• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

뉴욕 금융권의 새 사이버 보안법이 강조하는 건 ‘보고’ 2017.05.17

3월 1일부터 시행...전문가들은 “역사상 가장 엄격한 보안 관련 법”
CISO들은 철저하게 보고할 책임 있어...2020년부터는 서드파티 보안도 점검

[보안뉴스 문가용 기자] 사이버 보안 역사상 가장 엄격하다는 평가를 받고 있는 NYCRR 500의 영향력이 확대되고 있다. NYCRR 500이란 뉴욕시가 금융 기관 및 업체들을 대상으로 마련하고 3월 1일부터 시행한 정책으로, 사이버 보안과 관련된 관련 조직들의 행위를 엄격하게 관리하겠다는 뉴욕 주 금융서비스부(New York Department of Financial Services)의 결단이기도 하다.

[이미지=iclickart]


먼저 NYCRR 500에 해당되는 사람들은 “은행법, 보험법, 금융업법의 권한 아래 발행 및 요구되는 라이선스, 등록증, 헌장, 인증서, 자격증, 허가증, 인가 내에서 운영되어야 하는 모든 사람들”이다. 해석하자면 모든 은행, 투자 회사, 보험업자, 대출 기관, 지주회사, 자선 단체, 서비스 계약자를 말한다. 위 분류에 속하면서 뉴욕에서 활동하는 업체라면 반드시 NYCRR 500을 면밀히 검토하고 공부해야 할 것이다.

NYCRR 500은 기존 보안 관련 정책들과는 달리 사이버 보안을 위한 요구사항을 상세히 기술하고 있다. 가장 큰 차이점이라고 관련 전문가들이 꼽는 건 바로 ‘보고의 의무’와 관련된 조항. NYCRR 500의 효력 아래 포함되는 단체들은 1) 내부 및 외부에 존재하는 사이버 보안 위험들을 평가하고, 2) 기술과 정책을 통해 위험들을 처리하거나 약화시켜야 하며, 3) 사이버 보안 사고 발생 시 탐지해 복구시켜야만 한다.

그리고 이 모든 과정을 담당 관리자(보통 CISO)가 통솔해야 하며, 이 담당자는 보안 프로그램을 계획해 발동시키는 것뿐만 아니라 규제 기관에 보고서를 매년 한 번씩 제출해야 한다. 또한 보안 관련 사건 발생 시 72시간 내에 보고할 책임도 가지고 있다. 즉 이전보다 CISO의 보고 책임이 엄중해진 것.

보고 책임을 많이 늘린 것은 왜일까? 당국의 발표가 없으니 정확히는 모르겠지만, 앞으로 보고를 많이 해야 할 CISO들 및 기업들의 입장은 “사실 부인이나 진술 거부를 하는 데에 커다란 어려움이 생겼다”고 한다. 그렇다면 72시간 안에 보고를 해야만 하는 보안 사고란 무엇일까? 금융 외 규제기관들도 보고 가치가 있다고 판단할 만한 모든 사건을 말한다. 또한 ‘몰랐다’는 이유로 보고 의무를 무시할 수 없다.

CISO들이 보고서에 포함해야 할 내용은 다음과 같다.
* 침투 테스트 : 관련 단체들은 매년 발행하는 보고서에 침투 테스트와 관련된 내용을 포함시켜야 한다. 어떤 전문가들이 여기에 참여했으며, 어떤 부분에서 주로 테스트가 진행됐는지 증명할 책임이 있다.
* 감사 추적 : 관련 단체들은 보고서를 통해 감사 시스템에 대한 내용을 증명해야 한다. 즉, 사이버 보안 관련 사건을 어떤 식으로 탐지하는지를 규제기관에 알려야 한다는 것이다.
* 개발의 보안 : 관련 단체들은 인하우스 애플리케이션을 만들 때 안전한 소프트웨어 개발 프로세스를 내부적으로 갖추고 있어야만 한다. 외부 소프트웨어의 경우 보안 점검을 거쳐야 한다.
* 주기적인 리스크 평가 : 사이버 보안 상태 점검이나 평가는 한 번 하고 끝내는 것이 아니다. 따라서 관계 단체들은 주기적인 위험 평가에 관한 내용도 보고서에 포함시켜 ‘지속적인 컴플라이언스’를 반드시 추구해야 한다.
* 다중인증과 암호화 : 관련 단체들은 반드시 다중인증과 암호화 기술을 도입해야 한다. 어떤 기술이나 알고리즘을 사용해야 하는지는 따로 지정되지 않았다.

한편 2020년 2월부터는 이러한 보고 책임이 한층 더 강화될 예정이기도 하다. 금융 산업의 업체들은 이때부터 사이버 보안에 대해 더 크게 봐야 할 필요가 생긴다. 키워드는 ‘서드파티’다. 규제기관에 보고서를 낼 때 서드파티의 사이버 보안 상태에 대해서도 언급해야 한다는 뜻이다. 계약을 맺고 민감한 데이터를 처리해주는 업체가 가진 위험은 무엇인지 파악해야 하고, 이에 대해 어떤 조치를 취하고 있는지도 알려야 한다. 또한 이 서드파티 업체들의 주기적인 위험 평가 현황과 도입된 암호화 기술, 접근 보안 기술 등도 함께 보고되어야 한다.

이는 서드파티를 통해 일어난 보안 사고도 금융 업체들이 책임을 져야 한다는 뜻이 된다. 물론 사안에 따라 그 책임의 정도가 다르게 판결이 날 수 있지만, ‘우린 업무적인 계약 관계에만 있는 사이’라고 책임을 회피할 수 없다는 것이다. 보안을 매개로 서드파티와의 좀 더 가까운 관계로 발전하는 데에 앞으로 3년 남았다. 그 전까지는 ‘지속적인 보안’에 대한 기조가 전반에 깔려 있어야 한다.

뉴욕 금융가를 덮친 NYCRR은 현존하는 사이버 보안 정책들 중 가장 엄격하고 ‘살벌’한 것이다. 보안에 대한 시각 자체가 새로워져야 할 때다. 관련 기관들의 ‘보안 개혁’ 의지가 무섭기 때문에 어지간해서는 대충 넘어갈 수 없을 것이다.

글 : 마크 생스터(Mark Sangster)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>