자율보안체계, 핵심으로 바로 들어가시죠 | 요즘IT
지난 2024년 8월, 금융위원회가 『금융분야 망분리 개선 로드맵』을 발표했습니다. 망분리 규제 개선과 함께, 또 하나 눈길을 끈 것은 ‘자율보안체계’입니다. 로드맵에 따르면 금융당국은 앞으
yozm.wishket.com
- 자율보안체계
- 금융당국이 기업의 자율적인 보안 리스크 관리를 강조
- 기존 규제 중심 체계에서 벗어나 기업 스스로 보안 대책을 마련하고 그 결과에 책임지는 방식
- 외부 규제 의존이 아닌, 기업 내부의 보안 위험 평가와 대응 체계를 강화
- 금융회사가 자율적으로 보안 정책을 수립하고 지속적인 모니터링 및 점검을 통해 보안을 개선하는 구조
- 기존 문제점
- 규정 준수에 치중
- 미시적 규정으로 인해 실질적 리스크 관리보다는 형식적인 규정 준수에 초점
- 규정 준수가 사고 책임 면제로 이어지는 구조
- 임기응변식 대응
- 보안을 CISO 중심의 기술적 문제로만 인식하고 조직적 접근 부족
- 금융보안을 전략적 요소가 아닌 비용으로만 여김
- 리스크 평가 부족
- 내부적으로 핵심 전략과 연계된 종합적 보안 전략 및 전문 인력 육성 미흡
- IT 환경 변화 대응력 부족
- AI 도입과 같은 IT 혁신을 망분리 및 클라우드 규제로 저해
- 규정 준수에 치중
- 자율보안체계의 핵심
- 정보보호 위험관리 체계 구축
- 보안 리스크를 식별, 평가, 관리, 통제하는 체계적 프로세스
- 사고 예방, 대응, 복구를 위한 기반 제공
- 보안 주체 전환
- 금융당국에서 기업으로 보안 책임 이관
- 기업이 자율적으로 보안 환경에 맞는 통제 및 개선을 수행
- 정보보호 위험관리 체계 구축
- 자율보안체계 준비 방법
- 정보보호 프레임워크 도입
- NIST CSF(사이버 보안 프레임워크)
- Identify, Protect, Detect, Respond, Recover의 5가지 핵심 기능 기반
- 다양한 산업 및 기술 환경에 유연하게 적용 가능
- 금융보안원 자율보안 프레임워크 활용 가능
- NIST CSF(사이버 보안 프레임워크)
- 정보보호 인증 취득
- ISMS-P, ISO 27001, PCI-DSS 등 인증으로 체계적 관리 기반 마련
- 회사 환경과 보안 목표에 맞는 인증 선택
- 내부 역량 강화
- 전문 보안 인력 양성과 교육
- 리스크 평가 및 관리 역량 향상
- 정보보호 프레임워크 도입
- 결론
- 금융회사는 보안 리스크를 기업 전략에 통합하여 자율적이고 능동적인 보안 체계 구축 필수
- 실질적인 보안 목표 설정: 단순 규정 준수가 아닌, 위험 평가와 모니터링 중심
- 산업 전반으로의 확산 가능성: 금융뿐 아니라 다른 산업에도 자율보안체계의 도입 필요성 증가
- 지속적으로 변화하는 IT 환경에 대응하기 위해 보안 체계의 유연성과 속도를 확보해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 비즈니스와 통합된 사이버 보안의 중요성 (1) | 2024.12.02 |
|---|---|
| ERP·그룹웨어·웹메일 사칭 피싱 공격 주의보 (0) | 2024.12.02 |
| 메타플랫폼스, 인스타그램 장애 보고 지연으로 과태료 부과 (0) | 2024.12.02 |
| 금융 클라우드 전환과 망분리 완화: 디지털 금융의 새로운 기폭제 (0) | 2024.12.02 |
| 삼양그룹 개인정보 유출 사고: 록빗 3.0 랜섬웨어 공격과 대응 부족 (0) | 2024.12.02 |