잭슨은 FFIEC의 영향을 평가하고 있다. 

당신은 컴플라이언스를 어떻게 인식하는가?

대부분의 금융 서비스 기관들은 유연한가, 고분고분한가, 아니면 폐쇄적인가? 초창기의 사전점검 표시들은 ‘그렇다’였고 산업은 그 지침에 긍정적으로 반응해 왔다. 명심할 것은 에이전시들이 일반적인 검사과정 외에 어떤 다른 것도 하지 않고 있다는 것이다. 어떤 기업이 검사를 하기로 예정되었다면 그 검사는 진행될 것이고 우리는 지침서를 살펴볼 것이다. 어떤 기관에 대한 검사가 예정되어 있지 않다면 우리는 단지 지침서를 살펴보기 위해서 특별히 검사를 진행하지는 않는다.

기관들이 따르기 위해 애쓰는 것에는 무엇이 있는가? 

의문사항 중 몇 가지는 보안평가가 응용프로그램을 대상으로 할 것인지, 아니면 전체 기업을 대상으로 할 것인지이다. 우리는 무엇이 최선인지에 대한 선택을 기업에 맡겼다. 또 한 가지는 누가 위험 평가를 할 것인가 이다. 그 작업은 하청을 줄 수 있지만 기관에는 여전히 궁극적인 책임이 있다. 다른 고려사항들은 특정 기술에 관한 것이다. 지침서가 효과적으로 되기 전에 선호하는 해결책이 된 토큰에 관한 얘기가 있었다. 우리는 선호하는 해결책 같은 것이 없음을 수없이 반복 주장했다. 해결책은 은행의 위험평가와 비즈니스 결정으로부터 도출되어야 한다.

소비자들은 더 강력한 인증의 필요성을 인식하고 있으며 비즈니스에 미치는 영향은 무엇인가?  

나에게는 그것을 다룰 만한 좋은 도구가 없지만 초기의 징후는 소비자들이 그것에 대해 호기심을 가지고 있으며 그들에게 영향을 미치고 그들의 자금을 어느 때보다도 안전하게 지킨다는 것을 이해한다는 것이다. 내가 얘기해 본 은행원들에게서 거절은 없었고 소비자들은 만족했으며, 그것은 단지 다를 뿐이었다.

규정에 대해 다음에 올 것은 무엇일까?

다음 단계는 소비자들에게 취약점과 그들의 습관에 관해 계속적으로 교육해야 할 것들이다. 우리는 실행 취약점을 살펴보아야 하는데, 그것들이 제대로 실행되지 않으면, 그들은 또한 기술적인 사항들 안에 취약점을 만들어낼 수도 있다. 우리는 기술적 위험을 살펴보아야 한다. 새로운 제품을 만들고 있다면 그 제품에 기초한 위험이 없는지 살펴보아야 한다. 기관들은 그것이 어떻게 그들의 비즈니스에 영향을 미쳤는지 그리고 고객들이 그것을 어떻게 받아들였는지 살펴보아야 한다.

<글: MICHAEL L.JACKSON>

Copyright ⓒ 2006 Information Security and TechTarget

[월간 정보보호21c 통권 제83호(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>