미국 뉴욕주 금융기관에 대한 사이버보안 규정에 대한 이해①

[보안뉴스= 유효선 우리은행 정보보호부 부장 대우] 현재 우리나라 경제는 3년 연속 2%대의 저성장이 고착화되고 있으며, 국내 금융시장도 인터넷 전문은행의 출현과 핀테크의 활성화 등에 따른 경쟁의 심화는 물론 각종 규제강화, 인구감소 등으로 성장의 한계에 직면하고 있다. 이에 많은 국내 금융기관들이 새로운 성장 동력 발굴과 수익기반을 다변화를 위해 적극적으로 해외진출에 나서고 있지만, 진출국에 따라 업무가 제한되거나 신규 점포 설치가 곤란해 현지화가 쉽지 않다는 문제가 있다. 또한 각종 법과 규제에 대한 대응에도 어려움을 겪고 있다.


특히, 정보보안 관련 법·규제 강화로 미국 뉴욕주는 금융기관들이 해킹을 방지하고, 고객정보를 보호하는 사이버보안 시스템 설치 및 운영을 의무화한 금융기관에 대한 사이버보안 규정을 2월 18일 발표하고 2017년 3월 1일부터 적용하기로 했다. 150여 곳의 은행과 43개 보험사에 대한 조사와 위험도 측정을 실시한 결과 금융기관 또는 제3자 서비스 제공자와의 고객정보에 대한 공유가 많은데 비해 통제가 미흡하다는 결론이 도출되어 보다 엄격한 규정을 만들게 된 것이다.

이에 본 기고에서는 3차례에 걸쳐 ‘뉴욕주 금융기관에 대한 사이버 보안규정(NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES 23 NYCRR 500, 이하 NYCRR 500)’에 대하여 살펴보고 이를 통해 뉴욕 또는 해외에 진출해 있는 금융기관이 준비해야 하는 사항들이 무엇인지, 또한 강화되는 해외 금융기관의 정보보안 관련 법·규제 방향에 대해 살펴보고자 한다.

뉴욕주 금융기관, CISO 지정 및 위험평가 기반 사이버보안 시스템 운영
주정부 차원에서 금융업체에 사이버보안 시스템을 의무화한 것은 뉴욕주가 미국 최초로, 해당 금융기관들은 CISO(정보보호 최고 책임자)를 지정하고 위험평가(Risk Assessment)를 기반으로 기준을 충족시키는 사이버보안 시스템을 운용해야 하며 사이버 보안 준수 확인서를 매년 뉴욕주 금융서비스국에 제출토록 하고 있다.

규정에서 요구하는 최소한의 기준은 △접근통제 △다중요소 인증 △암호화를 포함한 데이터 보호 장치 △모의침투 테스트 및 취약성 평가 실시 △위험평가 △감사추적 △응용프로그램 개발 보안 △교육 및 모니터링 △사고대응 계획 수립 △주 금융서비스국에 대한 신고 체계 등으로 서면으로 된 정책 및 절차를 시행하고 시스템 운용 현황과 결과를 주기적으로 은행 이사회와 같은 최고 의사결정 기구에 보고토록 하고 있다.

시행일은 2017년 3월 1일이며 유예기간은 시행일로부터 180일이다. 다만 일부 조항들은 1~2년에 걸쳐 순차적으로 적용되며, 최초 사이버 보안 준수 확인서는 2018년 2월 15일까지 뉴욕주 금융서비스국에 제출해야 한다. 소규모 금융기관은 이 규정 대부분의 조항 적용이 면제되는데, 그 조건은 뉴욕 내 사업장이 △종업원 10명 미만이거나 △지난 3년의 회계연도 동안 뉴욕 내 매출이 연간 500만 달러 미만인 경우 △연말 기준 자산이 1,000만 달러 미만인 경우다.

Cyber Security Policy(사이버 보안정책)
정보시스템에 저장된 비공개 정보 및 정보시스템 보호를 위해 고위 임원 또는 해당 기관의 이사회가 승인한 서면 방침 또는 정책을 이행하고 유지해야 하며, 정책은 △정보보안(Information Security) △데이터 관리(거버넌스) 및 분류 △자산 재고(Inventory) 및 기기관리 △접근통제 및 식별관리 △업무 연속성 및 재해복구 계획/자원 △시스템 운영 및 가용성 우려(Concerns) △시스템 및 네트워크 보안 △시스템 및 네트워크 모니터링 △시스템 및 애플리케이션 개발 및 품질 보증 △물리 보안과 환경 통제 △고객 데이터 프라이버시 △공급업체 및 제3자 서비스 제공자 관리 △위험평가 △사고대응 등에 대해 정의가 되어야 한다.

Chief Information Security Officer(CISO, 정보보호 최고책임자)
사이버 보안 프로그램을 감독 및 실행할 자격이 있는 정보보호 최고책임자(CISO)를 지정해야 하며, CISO는 해당기관 또는 계열사, 외부의 제3자 서비스·관리 업체에 의해 고용될 수 있다. CISO는 연 1회 이상 사이버 보안 프로그램 및 중요한 사이버 보안 위험에 대해 이사회에 서면 보고를 해야 한다.

Penetration Testing and Vulnerability Assessments(모의침투 테스트 및 취약성평가)
위험평가에 따라 식별된 위험을 기반으로 매년 정보시스템에 대한 모의침투 테스트를 실시하고, 2년마다 정보시스템에 대한 취약성평가를 실시해야 한다.

Audit Trail(감사추적)
금융거래 내역은 재구성이 가능한 수준으로 설계되어야 하고, 정상적인 운영에 중대한 피해를 입힐 수 있는 사이버 보안 이벤트를 탐지하고 대응할 수 있도록 구현해야 한다. 금융거래 내역은 5년 이상, 사이버 보안 이벤트는 3년 이상 기록을 유지해야 한다.

Access Privileges(접근권한)
비공개 정보에 대한 접근을 제공하는 정보시스템에 대한 사용자 접근권한을 제한하고, 접근권한을 주기적으로 검토해야 한다.

Application Security(응용프로그램 보안)
안전한 응용프로그램의 개발을 보장하기 위해 개발 보안과 관련한 절차, 지침 및 표준이 마련되어야 하며, 여기에는 응용프로그램의 보안을 평가하고 테스트하는 절차가 포함되어야 한다. 이러한 절차와 지침, 표준은 CISO에 의해 주기적으로 검토 및 평가되고 업데이트돼야 한다.

Risk Assessment(위험평가)
정보시스템에 대해 주기적으로 위험평가를 수행해야 한다. 위험평가는 정보시스템 및 비공개 정보 또는 비즈니스 운영의 변경 사항을 반영하기 위해 주기적으로 업데이트돼야 하고, 기술의 발전 및 진화하는 위협에 대처할 수 있는 통제의 개정이 이루어져야 한다. 위험평가는 문서화되어 정책 및 절차에 따라 수행되어야 하며, 식별된 사이버 보안 위험 또는 위협에 대한 평가 및 분류기준, 기존 통제의 적절성을 포함한 정보시스템 및 비공개 정보의 기밀성, 무결성, 가용성 평가기준, 식별된 위험도를 완화하고 어떻게 위험을 해결할 것이지 등이 기술되어야 한다.
[글_유효선 우리은행 정보보호부 부장 대우(yhsdaum@daum.net)]

필자 소개_우리은행 유효선 부장 대우는 중앙대학교 일반대학원 융합보안학과 석사 출신으로 SK인포섹 보안기술연구소장을 역임했으며, 삼성전자 S/W개발실, 삼성SDS 정보기술연구소 등에서 업무를 수행했다. 현재는 우리은행 정보보호부에서 근무하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>