Content
McAfee 보안 인사이트
준수에 대한 실용적인 가이드
현재 금융 서비스 기업들은 보안 기술을 활용하고 컨텐트 관리 제품을 확보하여 HIPAA(Health Insurance Portability and Accountability Act, 건강 보험 양도 및 책임에 관한 법), Sarbanes-Oxley 법(미국회계개혁법) 및 GLBA(Gramm-Leach-Bliley Act, 금융 현대화법) 등, 현재 규정을 준수하고 유지할 수 있도록 지원을 받아야 합니다. 투자회사, 소매 및 상업 은행과 보험 제공업체와 같은 금융 서비스 기업이나 금융 서비스 산업에 호스팅 등의 서비스를 제공하는 기업도 이 같은 규정을 준수해야 합니다.
각 규정마다 서로 다른 문제를 설명하고 있고 자체적으로 기본 준수 요건을 보유하고 있지만, 규정 준수를 위해 정확하게 금융 서비스 기업이 실시해야 할 사항들을 명확히 알려주지는 않습니다.
CIA 트라이앵글
현재 규정은 여러 "CIA 트라이앵글"인? 기밀성, 무결성 및 가용성에 초점을 맞추고 있습니다. 예를 들어, 2002년 미국 의회에서 통과된 Sarbanes-Oxley 법으로 인해 CEO 및 CFO는 개별적으로 재정 보고서의 정확성에 대한 책임을 져야 합니다.
"Sarbanes-Oxley 법은 무결성에 관한 법이어서 재정 보고서가 완전하고 정확하도록 보장하거나 최소한 재정 보고서를 창출하는 관리 수단이 정확하도록 보장하고 있습니다."라고 McAfee 보안 전도사인 Peter Schawacker는 말했습니다.
반면, 1999년 법으로 체결된 Gramm-Leach-Bliley 법은 투자 자문 활동의 일부로 수집한 기밀 개인 정보를 사용하여 금융 서비스 기업이 실시할 수 있는 사항들을 규정하고 있습니다. "이 법은 기밀성을 포함하는데, 이는 예를 들어 기업들이 M&A와 브로커 사이에 장벽이 존재하는지 확인해야 하기 때문입니다."라고 Schawacker는 지적했습니다.
1999년 통과된 HIPAA는 환자 데이터 보호에 초점을 맞추고 있으며 CIA 트라이앵글의 세 영역에 모두 적용됩니다. HIPPA는 보험 제공업체와 환자의 병력을 처리하는 기타 다른 기업과 특히 관련이 있습니다. "개인정보보호 측면은 모두가 얘기하고 싶어하는 사항이지만 무결성과 가용성 역시 마찬가지입니다."라고 Schawacker는 언급했습니다. "예를 들어, 약이 혼합되지 않도록 하는 것은 당연한 일이고 긴급 수술을 받아야 하는 사람이 관련된 차트를 모두 확보할 수 있는 것도 당연한 일입니다.
그러나, 이 같은 점은 단지 HIPAA의 영향을 받는 의료 제공업체와 보험회사에만 국한되지 않습니다. 실제로, 법안은 환자 정보를 취급하는 회사 모두 HIPAA 개인정보보호 규정을 준수해야 한다고 요구하고 있습니다. 여기에는 고용인에게 의료 혜택을 제공하는 고용주는 물론 거래교환소로 활동하여 비전통적인 거래를 표준 거래 또는 이와 반대로 변환시킬 수 있는 금융 기관도 포함되어 있습니다.
우수한 보안 선구축, 준수 여부 후점검
수 많은 금융 서비스 기업들은 법이 효력을 발생하기 전 오랫동안 규정 준수 방향으로 단계를 거쳐왔습니다. 더 많은 수의 성숙한 기업들이 먼저 우수한 보안 프로그램을 구축한 후 준수 여부를 점검하는 방식을 취해왔다고 Schawacker는 언급했습니다. "규정은 단지 사람들이 수년 간 실시했어야 하는 사항들을 말해주는 것뿐입니다. 이러한 이유 때문에 금융 서비스 기업이 별 문제 없이 규정을 준수할 수 있었습니다.
실제 규정 준수를 위해 기업이 실시해야 할 사항 측면에서 보면 법은 애매모호합니다. "일부 규정이 말 그대로 애매모호한 이유는 수 많은 유형의 기업에 적용되어야 하기 때문입니다."라고 Schawacker는 말합니다. "HIPAA 및 GLBA는 각각 수직 시장을 처리하기 때문에 보다 특수합니다. 산업의 특수성이 강해질수록 요건의 특수성도 강해지게 됩니다. 대부분의 경우, 기업들은 단지노력을 기울여 의무를 이행하고 있다는 것을 보여주고 법의 정신을 따르기만 하면 됩니다.”
현재 규정이 목적 및 준수 요건 측면에서 본질적으로 다르긴 하지만 이 같은 규정들을 준수하려는 기업들은 확실히 보안 시스템을 원하고 있다는 한 가지 공통점을 지니고 있습니다.
전 산업의 기업이 초점을 맞춰야할 사항?초점을 맞춰야할 사항? 먼저 적소에 우수한 보안 관리 수단을 보유한 후 Sarbanes-Oxley 및 GLBA과 같은 감사 위주의 규정과 관련된 모든 사항이 관리 수단을 문서화하는 것이라 보장하는 것입니다. HIPAA의 경우는 다른데, 이에 대한 이유는 감사 위주의 준수 문제가 아니기 때문입니다. HIPAA는 기업들이 보안을 운용할 수 있도록 요구합니다.
기업이 규정을 준수하고 유지하기 위해 결정한 사항에 관계없이, 문서, 신뢰성 있는 보고 및 우수한 컨텐트 감사 흔적을 통해 자체적으로 기울인 노력을 정당화할 수 있어야 합니다. "정말이지 문서뿐입니다. 이러한 문서는 메시지 보관, 사용에 관한 보고, 관리 수단의 구성 상태에 대한 일종의 문서를 즉시 작성할 수 있는 형태를 취할 수 있습니다."라고 Schawacker는 지적합니다.
기업들은 보유하고 있는 리소스에 우선순위를 부여하여 비즈니스의 최대 위협에 초점을 맞출 수 있도록 위험 관리 전략도 개발해야 합니다. 보안 팀은 정보 자산 가치, 취약성을 조사하고 자산에 대한 실제 위협을 평가하여 위험을 측정할 수 있습니다.
규정 준수를 위해 최상의 노력을 기울였다는 것을 보여주는 확실한 사례라고 McAfee의 엔지니어링 부서장인 Mark Harris가 말했습니다. "McAfee ® ePolicy Orchestrator ® (ePO™ )는 전체 보고서를 보여주므로 모든 사람이 최신 정보를 확보했는지 확인할 수 있습니다. ePO의 일부를 구성하는 SCP(System Compliance Profiler)는 설치된 최신 버전의 패치를 확인할 수 있습니다."라고 Harris는 말했습니다. "다시 말해, 기계실 및 제어실이 지속적으로 규정을 준수할 수 있도록 최상의 노력을 기울이고 이를 입증하기 위해 데이터를 생성하고 있다는 것을 보여줄 수 있는 사례입니다."
규정 준수의 일부는 추적성으로 통신 중인 사항과 그렇지 않은 사항을 모니터링할 수 있다고 Harris는 덧붙였습니다. "귀사는 현재 안전한 컨텐트 메시징 생산 라인을 보유하고 있습니다. 제품 모두 전자우편 메시지, 첨부 문서, Word 문서 및 스프레드시트를 살펴볼 수 있는 여러 공통적인 기능을 공유하고 텍스트를 추출하며 키워드를 검색합니다"라고 Harris는 지적했습니다.
"기업 외부로 전송되는 정보를 차단하게 할 규정을 설정하거나 이메일 메시지 또는 첨부 문서의 키워드나 문구를 사용하여 발신되는 이메일을 기록할 수 있습니다."라고 Harris는 설명했습니다. "이러한 작업을 전체 조직이나 사내 핵심 인물을 대상으로 수행할 수 있습니다."
Schawacker는 종합 구성 보고서를 창출할 수 있는 기술을 통해 금융 서비스 기업은 규정 준수에 핵심 요소가 되는 책임, 투명성 및 측정가능성을 보다 향상된 수준으로 달성할 수 있다고 덧붙였습니다. "규정 각각의 경우, 합쳐야 하는 일부 유형의 자산 기반을 보유해야 하는데, ePO의 일부인 불량 시스템 보호 성능이 이에 매우 적합합니다"라고 말했습니다.
다른 McAfee 제품, McAfee® Foundstone® 기업 취약성 관리 솔루션 역시 금융 서비스 기업의 규정 준수 노력에 귀중한 요소입니다. 디지털 취약성과 관련된 비즈니스 위험을 관리하고 경감시키도록 설계된 전사적 보안 솔루션은 자산 탐색, 인벤토리 및 우선순위 책정, 위협 정보 및 상관관계와 치료 추적 및 보고를 통해 네트워크 인프라를 보호할 수 있도록 작동합니다. Foundstone Enterprise Threat Correlation Module을 사용하면 특정 위협에 대한 진행 과정을 반복적으로 추적할 수 있어 내부 및 규정 준수 정책을 충족하도록 보장할 수 있습니다.
본 기사가 작성된 후 McAfee는 유사한 성능을 제공하는 신제품을 출시했습니다. 추가 정보는 McAfee의 제품 항목을 참조하시기 바랍니다.
추가 정보
McAfee Foundstone Enterprise 취약성 관리 솔루션의 규정 준수 지원 방식을 살펴보십시오.
