제1장 개 요
사이버보안 및 사기는 여전히 최고의 전 세계적인 위협이다. 위협 행위자의 공격은 점점 정교함은 더해가고 있으며, 대량 데이터 누출은 다반사가 되었고, 지능형 지속 위협(Advance Persistent Threat, APT)을 통하여 거의 모든 사람이 목표가 될 수 있으며, ‘사물 인터넷’ 유비쿼터스 ‘스마트’ 장치가 디도스(DDoS) 무기로 사용될 수 있다. 금융업계 내에서 이러한 위협 행위자는 정교한 사이버보안 공격 위협을 가하고 있다. 해당 보고서는 SWIFT 사의 거버넌스 모델 확립, 사이버보안 리스크 관리 프레임워크 수립, 사이버보안 조치 채택, 인증 데이터 통합 등을 설명하고자 한다.
제2장 거버넌스 모델 수립
사이버보안 리스크 운영, 재무 및 규제 리스트와 같은 다른 유형의 리스크와 함께 관리 되어야 한다. 이러한 리스크 관리 프로세스의 감독, 즉 거버넌스는 올바른 책임을 가진 사람들이 의사결정 능력을 가짐으로써 프로세스가 강력하고 반복적이며 예외를 관리할 수 있도록 만들어져야 한다.
제1절 상급 위원회 구조
사이버보안 리스크 거버넌스는 전체적 기능으로 고려되어야 한다. 즉, IT 또는 업무 내의 고립된 후선업무 부서로 제한되기 보다는 전체로서 사업을 책임지는 사람들이 중앙에서 감독하여야 한다. 실제로, 리스크 관리는 리스크 위원회와 같이 자신의 권한과 충분한 자원을 보유한 상급 위원회 조직의 일부(또는 하부 조직)이 되어야 한다.
이러한 여러 부서에 걸친 거버넌스 내에서, 책임을 조정하는 것도 고려하여야 한다. 실제로 일상적인 운영리스크 결정은 내부 통제 및 업무 절차를 집행할 책임이 있는 제1선(예: 사업, 업무, IT/사이버)이 담당하여야 한다는 것을 의미한다. 예외 사항 및 상부 보고는 어느정도 업무상 독립성이 있는 제2방어선(예: 컴플라이언스, 리스크)에서 관리하여야 한다. 독립적인 제3방어선(예: 내부 감사)이 확실히 실행될 수 있도록 감독하여야 한다.
제2절 사업 추진 이해 관계자
거버넌스의 기능은 올바른 내부 이해관계자 그룹 전반에 대하여 영향력 있는 결정을 취할 권한을 보유한 적절한 직위의 개인이 수행하여야 한다. 상대방 관리에 대한 일상적인 다수의 운영 리스크 결정을 오직 기술 또는 사이버보안담당 직원보다 비즈니스 담당 직원에 의하여 추진되어야 하는지는 논란이 있을수 있다. 하지만, 전반적인 거버넌스는 전체론적이고 다음과 같은 부문의 대표자들을 포함하여야 한다.
- 비즈니스 및 상대방 관계 관리 대표자는 시장 및 상대방 노출을 평가 하고 상대방과 연락을 위해 필요
- 지급 업무 대표자는 업무 통제를 실시하고, 정상적인 처리 업무에서 제한사항을 조정하고 개입하기 위하여 필요
- 기술 부문(예: IT, 정보보안, 사이버보안) 대표자는 추가적인 기술적 통제 또는 구체적인 사기 탐지 조치 실행을 요청하기 위하여 필요
- 리스크, 컴플라이언스 및 감사 부문 대표자는 예외사항을 관리하고 독립적인 실사를 보장하기 위하여 필요
데이터의 민감성 및 보안 침해의 잠재적인 영향 때문에 이러한 프로세스에 대한 감독은 고위 임원이 담당하여야 하고, 해당 고위 임원은 리스크 평가와 상부 보고 프로세스를 추진하는 데 도움을 주고 그로 인한 조치 결정을 감독하여야 한다.
제3절 명확한 권한
상대방 리스크 감독권을 가진 고위 위원회는 장기 전략뿐만 아니라 역할과 책임을 포함한 일상적인 운영 모델을 기술하는, 명확히 표현된 권한 또는 참조 조건을 마련하여야 한다. 이러한 권한에는 또한 이사회 및 고위 경영진에게 상대방 리스크 현황, 구체적인 사건 및 진행상황, 그리고 동향에 대하여 정기적인 보고 필요성이 포함되어야 한다.
제3장 사이버보안 리스크 관리 프레임워크 수립
견고한 거버넌스를 마련한 기관은 일반적으로 리스크 관점에서 사이버보안에 접근하려 한다. 즉, 그들은 리스크 수준을 평가하여 가장 필요한 곳에 예산을 투입하고 정해진 임계치 또는 관심 아래인 리스크는 수용한다. 이러한 사이버보안 리스크 관리 프로세스 또는 프레임워크에는 몇 단계가 포함된다.
제1절 상대방 리스크 데이터 수집
기관은 사이버보안 관점에서 상대방의 리스크 프로필을 알아보는 데 도움을 받기 위하여 다양한 데이터를 수집하여 처리한다. 리스크 데이터는 광범위하게 세 범주로 분류된다.
첫 번째, 상대방이 사업을 운영하는 외부 환경에 관련된 리스크
- 운영 국가/지역 - 상대방이 사업을 운영하는 관할권에서의 사이버보안, 규제 및 범죄/ 사기 수준에 대한 조치
- 업계 유형 - 일부 부문은 다른 부문보다 더 자주 사이버보안 공격 및 데이터 침해를 당하므로 공격 가능성과 상관관계
- 상대방에 대한 규제 감독의 정도 및 현지 감독기관이 사이버보안 규정 또는 정책을 부과
두 번째, 상대방과의 사업 관계에 관련된 리스크
- 상대방 관계의 심도/기간 - 비교적 새로운 관계는 오랜 관계, 심도 있는 관계 및 신뢰할만한 관계보다 더 높은 리스크가 존재할 가능성
- 상대방의 규모/소유 구조 - 특히 글로벌하게 시스템적으로 중요한 은행(GSIB)과 같이 더 큰 그룹의 일부인 경우에는 위협과 싸울 예산, 숙련된 자원 및 도구 이용 가능성
- 알려진 사이버 및 보안 사건 또는 기타 입수할 수 있는 뉴스, 정보 또는 실사 자료
- 상대방에 대한 기존의 리스크 평가(예: 운영, 재무 또는 규제).
세 번째, 거래 관련 리스크
- 거래 유형 - 일정한 유형의 거래는 다른 거래보다 원래 더 취약하여 상대방과 수행하는 거래의 유형을 제한함(예: 명세서에 근거한 지급)
- 거래 금액 - 신용 리스크
- 거래 빈도 - 기간당 거래량이 많으면 많을수록 잠재적 공격 가능성이 큼.
제2절 리스크 평가 프로세스
상대방 데이터가 취합되면 기관은 이러한 데이터를 처리하여 리스크 기반 평가로 변형시킨다. 이러한 평가 방법론은 기관별로 다를 수 있지만 일반적으로 세 접근법 중 하나를 따른다.
- 전문가 기반 - 평가가 전문가의 판단 및 전문가에 의한 리스크의 정성적 가치평가에 의하여 주도되는 경우.
- 규칙 기반 - 평가가 상대방이 각 리스크 요인에 대하여 점수를 얻는 방법에 대한 간단한 규칙을 이용한 의사결정 분지도를 통하여 이루어 지는 경우.
- 모델 기반 - 평가가 상대방이 각 가중치가 부여된 리스크 요인에 대하여 점수를 매기는 방법을 기초로 분석적으로 얻어지는 경우.
제3절 사이버보안 리스크 완화 조치 채택
리스크 관리 프레임워크를 이용하여 기관은 상대방과 관련된 보안 리스크 정도를 평가하고 분류할 수 있다. 기관은 리스크를 수용할지 아니면 리스크 완화 조치를 고려할지 결정을 내릴 수 있다. 사이버보안 리스크 완화 조치에는 다음 내용이 포함될 수 있다.
- 관계를 강화하고 전반적인 재확신을 제공하기 위하여 적극적으로 고위 경영진에 보고.
- 상대방이 내부 또는 제3자/외부의 독립적인 평가를 통하여 아니면 기술적인 설명 문서나 시험 결과를 제공함으로써 자신의 정보를 입증하도록 요청.
- 상대방에게 추가 통제 또는 사기 탐지 조치를 실행하도록 요청.
- 사전에 정의된 임계치를 위반하는 거래의 검토를 위한 표시.
- 표시된 모든 거래에 대하여, 상대방과의 거래에 대한 직접 육안에 의한 감독 및/또는 쌍방의 확인과 같은 추가 정밀조사 실시.
제4장 리스크 관리 프레임워크 고려 및 개선사항
사이버보안 인증 데이터를 자신의 기존 리스크 관리 프로세스에 포함시키기를 원하는 기관은 그 정보에 기초한 가중치와 점수를 적용하기를 원할 수 있다. 의미 있는 가중치와 점수를 배정하는 것은 자세한 연습으로서, 기관은 이를 위하여 정보보안, 업무, 기술, 리스크, 컴플라이언스, 비지니스 및 법무부서와 같이 내부 이해관계자들 사이에 협업을 확보하여야 한다.
'me > report' 카테고리의 다른 글
신용카드 범죄 (0) | 2022.01.19 |
---|---|
블록체인 기술 및 산업 분야 적용 사례 :: 시흥시 지역화폐 시루 (0) | 2021.11.06 |
전자 증거 개시재도와 사이버포렌식의 차이점 (0) | 2021.11.05 |