시스템이나 네트워크 보안 넘어선, 데이터 보안 강조된 규정
유통기한 설정해 칼 같이 지우도록...모든 기관들 곧 도입할 것

[보안뉴스 문가용 기자] 작년 9월, 뉴욕의 주지사인 앤드루 쿠오모(Andrew Cuomo)는 은행과 금융 기관들을 대상으로 한 첫 사이버 보안 규정을 공개했다. 그리고 수개월이 지난 3월 1일, 그 규정은 실제 적용되기 시작했다. 뉴욕 주의 은행과 금융 기관들은 금융서비스부(Department of Financial Services)와 전국보험감독관협회(National Association of Insurance Commissioners)의 엄격한 규제 안에서 사이버 공격으로부터 보호받게 되었다.


이 새로운 규제가 이루고자 하는 건 명확하다. 은행, 헤지펀드, 보험업자, 기타 모든 금융 기관들이 고객 정보, 개인 식별 정보, 투자 전략, 비공개 정보를 안전하게 관리하는 것이다. 그렇기 때문에 이러한 조직들에 속한 CISO와 CIO들이 당장 해야 할 일들이 쌓여가고 있다. 특히 접근 통제, 암호화, 데이터 손실 방지, 사건 대응 전략 마련 등이 시급히 해결해야 할 항목들이다. 새롭게 추가된 규제들은 다음과 같다.

- 암호화 기술을 광범위하게 구축한다
- 시스템과 데이터에 대한 접근 권한을 제한한다
- 비공개 정보에 대한 보유 기간과 삭제 기한을 설정하여 알린다
- 자격을 갖춘 CISO를 임명하여 이런 과정들을 관리, 감독하도록 한다
그리고 이 새 항목들이 가진 의미는 다음과 같다.

1. 디스크 암호화로는 불충분하다
뉴욕 주가 금융 기관들을 대상으로 규정을 새롭게 마련한 이유는 클라이언트 정보가 지나친 수준으로 공유되고 있으며, 한 번 공유된 정보에 대한 실제적인 통제 방법이 없다고 판단했기 때문이다. 실제 자산이 조 단위인 은행들도 서드파티나 외주 업체들과 끊임없이 민감한 정보를 교류하고 있다. 이 서드파티들은 변호사, 감사원, 경비 기업 등이다. 은행이 보안에 철저한 것으로 알려져 있는데, 정작 그 안에 들어가 보면 작업 프로세스가 상당히 허술하다는 걸 알 수 있는데, 이것이 바로 뉴욕 주가 해결하고자 하는 것이다.

그러므로 이제 금융 기관들은 기초적인 암호화 적용만으로 충분히 규정을 지키고 있다고 주장할 수 없게 된다. 접근 권한을 축소하고, 새로운 감사 시스템을 적용해 방화벽 안쪽과 바깥쪽에 있는 문서들의 데이터 거버넌스를 마련해야 하며, 원격에서도 데이터를 삭제할 수 있는 방안을 마련해야 한다. 즉 시스템이나 디스크를 보호하는 것을 넘어 늘 움직이는 데이터 자체를 보호하는 것에 방점이 찍혀 있다.

2. 데이터로의 접근 통제
암호화와 접근 통제, 데이터 보호라는 것 모두가 ‘데이터 수준’에서 이뤄지도록 해야 한다. 즉 접근하려는 데이터의 종류, 데이터가 저장된 위치, 공유 방법 등에 따라 정의되어야 한다는 것이다. 기존에 해왔던 것처럼 시스템에 대한 접근이나 단순 직위나 기기 종류에 따른 허용 판단으로는 모자라는 것.

맨해튼의 한 유명 자산 관리 기업의 경우, 법과 관련된 데이터나 인사 데이터, 금융 데이터를 모두 기업 내 파일 공유 시스템에 전부 저장해왔는데, 새로운 규정 도입으로 인해 데이터의 중요도와 특성에 따라 접근 권한 및 허용도를 하나하나 설정해, 파일이 누구에게 어떤 경로로 공유되든 보호될 수 있도록 하는 작업을 진행 중에 있다. 이는 사실상 뉴욕 내 거의 모든 은행들이 계속 하고 있는 일일 것으로 보인다.

3. 감사 추적의 자동화
여태까지 데이터 접근에 대한 감사 추적 기능은 ‘필요한 기업이나 여유가 되는 기업만’ 갖추는 부차적인 옵션이었다. 그러나 뉴욕 주는 데이터의 활용에 있어 더 나은 가시성 확보를 강조하며 각종 데이터 활용 내역을 로깅하고 추적할 수 있게 하라고 법으로 정했다. 특정 조직만 하던 것이, 이제 뉴욕 내 모든 금융 조직이 갖춰야 할 것이 되어 버렸다.

그러므로 이제 금융 기관들은 데이터에 대한 접근 시도가 성공적으로 이뤄졌든 안 이뤄졌든 다 기록해야 한다. 언제, 어떻게 접근 시도가 이뤄졌는지도 함께 기록해야 하며, 합법적인 파트너사가 투자자 통신 내역을 열어보았는지 여부나 경쟁사 등이 비공개 정보에 접근하려 했는지도 전부 세세히 기록에 남겨야 한다.

4. 보유 기간 및 삭제 시간 설정
모든 데이터에는 보유 기간과 삭제 시간이 설정되어 있어야 한다. 은행이나 금융 기관 내에 저장된 데이터만이 아니라 공유되고 돌아다니고 있는 정보 모두를 포함한다. 물론 아무 정보는 아니고 금융 사업과 고객 프라이버시에 있어서 치명적인 민감한 정보들을 대상으로 한다. 그러므로 개인정보는 물론 사내 직원들의 급여 정보, M&A 관련 정보 등을 전부 아우른다. 정보를 최초로 생산한 자가 원격에서도 정보를 다시 회수하거나 지울 수 있도록 하는 권한도 부여하는 것도 여기에 포함된다.

또한 정보를 활용, 공유하던 자들도 해당 기한이 되면 알아서 삭제 작업을 진행해야 한다. M&A에 참여한 모든 조직들도 은행이 설정한 ‘유통기한’이 지나면 해당 M&A 계약 중 은행 관련 정보를 모두 지워야 한다. 개인이 사비로 산 개인 소유 기기에 특정 정보를 저장해놓는다 하더라도 자동으로 지워지는 조치도 취해야 한다.

5. 이런 조건들, 더욱 번져갈 것
아직 이 사이버 규정은 ‘뉴욕 내’에서, 그것도 ‘금융 산업 내’에서만 적용된다. 그러므로 상당히 많은 사람들이 이 규정과 상관없는 삶을 살아가도 된다. 그러나 그런 사람들은 점점 줄어들 것으로 보인다. 굉장히 많은 정부, 공공 기관들에서 비슷한 수준의 정책을 도입하고 있기 때문이다. 유럽연합의 사이버 보안 관련 법안은 이미 더 빡빡해지고 있고, 세계의 여러 군사기관 등은 뉴욕의 새 규정보다 더하면 더했지 결코 덜하지 않은 규정을 자체적으로 지키고 있기도 하다.

결국 데이터 자체에 대한 접근으로 흘러갈 수밖에 없는 흐름에 우리는 놓였고, 시스템이나 기기가 아니라 데이터 하나하나에 대한 보안은 더 엄격하고 ‘불편’할 수밖에 없다. 뉴욕의 은행들에 보안 업계가 주목하고 있는데, 새로운 규정의 안전성과 효과가 드러나게 되면 더 많은 기관들이 비슷한 것을 도입할 것으로 보인다. 뉴욕 은행들이 부랴부랴 겪는 일이, 가까운 미래에 우리가 직접 해야 할 일일 가능성이 높다.

글 : 프라카시 링가(Prakash Linga)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련