뉴욕주 금융기관에 대한 사이버 보안규정(NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES 23 NYCRR 500)
출처 : http://www.boannews.com/media/view.asp?idx=54243&kind=2
출처 : http://www.boannews.com/media/view.asp?idx=54342&kind=3
출처 : http://www.boannews.com/media/view.asp?idx=54450&kind=3
뉴욕주 금융기관, CISO 지정 및 위험평가 기반 사이버보안 시스템 운영
주정부 차원에서 금융업체에 사이버보안 시스템을 의무화한 것은 뉴욕주가 미국 최초로, 해당 금융기관들은 CISO(정보보호 최고 책임자)를 지정하고 위험평가(Risk Assessment)를 기반으로 기준을 충족시키는 사이버보안 시스템을 운용해야 하며 사이버 보안 준수 확인서를 매년 뉴욕주 금융서비스국에 제출토록 하고 있다.
규정에서 요구하는 최소한의 기준은 △접근통제 △다중요소 인증 △암호화를 포함한 데이터 보호 장치 △모의침투 테스트 및 취약성 평가 실시 △위험평가 △감사추적 △응용프로그램 개발 보안 △교육 및 모니터링 △사고대응 계획 수립 △주 금융서비스국에 대한 신고 체계 등으로 서면으로 된 정책 및 절차를 시행하고 시스템 운용 현황과 결과를 주기적으로 은행 이사회와 같은 최고 의사결정 기구에 보고토록 하고 있다.
시행일은 2017년 3월 1일이며 유예기간은 시행일로부터 180일이다. 다만 일부 조항들은 1~2년에 걸쳐 순차적으로 적용되며, 최초 사이버 보안 준수 확인서는 2018년 2월 15일까지 뉴욕주 금융서비스국에 제출해야 한다. 소규모 금융기관은 이 규정 대부분의 조항 적용이 면제되는데, 그 조건은 뉴욕 내 사업장이 △종업원 10명 미만이거나 △지난 3년의 회계연도 동안 뉴욕 내 매출이 연간 500만 달러 미만인 경우 △연말 기준 자산이 1,000만 달러 미만인 경우다.
Cyber Security Policy(사이버 보안정책)
정보시스템에 저장된 비공개 정보 및 정보시스템 보호를 위해 고위 임원 또는 해당 기관의 이사회가 승인한 서면 방침 또는 정책을 이행하고 유지해야 하며, 정책은 △정보보안(Information Security) △데이터 관리(거버넌스) 및 분류 △자산 재고(Inventory) 및 기기관리 △접근통제 및 식별관리 △업무 연속성 및 재해복구 계획/자원 △시스템 운영 및 가용성 우려(Concerns) △시스템 및 네트워크 보안 △시스템 및 네트워크 모니터링 △시스템 및 애플리케이션 개발 및 품질 보증 △물리 보안과 환경 통제 △고객 데이터 프라이버시 △공급업체 및 제3자 서비스 제공자 관리 △위험평가 △사고대응 등에 대해 정의가 되어야 한다.
Chief Information Security Officer(CISO, 정보보호 최고책임자)
사이버 보안 프로그램을 감독 및 실행할 자격이 있는 정보보호 최고책임자(CISO)를 지정해야 하며, CISO는 해당기관 또는 계열사, 외부의 제3자 서비스·관리 업체에 의해 고용될 수 있다. CISO는 연 1회 이상 사이버 보안 프로그램 및 중요한 사이버 보안 위험에 대해 이사회에 서면 보고를 해야 한다.
Penetration Testing and Vulnerability Assessments(모의침투 테스트 및 취약성평가)
위험평가에 따라 식별된 위험을 기반으로 매년 정보시스템에 대한 모의침투 테스트를 실시하고, 2년마다 정보시스템에 대한 취약성평가를 실시해야 한다.
Audit Trail(감사추적)
금융거래 내역은 재구성이 가능한 수준으로 설계되어야 하고, 정상적인 운영에 중대한 피해를 입힐 수 있는 사이버 보안 이벤트를 탐지하고 대응할 수 있도록 구현해야 한다. 금융거래 내역은 5년 이상, 사이버 보안 이벤트는 3년 이상 기록을 유지해야 한다.
Access Privileges(접근권한)
비공개 정보에 대한 접근을 제공하는 정보시스템에 대한 사용자 접근권한을 제한하고, 접근권한을 주기적으로 검토해야 한다.
Application Security(응용프로그램 보안)
안전한 응용프로그램의 개발을 보장하기 위해 개발 보안과 관련한 절차, 지침 및 표준이 마련되어야 하며, 여기에는 응용프로그램의 보안을 평가하고 테스트하는 절차가 포함되어야 한다. 이러한 절차와 지침, 표준은 CISO에 의해 주기적으로 검토 및 평가되고 업데이트돼야 한다.
Risk Assessment(위험평가)
정보시스템에 대해 주기적으로 위험평가를 수행해야 한다. 위험평가는 정보시스템 및 비공개 정보 또는 비즈니스 운영의 변경 사항을 반영하기 위해 주기적으로 업데이트돼야 하고, 기술의 발전 및 진화하는 위협에 대처할 수 있는 통제의 개정이 이루어져야 한다. 위험평가는 문서화되어 정책 및 절차에 따라 수행되어야 하며, 식별된 사이버 보안 위험 또는 위협에 대한 평가 및 분류기준, 기존 통제의 적절성을 포함한 정보시스템 및 비공개 정보의 기밀성, 무결성, 가용성 평가기준, 식별된 위험도를 완화하고 어떻게 위험을 해결할 것이지 등이 기술되어야 한다.
Cybersecurity Personnel and Intelligence(사이버 보안요원 및 지능)
자격을 갖춘 정보보호 최고책임자(CISO) 지정 외에도 사이버 보안위험을 관리하고 수행할 보안전문요원을 확보해야 한다. 또한 사이버 보안요원이 새로운 보안위협에 대응하고 최신 기술을 습득할 수 있도록 교육 기회를 제공해야 한다.
Third Party Service Provider Security Policy(제3자 서비스 제공자 보안정책)
제3자 서비스 제공자가 접근할 수 있거나 제3자 서비스 제공자가 보유한 정보시스템 및 비공개 정보의 보안을 위해 마련된 서면 정책 및 절차를 이행해야 한다. 이를 위해서는 제3자 서비스 제공자를 식별하고 위험평가를 실시해야 하며 제3자 서비스 제공자와 거래를 하기 위해서는 다중요소 인증 적용, 보유 또는 전송정보의 암호화, 주요 사이버 보안이벤트 발생시 통지 등의 사이버 보안 요구사항을 충족해야 한다. 또한 주기적으로 제3자 서비스 제공자에 대한 평가를 수행해야 한다.
Multi-Factor Authentication(다중요소 인증)
비공개 정보 또는 정보시스템에 대한 비인가 접근을 방지하기 위해 다중요소 인증 또는 위험기반 인증(Risk-Based Authentication)을 해야 한다. 또한 외부 네트워크에서 내부 네트워크로 접속하는 모든 사용자에는 다중요소 인증이 적용되어야 한다.
Limitations on Data Retention(데이터 보유 제한)
법률 또는 규정에 의해 보유하여야 하는 경우 또는 폐기한 정보를 보관되어야 하는 경우를 제외하고는 비공개 정보는 안전하게 폐기하여야 한다.
Training and Monitoring(교육과 모니터링)
인가된 사용자의 활동을 감시하고 비인가자의 무단 접근을 탐지하기 위해 설계된 절차 및 통제를 모니터링 해야 한다. 모든 인력에 대하여 정기적인 사이버 보안 인식제고 교육을 실시한다.
Encryption of Nonpublic Information(비공개 정보 암호화)
보유 또는 전송하는 정보는 암호화하여야 한다. 외부 네트워크를 통해 전송되는 비공개 정보의 암호화 및 대기 중인 비공개 정보의 암호화가 불가능한 경우 CISO의 승인 하에 비공개 정보를 보호할 대체방안을 마련해야 한다.
Incident Response Plan(사고대응 계획)
정보시스템의 기밀성, 무결성, 가용성을 보장하고 비즈니스의 연속성을 제공하기 위해 사이버 보안 이벤트에 즉각적으로 대응하고 복구할 수 있는 서면으로 작성된 사고대응 계획을 수립해야 한다. 사고대응 계획에는 계획의 목표, 대응절차, 담당자의 역할 및 책임, 내·외부 정보공유 및 협력체계, 취약점 식별 및 개선, 보고절차, 정기적인 계획의 평가 및 개정 등이 포함되어야 한다.
Notices to Superintendent(감독기관 신고)
정상적인 서비스 운영에 영향을 미치는 중요 사이버 보안이벤트 발생시 72시간 이내에 감독기관에 신고해야 한다. 매년 2월 15일까지 규정의 요구사항 준수 대한 전년도 사이버 보안 준수 확인서를 작성해 감독기관에 제출해야 하며, 확인서와 관련한 모든 기록 및 일정, 증적자료는 5년 동안 유지해야 한다.
Confidentiality(기밀보장)
이 규정에 따라 해당기관이 제공한 정보는 은행법, 보험법, 금융서비스법, 공무원법 또는 기타 적용 가능한 주법 또는 연방법에 따른 공시 대상 범위에서 제외된다.
Exemptions(적용면제)
뉴욕 내 사업장이 종업원 10명 미만이거나 지난 3년의 회계연도 동안 뉴욕 내 매출이 연간 500만 달러 미만인 경우, 연말 기준 자산이 1,000만 달러 미만인 경우 이 규정의 적용이 면제된다. 규정에 따라 면제를 받고자 하는 기관은 면제 결정 후 30일 이내에 면제 통지서를 제출해야 한다. 면제 대상이 아닌 경우 회계연도 종료 후 180일 이내 본 규정의 모든 요구사항을 준수해야 한다.
Effective Date(시행일자)
이 규정은 2017년 3월 1일자로 발효된다. 해당 기관은 2018년부터 매년 2월 15일 뉴욕주 금융서비스 사이버 보안 규정 준수 확인서를 작성해 감독기관에 제출해야 한다.
Transitional Periods(유예기간)
시행일로부터 180일의 유예기간을 갖으며 다음 조항들은 추가적인 유예기간을 갖는다.
△ 1년 : 사이버 보안 프로그램에 대한 이사회 보고, 모의침투 테스트 및 취약성평가 실시, 위험평가 수행, 다중요소 인증 적용, 보안 인식제고 교육 실시
△ 18개월 : 금융거래 및 사이버 보안 이벤트에 대한 감사추적 기록 유지, 응용프로그램의 개발 보안 시행, 데이터 보유 제한, 인가된 사용자의 활동 감시 및 비인가자의 무단 접근 모니터링 실시, 비공개 정보의 암호화
△ 2년 : 제3자 서비스 제공자에 대한 보안정책 마련 및 통제 시행
국내 금융기관들의 사정은 어떨까? 이번에는 국내 금융기관이 준수해야 하는 대표적인 법률인 전자금융거래법, 전자금융감독규정을 뉴욕주 보안규정과 비교하고, 그 차이점을 살펴보고자 한다.
국내 금융기관이 준수해야 하는 정보보호 관련 법률로는 △전자금융거래법 △전자금융감독규정 △신용정보의 이용 및 보호에 관한 법률 △개인정보보호법 △정보통신망 이용촉진 및 정보보호 등에 관한 법률 등이 있으나 관련 법률을 모두 비교하기에는 범위가 너무 넓고, 또 NYCRP가 금융기관만을 대상으로 하는 특별법 성격이기 때문에 이와 유사한 전자금융거래법과 전자금융감독규정만을 비교 대상으로 했다. 단, Section 500.13 데이터 보유제한과 Section 500.15 암호화는 개인정보보호법에 정의가 되어 있어 2개 항목은 개인정보보호법과 비교했다.
.jpg)
▲ 국내 금융 정보보호 법률과 뉴욕주 사이버 보안규정과의 비교[자료: 유효선 우리은행 부장]
NYCRP은 Section 500.00 Introduction부터 Section 500.23 Severability까지 모두 23개 조항으로 이루어져 있는데, 정보보호 요구사항을 기술한 항목은 Section 500.03 Cybersecurity Policy부터 Section 500.17 Notices to Superintendent까지 15개 항목이다. 이를 전자금융거래법 및 전자금융감독규정(이하 국내법)의 정보보호 요구사항과 비교했다. 표에서 서로 ‘-’로 연결된 것은 유사 항목을 의미한다.
Section 03 Cybersecurity Policy와 Section 500.09 Risk Assessment를 제외하고는 대부분의 항목이 국내법에 정의가 되어 있다. 정보보호 정책은 정보보호 업무 수행을 위한 기본 문서이고, 위험평가는 전자금융기반시설 취약점 분석·평가 기준에 포함되어 있으므로 사실상 국내법이 뉴욕주 보안규정을 모두 포함하고 있다고 할 수 있다.
뉴욕주 보안규정이 위험평가를 기반으로 한 사이버보안 체계를 구축함에 있어 필요한 관리·기술분야의 기본적인 정보보호 요구사항(예 : 보안정책수립, 정보보호 최고책임자 지정, 모의침투 테스트 및 취약성평가, 감사추적, 접근권한 설정 등)을 선언적인 수준에서 정의했다면 국내법은 관리·기술분야는 물론 물리(건물 및 설비 등)분야 전반에 대하여 기본 및 상세 요구사항을 정의하고 있음을 알 수 있다. 주요 항목을 세부적으로 비교해 보면 다음과 같다.
정보보호 최고책임자(이하 CISO)의 지정
국내법에서는 총자산, 종업원 수 등 규모에 따라 자격을 갖춘 임원을 CISO로 지정해야 하며, 다른 정보기술업무를 겸직하지 못하도록 하고 있는데 반해 뉴욕주 보안규정에서는 CISO 지정 조건을 따로 명시하고 있지 않으며, 계열사 및 제3자 서비스 제공자 직원도 CISO로 지정할 수 있도록 하고 있다.
인력 및 조직, 예산
국내법에서는 5.5.7 규정이라 알려진, 정보기술부문 인력(IT 인력)은 총 임직원수의 100분의 5 이상, 정보보호인력은 정보기술부문 인력의 100분의 5 이상, 정보보호예산은 정보기술부문 예산의 100분의 7 이상 되도록 하고 있으나, 뉴욕주 사이버보안 규정에서는 인력 및 예산에 대하여 구체적인 기준을 제시하고 있지 않으며 사이버보안 전문요원을 확보하도록 하고 있다.
정기적인 취약점 분석·평가 실시
국내법에서는 총자산, 종업원 수 등 규모에 따라 전자금융기반시설에 대하여 연1회 이상(홈페이지는 6개월에 1회 이상) 취약점분석·평가를 실시하도록 하고 있으나, 뉴욕주 보안규정에서는 규모에 관계없이 연 1회 정보 시스템에 대한 모의침투 테스트를 실시하고, 2년마다 정보시스템에 대한 취약성 평가를 실시하도록 하고 있다.
사고 배상보험 가입
국내법에서는 전자금융사고 책임이행을 위한 보험(은행업법에 따른 금융기관은 보상한도 20억 원)을 가입도록 하고 있으나 뉴욕주 사이버보안 규정에서는 관련 조항이 없다.
거래 기록의 보존
국내법에서는 전자금융거래기록을 5년의 범위 안에서, 정보처리 시스템의 가동기록은 1년 이상 보존토록 하고 있으나, 정보보호 이벤트에 관해서는 따로 명시를 하고 있지 않다. 이에 반해 뉴욕주 보안규정에서는 금융거래 내역은 5년 이상, 사이버 보안 이벤트는 3년 이상 기록을 유지하도록 하고 있다.
개인정보 파기 및 암호화
개인정보의 파기와 관련하여 국내법(개인정보보호법)에서는 보유기간의 경과 또는 개인정보의 처리 목적 달성시 지체 없이 파기하도록 하고 있으며, 파기하지 아니하고 보존해야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리해서 저장·관리하고, 파기시에는 복구 또는 재생이 불가능 하도록 하고 있다. 하지만 뉴욕주 사이버보안 규정에서는 ‘안전하게 파기해야 한다’라고만 규정하고 있다.
암호화와 관련해 뉴욕주 사이버보안 규정에서는 암호화 대상에 대한 구체적인 정의없이 ‘보유 또는 전송하는 비공개 정보는 암호화해야 한다’라고만 규정하고 있으나, 국내법에서는 그 대상을 고유식별정보(주민등록번호, 여권번호 등)로 명확히 하고 있다.
침해사고 대응
국내법에서는 연 1회 이상 침해사고 대응 및 복구훈련 계획을 수립·시행하고, 그 계획 및 결과를 침해사고대응기관(금융보안원 등 금융위원장 지정기관)에게 제출하도록 하고 있으나, 뉴욕주 사이버보안 규정에서는 서면으로 작성된 사고대응 계획을 수립해야 한다고만 규정하고 있다.
침해사고의 신고
국내법에서는 침해사고 발생시 지체없이 금융위원회에 통보토록 하고 있으며, 뉴욕주 보안규정에서는 72시간 이내에 감독기관에 신고토록 하고 있다. ‘지체 없이’가 의미하는 시간이 얼마라고 정의된 바는 없으나, 개인정보보호법에서는 지체 없이를 5일 이내로 했다가, 2014년 11월 법개정이 되면서 24시간 이내로 명확히 한 바 있다. 이를 기준으로 하면 24시간 이내로 해석할 수 있을 것으로 보인다.
그 밖에 국내법에서는 △ 단말기보호 및 중요단말지정, 보조기억매체 통제 등 △ 단말기 보호대책과 계정과 비밀번호 개인별부여, 자료 및 전산장비 반·출입통제 등 △ 전산자료 보호대책, 정보처리시스템 책임자 지정, 보정(patch), 정기 백업 및 원격지 소산 등 정의 △ 정보처리시스템 보호대책, 정보보호 시스템 설치 및 운영, 인터넷과 업무망 분리 등 △ 해킹 등 방지대책 △ 악성코드 감염방지 대책, 홈페이지 보안 등 △ 공개용 웹서버 관리대책 △ IP주소 관리대책 등을 세분화해 구체적으로 명시하고 있다.
하지만 뉴욕주 사이버보안 규정은 이러한 내역들에 대하여 따로 명시하고 있지는 않다. 아마도 국내법은 오랜 기간 동안 시행(전자금융거래법은 2006년 4월, 전자금융감독규정 2001년 4월 시행)되면서 다양한 전자금융 사건·사고 발생에 따른 요구사항들이 반영됐기 때문이고, 뉴욕주 사이버 보안규정이 기본적인 방향만 제시하고 있는 것은 자율규제와 사후책임을 우선시 하는 미국 문화의 특성 때문으로 보인다.
뉴욕주 사이버보안 규정을 준수하기 위해 금융기관들이 해야 할 일은 첫 번째, CISO 지정 및 조직을 구성하고 보안정책을 수립하는 것이며, 두 번째는 보안통제를 위해 보안솔루션 구축 및 프로세스(절차)를 만들고 임직원들이 이를 이해하고 준수할 수 있도록 교육을 실시하는 것이다. 세 번째는 항목별 유예기간을 참고해 사이버 보안 프로그램에 대한 이사회 보고, 모의침투 테스트 및 취약성 평가 실시, 위험평가 수행, 다중요소 인증 적용, 보안인식 제고 교육 실시 등에 대한 보안활동을 수행하고 증적자료를 확보하는 것이다. 마지막으로 사이버 보안 준수 확인서를 작성해 2018년 2월 15일까지 뉴욕주 금융 서비스국에 제출하는 것이다.
3차례에 걸쳐 뉴욕주 금융기관에 대한 사이버 보안규정(NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES 23 NYCRR 500, 이하 NYCRR 500)의 주요 내용과 국내 관련 법규와의 차이점에 대해 살펴보았다.
금융기관의 새로운 경쟁자는 아마존·애플과 같은 ICT 기업이라는 얘기가 있다. 그만큼 금융 분야에서 IT 기술이 차자하는 비중이 크다는 의미다. 실제로 금융거래에 있어 비대면 거래 비율이 높아지면서 정보보호의 중요성이 점점 더 커지고 있으며, 비단 뉴욕주뿐만 아니라 대부분의 나라들이 전자금융 또는 금융거래와 관련한 법규제를 강화하는 추세다. 따라서 해외에 진출하고자 하는 금융기관들은 사전에 진출국에 대한 정보보호 관련 법규제를 파악하고 효율적인 대응책을 마련해야 할 것으로 본다.
출처 : http://www.boannews.com/media/view.asp?idx=54788&page=1&kind=4
NYCRR 500에 해당되는 사람들은 “은행법, 보험법, 금융업법의 권한 아래 발행 및 요구되는 라이선스, 등록증, 헌장, 인증서, 자격증, 허가증, 인가 내에서 운영되어야 하는 모든 사람들”이다. 해석하자면 모든 은행, 투자 회사, 보험업자, 대출 기관, 지주회사, 자선 단체, 서비스 계약자를 말한다. 위 분류에 속하면서 뉴욕에서 활동하는 업체라면 반드시 NYCRR 500을 면밀히 검토하고 공부해야 할 것이다.
NYCRR 500은 기존 보안 관련 정책들과는 달리 사이버 보안을 위한 요구사항을 상세히 기술하고 있다. 가장 큰 차이점이라고 관련 전문가들이 꼽는 건 바로 ‘보고의 의무’와 관련된 조항. NYCRR 500의 효력 아래 포함되는 단체들은 1) 내부 및 외부에 존재하는 사이버 보안 위험들을 평가하고, 2) 기술과 정책을 통해 위험들을 처리하거나 약화시켜야 하며, 3) 사이버 보안 사고 발생 시 탐지해 복구시켜야만 한다.
그리고 이 모든 과정을 담당 관리자(보통 CISO)가 통솔해야 하며, 이 담당자는 보안 프로그램을 계획해 발동시키는 것뿐만 아니라 규제 기관에 보고서를 매년 한 번씩 제출해야 한다. 또한 보안 관련 사건 발생 시 72시간 내에 보고할 책임도 가지고 있다. 즉 이전보다 CISO의 보고 책임이 엄중해진 것.
보고 책임을 많이 늘린 것은 왜일까? 당국의 발표가 없으니 정확히는 모르겠지만, 앞으로 보고를 많이 해야 할 CISO들 및 기업들의 입장은 “사실 부인이나 진술 거부를 하는 데에 커다란 어려움이 생겼다”고 한다. 그렇다면 72시간 안에 보고를 해야만 하는 보안 사고란 무엇일까? 금융 외 규제기관들도 보고 가치가 있다고 판단할 만한 모든 사건을 말한다. 또한 ‘몰랐다’는 이유로 보고 의무를 무시할 수 없다.
CISO들이 보고서에 포함해야 할 내용은 다음과 같다.
* 침투 테스트 : 관련 단체들은 매년 발행하는 보고서에 침투 테스트와 관련된 내용을 포함시켜야 한다. 어떤 전문가들이 여기에 참여했으며, 어떤 부분에서 주로 테스트가 진행됐는지 증명할 책임이 있다.
* 감사 추적 : 관련 단체들은 보고서를 통해 감사 시스템에 대한 내용을 증명해야 한다. 즉, 사이버 보안 관련 사건을 어떤 식으로 탐지하는지를 규제기관에 알려야 한다는 것이다.
* 개발의 보안 : 관련 단체들은 인하우스 애플리케이션을 만들 때 안전한 소프트웨어 개발 프로세스를 내부적으로 갖추고 있어야만 한다. 외부 소프트웨어의 경우 보안 점검을 거쳐야 한다.
* 주기적인 리스크 평가 : 사이버 보안 상태 점검이나 평가는 한 번 하고 끝내는 것이 아니다. 따라서 관계 단체들은 주기적인 위험 평가에 관한 내용도 보고서에 포함시켜 ‘지속적인 컴플라이언스’를 반드시 추구해야 한다.
* 다중인증과 암호화 : 관련 단체들은 반드시 다중인증과 암호화 기술을 도입해야 한다. 어떤 기술이나 알고리즘을 사용해야 하는지는 따로 지정되지 않았다.
한편 2020년 2월부터는 이러한 보고 책임이 한층 더 강화될 예정이기도 하다. 금융 산업의 업체들은 이때부터 사이버 보안에 대해 더 크게 봐야 할 필요가 생긴다. 키워드는 ‘서드파티’다. 규제기관에 보고서를 낼 때 서드파티의 사이버 보안 상태에 대해서도 언급해야 한다는 뜻이다. 계약을 맺고 민감한 데이터를 처리해주는 업체가 가진 위험은 무엇인지 파악해야 하고, 이에 대해 어떤 조치를 취하고 있는지도 알려야 한다. 또한 이 서드파티 업체들의 주기적인 위험 평가 현황과 도입된 암호화 기술, 접근 보안 기술 등도 함께 보고되어야 한다.
이는 서드파티를 통해 일어난 보안 사고도 금융 업체들이 책임을 져야 한다는 뜻이 된다. 물론 사안에 따라 그 책임의 정도가 다르게 판결이 날 수 있지만, ‘우린 업무적인 계약 관계에만 있는 사이’라고 책임을 회피할 수 없다는 것이다. 보안을 매개로 서드파티와의 좀 더 가까운 관계로 발전하는 데에 앞으로 3년 남았다. 그 전까지는 ‘지속적인 보안’에 대한 기조가 전반에 깔려 있어야 한다.
'old > 관리적 보안' 카테고리의 다른 글
| [자료] GDPR과 필리핀 Data Privacy Act of 2012 비교 (0) | 2017.07.13 |
|---|---|
| [기사] 개인정보보호 정책 추진체계의 합리적 개선방안 (0) | 2017.06.13 |
| [자료] 국제 개인정보 법령 확인 (0) | 2017.05.12 |
| [자료] GDPR 관련 자료 (0) | 2017.04.29 |
| [기사] GDPR 관련 기사 (0) | 2017.04.10 |
