출처 : http://www.boannews.com/media/view.asp?idx=56681&page=3&kind=1
미국 뉴욕 현지 시각 8월 28일부터 금융 쪽 단체 및 조직들은 전부 새로운 규정의 보호와 간섭을 받게 되었다. 제일 먼저는 그 동안은 물밑에서 처리하거나 수사할 수 있었던 사이버 보안 사건들을 죄다 공개적으로 보고하도록 정해졌다. 이 새로운 규정은 뉴욕의 금융서비스부(New York Department of Financial Services)가 마련한 것으로 23 NYCRR 500이라고 불린다. 지난 3월에 발효되었고, 오늘은 첫 번째 ‘컴플라이언스 마감일’이다.
23 NYCRR 500이 적용되는 조직 및 단체라면 뉴욕 금융서비스부의 최고 관리자에게 사이버 보안 사고가 발생하고서 72시간 내에 보고를 해야만 한다. 정상적인 운영에 방해가 될 타당한 가능성이 있는 모든 사건들에 대해서 그렇다. “뉴욕 금융서비스부의 규제를 받는 조직이라면 다 해당되는 것으로, 사안과 상황에 따라 금융서비스부가 별도의 보고서를 요구할 수도 있습니다.” 금융서비스부 대변인의 설명이다.
하지만 금융서비스부의 규정이 어겨졌을 때나 그와 관련된 사고가 터진 것 외에, 다른 기관이 정한 규정과 관련된 사고가 발생했을 때에도 금융 관련 업체들은 전부 이 금융서비스부에 보고서를 제출해야 한다. 즉, PCI와 관련된 위반 행위 때문에 개인 식별 정보 유출 사건을 겪은 은행이라고 하더라도 금융서비스부에 보고해야 한다. 23 NYCRR 500의 핵심은 이 ‘보고’라는 분석이 있을 정도로 금융서비스부의 이번 새 규정은 ‘모든 상황을 금융서비스부가 알아야만 하겠다’는 것에 초점이 맞춰져 있다.
그러나 이렇듯 상세한 보고서를 규정으로 내세운다는 건 ‘사이버 보안 사고’의 정의를 좀 더 빡빡하게 내리고 있다는 뜻으로도 해석할 수 있다. 이전에는 유야무야 넘어갈 수 있었던 일들도 이젠 사이버 보안 사고라는 이름을 붙여 정식으로 보관하겠다는 것이다. 워너크라이나 낫페트야, 미라이 등의 멀웨어를 통해 대대적으로 일어난 사업 일시 중단이나, 국소적으로 일어난 대수롭지 않은 해킹 사고라도 여기에 전부 포함된다.
‘운영상 별다른 해가 없었다면 괜찮지 않을까?’라고 궁금해 하는 기업들이 있다. 하지만 23 NYCRR 500의 범위는 ‘운영상의 피해’를 넘어간다. 실질적인(아마도 금전적인) 피해가 발생할 수 있는 사건이라면 모두 해당하기 때문에, BEC 공격처럼 수천만 달러가 한 번에 계좌에서 사라지는 사기 사건부터 시장 점유율을 낮추는 데 일조할 가능성이 높은 지적재산의 탈취도 보고 대상이다. 이는 기업들이나 법조계의 해석이 아니라 뉴욕 금융서비스부가 직접 발표한 내용이다. 지난 달 금융서비스부는 이러한 수많은 보고서를 제출하고 제출받을 온라인 포털을 새롭게 마련했다.
‘아무런 사고가 일어나지 않았다면, 보고서 낼 일 없지 않을까?’라고 궁금해 하는 기업들이 있다. 하지만 이 역시 ‘아니오’가 답이다. 왜냐하면 매년 정기적으로 컴플라이언스 보고서를 금융서비스부 최고 관리자 앞으로 제출해야 하기 때문이다. 마감일자는 매년 2월 15일이다. 23 NYCRR 500과 같은 규정은 미국 역사상 처음이다. 그렇기에 2년에 걸쳐 단계별로 도입시키고 있는 것이며, 28일은 그 첫 번째 ‘단계’가 끝나는 날인 것이다.
그렇다면 오늘까지 제출해야 하는 건 무엇일까? 사이버 보안 프로그램, 사이버 보안 정책, CISO, 보안 사고 대응 방안, 사용자의 접근 권한 축소 계획이다. 그 동안 보안 사고가 발생했다면, 그 역시 이번에 알려야 한다.
한편 다음 컴플라이언스 마감일은 2018년 3월이다. 이때는 위험 평가 보고서, 침투 테스트 완료 보고서, 최종 사용자 보안의식 훈련 보고서, 연간 사이버 보안 관련 임원급 관리 실태 보고서를 제출해야 하며, 다중인증 시스템도 도입시켜야 한다. 23 NYCRR 500은 외부 네트워크에서부터 내부 네트워크로 접속하려거든 반드시 다중인증을 거쳐야 한다고 강조하고 있다. CISO가 특별한 경우 이를 다른 방책으로 대체 신청할 수 있다.
그 다음 마감일은 2018년 9월이다. 이때는 애플리케이션 개발 프로그램에도 보안이 도입되어 있어야 하며, 적정한 감사도 실시하고 있어야 한다. 암호화를 검사하는 것도 이 시점부터다. 공급업체를 선정할 때의 보안 정책 및 점검 사항과 각 서드파티에 대한 보안 지원 체계 역시 이 시점에는 갖춘 상태에서 사업을 진행해야 한다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 개인정보 비식별 관련 입법 (0) | 2017.10.08 |
|---|---|
| [기사] 개인정보 비식별 조치, 세계 각국은 어떻게 하고 있나요 (0) | 2017.09.22 |
| [기사] EU GDPR 대비 우리나라의 개인정보보호 대응방향은? (0) | 2017.08.14 |
| [자료] GDPR과 필리핀 Data Privacy Act of 2012 비교 (0) | 2017.07.13 |
| [기사] 개인정보보호 정책 추진체계의 합리적 개선방안 (0) | 2017.06.13 |
