다면 고객은 거래를 더 쉽게 처리할 수 있는 방법을 요구할 것입니다. 이처럼 보안 프로세스에서 균형을 유지하는 것은 가장 혁신적이고 진보적인 기업에서도 해결하기가 어려운 과제입니다.
대중의 신뢰
소비자 인식에 대처하는 것은 기술 채택만큼이나 중요합니다. 지난 몇 년간 중대한 데이터 침해가 발생하면서 대중이 개인 데이터를 처리하는 기업을 불신하는 분위기가 고조되었습니다. 신뢰는 잃기 쉽지만 회복하기는 어렵습니다. 고객은 자신의 정보가 안전하게 관리되고 있다는 확신을 원합니다. 금융 서비스 회사는 사이버 범죄 및 데이터 침해로부터 안전한 정보 보호 방법을 최대한 투명하게 공개하여 신뢰를 구축해야 합니다.
소비자 인식 및 교육
개인 정보를 보호하는 방법을 고객에게 교육하는 것은 생산적이고 안전한 뱅킹 환경의 가장 중요한 요소일 수 있습니다. 소비자에게 개인 정보를 보호하기 위한 작업과 데이터 침해 발생 시 해야 할 일에 관한 최신 정보를 제공하면 은행과 고객 간의 관계를 개선할 수 있습니다. 이러한 정보는 새 기술과 위협에 따라 변경되므로 소비자에게 이러한 정보를 지속적으로 제공하면 고객을 유치하는 데 큰 도움이 됩니다.
금융 서비스는 어떤 방식으로 데이터의 보안을 유지하고 컴플라이언스를 유지해야 할까요?
금융 서비스 산업의 보안 및 컴플라이언스 방식은 다양합니다. 전 세계의 정부 기관(예: 미국 연방준비위원회), 회사, 조직은 자금 세탁 방지, 위험 관리, 컴플라이언스 프로세스에 막대한 투자를 하고 있습니다.
다음은 금융 서비스 컴플라이언스 요구 사항을 충족하는 데 사용되는 몇 가지 보안 옵션입니다.
암호화
중요한 데이터는 암호화 과정을 거쳐 올바른 암호 해독 키를 사용하지 않으면 읽을 수 없는 코드로 변환됩니다. 그러나 데이터 암호화, 검증 및 해독에는 시간 및 처리 능력이 소요됩니다. 갈수록 증가하는 데이터를 더 신속히 처리하기 위해 은행은 기존 IT 인프라를 업그레이드 및 확장하거나 더 유연하고 강력한 새 시스템을 구현하여 손쉽게 확장할 수 있는 고속의 데이터 암호화를 지원하고 있습니다. 결제 카드 산업 데이터 보안 표준(PCI DSS)은 데이터의 암호화 방식에서 큰 역할을 합니다.
다단계 인증
여러 인증 형식을 사용해 로그인하는 것은 금융 서비스 웹사이트뿐만 아니라 다른 분야에서도 널리 사용되고 있습니다. 사용자가 암호나 PIN을 입력하면 텍스트 메시지를 통해 코드를 이전에 등록된 장치로 전송하라는 요청이 트리거됩니다. 이 코드는 사용자가 로그인 프로세스를 완료하기 위해 입력하는 일련의 임의 생성 문자를 포함합니다. 이로 인해 로그인 프로세스에 단계가 추가되지만 범죄자가 침입하기 훨씬 더 어려워집니다. EU의 은행들은 제2차 결제서비스 지침(PSD2)에 따라 모든 거래(국경을 넘어 진행되는 거래도 해당)에 다단계 인증을 구현해야 합니다.
데이터 스토리지 및 배포
GDPR의 영향력은 EU 이외 국가로 확장되어 데이터 보관, 액세스, 배포에 관한 전 세계 금융 기관의 정책으로 추진되고 있습니다. 데이터를 한 장소에 보관하는 것은 더 이상 기업을 위한 안전한 선택이 아닙니다. 클라우드 서비스에 의존해 디지털 정보를 저장하는 기업도 마찬가지입니다. 한 제공업체에 의존하면 위험 발생 가능성이 높아지므로 데이터 침해에 취약해집니다. 스토리지 및 기능을 여러 제공업체에 나누어 분산하면 위험이 희석되어 범죄자가 액세스하기 더 어려워집니다.
인공지능(AI)
사전 정의된 알고리즘의 예로는 미국에 거주하는 고객이 런던에서 한 거래와 같이 정상적인 패턴에 부합하지 않는 거래에 플래그를 지정하는 것입니다. 그러나 이 고객이 1년에 몇 차례 런던을 방문하는 경우 알고리즘은 런던에서 이루어지는 모든 거래에 대해 이 거래가 적법하다 하더라도 계속해서 플래그를 지정할 것입니다. AI를 활용하여 고객 행동을 학습하고, 고객 행동에 따라 조정하고, 알고리즘을 업데이트할 수 있으므로 향후 이 패턴과 일치하는 거래에는 플래그가 지정될 가능성이 줄어듭니다. 또한 AI로 인해 고객의 고유 특징을 사용해 고객을 식별하여 계정 정보에 액세스하게 하는 방법인 생체 인식도 활성화되고 있습니다. 지문, '안문(eyeprint)' 및 안면 인식은 다양한 스마트 장치에서 볼 수 있는 기능이며, 모바일 앱에서 이러한 옵션을 제공하는 은행이 늘어나고 있습니다. 이렇게 하면 보안이 강화되어 범죄자가 침입하기 더 어려워집니다.
AI/ML 애플리케이션 관리 개선
이 웨비나 시리즈에서는 인공지능/머신 러닝(AI/ML) 애플리케이션의 배포 및 라이프사이클 관리를 간소화하는 방법을 전문가의 관점에서 알아봅니다. 이는 ML 모델과 AIP 앱을 더 빠르게 구축하고, 이에 대한 협업을 진행하며, 공유하는 데 도움이 됩니다.
Red Hat을 선택하는 이유
Red Hat은 고객이 확신을 갖고 지속적 보안 전략을 채택할 수 있도록 엔터프라이즈용 오픈소스를 지원합니다. Red Hat의 목표는 기업이 보안 및 컴플라이언스를 유지하면서도 비즈니스 경쟁력과 유연성 및 적응력을 확보하도록 돕는 것입니다.
