ClickCease 금융 서비스 조직에는 어떤 사이버 보안 규정 준수 표준이 적용되나요?

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

금융 서비스 조직에는 어떤 사이버 보안 규정 준수 표준이 적용되나요?

by

2023년 1월 26일 TuxCare 홍보팀

규정과 표준은 기업이 일관된 사이버 보안 대응을 할 수 있도록 안내합니다. 최소한의 기준만 설정하더라도 규정집은 때때로 매우 제한적인 사이버 보안 방어 노력에 대한 개선책이 될 수 있습니다.

금융 서비스 조직은 세계에서 가장 엄격한 규제를 받는 조직 중 하나이므로 이러한 유형의 회사에 특화된 몇 가지 사이버 보안 규정 준수 표준이 있다는 것은 놀라운 일이 아닙니다. 이 글에서는 이러한 규정 중 일부를 살펴보고 패치, 특히 라이브 패치가 규정 준수의 핵심인 이유를 간략하게 설명합니다.

금융 서비스 관련 규정 준수 규정

상업 은행, 신용 조합, 보험 회사, 투자 은행, 핀테크 회사, 네오뱅크, 증권사 등 금융 서비스 제공업체는 금융 서비스 고객의 고유한 요구 사항을 고려한 특정 규정의 적용을 받습니다. 

다음 금융 서비스 표준은 사이버 보안과 관련된 주제를 다루며, 규정 미준수 시 벌금 또는 그 이상의 처벌을 받게 되는 금융 서비스 회사에 광범위한 영향을 미칩니다:

  • 그램-리치-블라일리 법(GLBA): 금융 기관이 고객 정보의 보안과 기밀을 보호하도록 요구하는 연방법입니다. 여기에는 고객에게 연례 개인정보 보호 고지를 발송하고 고객에게 제3자와의 정보 공유를 거부할 수 있는 기회를 제공하는 것이 포함됩니다. 
  • 결제 카드 산업 데이터 보안 표준(PCI DSS): 금융 서비스를 위한 또 다른 주요 규정집인 PCI DSS는 결제 카드 정보를 수락, 처리, 저장 또는 전송하는 모든 조직에 적용됩니다. 이 표준은 카드 소유자 데이터를 보호하는 데 도움이 되는 일련의 보안 제어 및 모범 사례를 설정합니다. 
  • 뉴욕주 금융서비스국(NYDFS) 사이버 보안 규정: 뉴욕 주법이지만 뉴욕 주에서 허가를 받거나 운영 중인 모든 회사에 적용되므로 그 범위가 넓습니다. NYDFS는 은행과 보험회사에 특정 정보 보안 요건을 포함하는 사이버 보안 프로그램을 수립하도록 요구합니다.

조직이 제공하는 서비스, 해당 서비스에 대한 결제 수락 방식, 조직이 속한 관할권에 따라 위의 규정 준수 체제 중 하나만 적용될 수도 있고, 실제로는 세 가지 모두 적용될 수도 있습니다.

고려해야 할 도구 및 가이드라인

도구와 가이드라인은 조언을 반드시 지켜야 하는 것은 아니더라도 유용한 목적을 달성하는 데 도움이 됩니다. 연방 금융 기관 검사 위원회(FFIEC)는 다음을 제공합니다. 사이버 보안 평가 도구 을 제공하여 금융 기관이 사이버 보안 위험을 평가하고 보안 제어의 격차를 파악하는 데 사용합니다.

마찬가지로 금융 산업 규제 당국(FINRA)은 는 가이드라인을 을 제공하여 금융 서비스 회사가 사이버 위협으로부터 네트워크와 고객 데이터를 보호할 수 있도록 지원합니다.

금융 서비스 조직을 특별히 겨냥한 것은 아니지만, NIST의 사이버 보안 프레임워크 은 사이버 보안 위험을 광범위하게 다루는 공통 언어 역할을 하는 또 다른 중요한 프레임워크입니다. NIST는 미국 내 금융 서비스 회사에서 일반적으로 채택하고 있습니다.

금융 분야에서는 기업 도 종종 SOC 2 보고서는 금융 서비스를 제공하는 조직을 포함한 서비스 조직의 제어를 조사하고 보안, 가용성, 처리 무결성, 기밀성 및 이러한 모든 시스템의 개인 정보 보호를 다루는 감사 프로세스를 통해 생성됩니다.

규정 준수의 핵심인 패치 적용

보안 의무사항이든 가이드라인이든, 외부 위협으로부터 시스템을 안전하게 보호한다는 점은 동일합니다. 패치는 이러한 안전을 달성하기 위해 가장 확실하게 할 수 있는 일 중 하나입니다. 알려진 취약점을 패치하면 위협 행위자가 더 이상 해당 취약점을 악용할 수 없습니다. 

또한 패치를 적용하면 공격 성공률을 낮출 수 있으며, 특히 오늘날 많은 공격의 자동화되고 추측적인 특성을 고려할 때 공격 성공률을 낮출 수 있는 기회가 줄어듭니다. 이러한 이유로 PCI DSS를 비롯한 많은 사이버 보안 표준은 패치를 명시적으로 언급하고 있습니다..

패치 작업은 시간이 많이 걸리고 업무에 지장을 주기 때문에 안타깝게도 패치를 일관성 있게 적용하기 가장 어려운 작업 중 하나입니다. 결과적으로 패치를 지속적으로 적용하려는 의도는 있지만, 라이브 패치가 배포되지 않는 한 현실은 다른 방향으로 흘러갈 수 있습니다.

규정 준수 노력을 지원하는 라이브 패치

TuxCare의 실시간 패치 솔루션은 취약성 대응의 판도를 완전히 바꿔놓습니다. 자동화된 방식이므로 시스템 관리자가 더 이상 중요한 보안 패치를 수동으로 적용하는 데 많은 시간을 투자할 필요가 없습니다.

또한 TuxCare의 라이브 패치 솔루션은 시스템을 재시작하거나 중단할 필요 없이 보안 업데이트를 적용하기 때문에 협상을 위한 다운타임이 발생하지 않아 패치가 원활하고 일관되게 이루어집니다.

금융 서비스 조직은 TuxCare의 실시간 패치를 통해 필수 요구 사항을 준수하고 모범 사례 프레임워크 내에서 훨씬 쉽게 유지할 수 있습니다. 다음을 수행할 수 있습니다. 라이브 패치의 작동 방식에 대해 자세히 알아보세요.솔루션 페이지 보기.

요약
금융 서비스 조직에는 어떤 사이버 보안 규정 준수 표준이 적용되나요?
기사 이름
금융 서비스 조직에는 어떤 사이버 보안 규정 준수 표준이 적용되나요?
설명
금융 기관의 규정 및 표준. 사이버 보안을 방어하기 위한 노력은 때때로 매우 제한적일 수 있습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!