금융 기관 및 은행들 대상...규모에 따라 보안 대책 반드시 마련해야
중소기업들은 “보안 솔루션 비싸다” 불만... 최소한 가시성 확보 중

[보안뉴스 문가용 기자] 오늘부터 미국 뉴욕 주에서는 금융 산업의 새로운 사이버 보안 규정이 발효되기 시작한다. 뉴욕의 금융서비스부(Department of Financial Services)가 보안 실천 사항의 최저 적정선을 새롭게 정한 것이다. 하지만 보안 전문가들은 ‘중소기업의 부담이 더 커졌다’고 평가하고 있다.


규정에 따르면 은행과 보험업체 등 뉴욕의 금융 기관들은 먼저 사이버 보안 프로그램을 새롭게 마련해 유지시켜야 한다. 이는 금융 산업만을 위한 첫 사이버 보안 규정이기 때문에, 앞으로도 미국 내 여러 주에서 ‘최저 적정선’으로서 도입될 전망이다. 보안 전문업체인 트립와이어(Tripwire)의 보안 전략가인 팀 얼린(Tim Erlin)은 “이번 규정 발효로 인해 기업들의 기본적인 사이버 보안 수준이 올라갈 것”이라고 보고 있다.

이번 새 규정은 2년에 걸쳐 단계별로 도입될 예정이다. 수익이 50억 원 미만이고 보유 자산이 100억 원 미만인 업체들은 일단 현재로서는 덜 엄격한 규정이 적용된다. 침투 테스트나 취약점 점검과 같은, 고비용 절차에서 면제된다는 것이다. 다만 이런 기업들이라도 보안 정책 및 프로그램에 대한 세부 내용을 문서화해서 보고해야 한다.

그렇기 때문에 많은 기업들이 현재 사건 대응 계획서를 만드느라 분주하다. 여기에 앞으로 180일 이내에 사원 보안 교육 프로그램까지도 수립해야 하니 발등에 불이 떨어진 것이나 다름없다. 또한 CISO나 그에 준하는 책임자를 반드시 영입해 데이터를 보호하고, 보안 사고가 벌어졌을 때 72시간 내에 금융서비스부에 알려야 한다. 72시간이라 함은, 사업에 실제적이고 가시적인 피해가 일어날 것이라고 판단된 그 순간부터를 말한다.

정확히 1년 후부터는 침투 테스트, 리스크 평가, 다중 인증 도입도 필수가 된다. 금융 산업의 모든 기업들에게 해당되는 내용이다. 또한 18개월 안에는 감사 추적 기능, 애플리케이션 보안, 데이터 유지(금융 기관은 5년, 비금융 기관은 3년), 암호화도 반드시 도입해야 한다. 2년 안에는 금융 산업 내에서 활동하는 서드파티, 즉 외주 업체들에 대한 규제도 마련될 예정이다.

산업 보안 전문업체인 코빌(Corvil)의 사업개발총괄인 데이비드 머레이(David Murray)는 대형 은행 및 금융 기관들 거의 전부가 이 규정을 따르기 위해 분주하게 움직이고 있는 중이라고 설명한다. 하지만 “덩치가 작은 펀드 회사나 제3,4 금융권 은행 등은 도입해야 하는 보안 시설이 너무 비싸서 이러지도 저러지도 못하는 중”이라고도 덧붙였다. “하지만 비교적 작은 업체들이라고 해도 이미 최소한의 가시성 확보를 위한 분석 장비나 기술들은 다 갖추고 있습니다.”

이는 즉 일단 업체 내 혹은 네트워크 내에서 무슨 일이 일어나는지부터 확실하게 파악하는 단계를 충분히 지나고 나서 ‘비싼’ 장비들을 본격적으로 도입하겠다는 중소기업들의 전략을 보여주는 거라고 머레이는 설명한다. “지금 당장은 작은 기업들로부터 볼멘소리가 나오긴 하지만, 일단은 가시성 확보라는 단계를 밟아나간다는 것부터가 좋은 일이라고 봅니다. 가시성 확보는 능동적인 보안의 첫 걸음이거든요.”

트립와이어의 얼린 역시 이번 뉴욕 금융서비스부의 새 규정에 대하여 긍정적으로 평가한다. “최근 뉴욕 금융서비스부는 도이치방크에 4천 250억 원의 벌금, 메가 뱅크(Mega Bank)에 1천 800억 원의 벌금을 부가한 바 있습니다. 둘 다 돈세탁 범죄와 관련된 뉴욕 주의 법을 어겼기 때문이죠. 이제 사이버 보안 규정이 새로 시작되었으니, 이와 관련한 벌금형 소식이 계속 들릴 것으로 예상합니다. 보안이 중요하다, 그러니 지켜라, 라는 말을 기업들이 새겨듣기 시작할 듯 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>