금융 서비스 (finserv) 업계의 규정 준수는 흥미로운 일입니다.대부분의 규정은 특정 데이터 분류, 원격 시스템, 사용자 등 조직이 보호해야 할 대상을 알려줄 뿐 조직이 이러한 요구 사항을 어떻게 충족해야 하는지를 알려주는 경우는 거의 없습니다.
예를 들어 개인 식별 정보 (PII) 를 다루는 조직은 강력한 암호를 사용하도록 법률에 규정되어 있을 수 있지만, 규정상 암호의 보안 요인을 정의하지 못하는 경우가 많습니다.특정 문자 수인가요?글자, 숫자, 기호가 섞여 있나요?암호는 다단계 인증 (MFA) 과 함께 사용할 경우에만 강력하지 않을까요?법률에는 명시되어 있지 않습니다.일반적으로 이러한 결정을 내리는 것은 보안팀의 몫입니다.보안 전문가는 NIST (국립표준기술연구소) 를 따르든 MITRE Att&CK 프레임워크를 따르든 악의적인 활동을 식별하고 차단하는 방법에 대한 매우 강력하고 구체적인 지침을 이용할 수 있습니다.
물론 결과적으로 모든 관련 규정을 준수한다고 해서 반드시 악의적인 행위자로부터 조직이 보호되는 것은 아닙니다.보안 태세는 보안 팀이 명시된 요구 사항을 충족하기 위해 어떻게 선택했는지에 전적으로 달려 있습니다.그러나 규정 준수 규정이 확장되고 발전함에 따라 finserv 조직은 규정 준수 유지와 보안 강화의 목표가 더욱 긴밀하게 밀착되고 있다는 것을 알게 될 것입니다.
규정 준수와 보안을 기존의 방식으로 분리하는 대신 CIO가 이끄는 두 팀을 통합하여 더 나은 성과와 규모의 경제를 달성할 수 있는 기업은 인력 보안에서 벗어나 제품, 서비스, 전체 공급망과 파트너 에코시스템을 악의적인 활동으로부터 보호할 수 있습니다.
더 어려운 점은 대규모 finserv 조직에는 서로 다른 보안 액세스를 필요로 하는 다양한 사용자가 있는 수많은 부서가 있다는 사실입니다.은행 지점의 창구 직원은 인터넷에 연결할 수 있는 업무가 없을 수 있으며, 같은 건물의 모기지 담당자는 타사 출처에서 최신 금리 정보를 확인해야 할 수 있습니다.또한 각 역할은 업무가 더 복잡해지는 다양한 규정의 영향을 받을 수 있습니다.일반적으로 이러한 서로 다른 요구 사항에는 별도의 하드웨어와 네트워킹, 즉 복잡성이 가중되는 아키텍처가 필요했습니다.그러나 복잡성은 보안의 적입니다.
진화하는 위협으로부터 보호하면서 규정을 준수하는 것은 finserv 조직에서 균형을 유지하는 데 큰 도움이 됩니다.많은 기업들이 사이버 보안에 대한 기존의 탐지 및 치료 접근 방식을 완전히 뒤집는 제로 트러스트 접근 방식을 채택하고 있습니다.제로 트러스트는 알려진 위협을 제외한 모든 것을 신뢰하는 대신 가장 단순한 형태로 모든 콘텐츠 (및 사용자) 를 신뢰할 수 없다고 간주합니다.진정한 제로 트러스트 상태에 도달하기 위한 핵심 요소 중 하나는 격리 기술을 활용하는 것입니다.
격리 기술을 사용하면 연결 개체 간의 신뢰를 보장하여 상황에 맞는 접근 방식을 사용할 수 있습니다.격리는 웹 프록시, 데이터 손실 방지 또는 맬웨어 방지 도구와 같은 다른 보안 제어 기능과 함께 모든 사람이 자신의 신원을 확인하고 작업을 완료하는 데 진정으로 필요한 정보, 애플리케이션 및 시스템에만 액세스하고 있는지 확인함으로써 보안 및 규정 준수를 보장합니다.
분리를 통해 finserv 조직이 보안/규정 준수 통합을 가속화할 수 있는 세 가지 방법은 다음과 같습니다.
격리는 조직에 관리 자산과 비관리 자산 모두의 보안을 보장하고 규정 준수를 유지하는 데 필요한 가시성과 제어를 제공합니다.클라우드의 격리된 계층을 통해 모든 웹 트래픽을 실행하면 인터넷에 연결된 디바이스에서 초기 보안 침해가 발생한 후 더 유인적인 대상을 찾아 네트워크를 통해 확산되는 악의적인 활동이 발생하지 않습니다.웹 및 이메일 기반 위협이 점점 더 정교해지고 활용도가 높아짐에 따라 고급 회피 기법, 조직은 보안에 대한 결함이 있는 탐지 및 대응 접근 방식에 의존하는 것을 멈추고 예방에 더 집중해야 합니다.
클라우드 네이티브 격리 솔루션을 통해 finserv 조직은 사용자 경험에 영향을 주지 않으면서 대규모 가시성과 제어를 보장할 수 있습니다.Finserv 조직은 원격 지사, 고객 사이트, 바다 건너 컨퍼런스 센터 등 비즈니스를 수행하는 모든 곳에서 간단하게 보안 제어를 가동하고 확장할 수 있습니다.이러한 기능을 통해 보안 통제가 국경 및 규제 관할 구역을 초월하여 기업과 연계하여 규정 준수 요구 사항을 보안 태세와 효과적으로 연계할 수 있습니다.
보안과 규정 준수를 성공적으로 연결하면 finserv 조직은 단순한 보안 조직 유지 관리 이상의 성과를 거둘 수 있습니다.규정 준수와 보안을 함께 보장하는 프레임워크를 갖추면 공급망 및 파트너 에코시스템 전반에서 제공하는 제품 및 서비스로 보안 전략을 확장할 수 있습니다.격리를 통해 취약한 파트너가 네트워크를 손상시키지 못하거나 랜섬웨어 조직이 SaaS (Software-as-a-Service) 플랫폼 중 하나를 사용하여 액세스 권한을 얻고 네트워크를 다운시키지 못하게 할 수 있습니다.격리를 기반으로 하는 제로 트러스트 접근 방식은 연결 주체가 누구인지, 자산의 소유 또는 통제 여부에 관계없이 연결 주체 간의 신뢰를 보장합니다.
Finserv 조직은 오랫동안 규정 준수 팀과 보안 팀을 더 잘 연결하기 위해 노력해 왔지만, 규제 요구 사항과 보안 목표의 융합을 고려할 때 이전에 서로 달랐던 팀을 통합하면 이러한 노력을 간소화하는 데 도움이 될 수 있습니다.격리를 기반으로 하는 제로 트러스트 접근 방식을 통해 조직은 관리 대상 및 비관리 개체에 대한 가시성과 통제력을 확보하고, 국경을 넘어 보안 제어 및 규정 준수를 준수하고, 전체 파트너 에코시스템으로 보안을 확장할 수 있습니다.
