금융 서비스 보안 및 컴플라이언스란?

금융 서비스 보안 및 컴플라이언스는 고객의 돈과 금융 정보를 보유, 관리, 보호하기 위해 금융 서비스 회사가 져야 할 책임을 가리킵니다. 여기에는 고객 데이터에 대한 표준 보안 수준을 결정하는 연방, 주, 지방 규정을 준수하는 것이 포함됩니다.

편의성 및 고객의 기대치

금융업계는 기존의 오프라인 거래 모델에서 벗어나 오늘날의 편의성 및 기능에 대한 기대치에 부합하기 위해 큰 발전을 이루었습니다. 그러나 기술과 고객 정서는 확대 중인 일련의 디지털 기능에 대한 정부의 규제 감독보다 더 빠르게 변화하고 있습니다. 이에 은행은 고객 수요에 적응하면서 변화에 느리게 대응하는 규정을 준수해야 하는 과제에 직면하고 있습니다. 그뿐만 아니라 금융 서비스 업계의 신생 기업들은 공백을 빠르게 메우면서 경쟁력 유지를 위해 기성 업체에 도전하고 있습니다.

데이터 보호

디지털 정보에 더 편리하게 액세스할 수 있게 되면 데이터 사기 및 침해가 항상 위험 요인으로 다가옵니다. 데이터는 최종 목적지에 도달하기 전에 여러 포인트를 거쳐 전송되는데, 각 포인트가 잠재적 보안 위험 요인이 됩니다. 모바일 애플리케이션은 특히 손쉬운 대상입니다. 애플리케이션 자체와 애플리케이션이 상주하는 서버에는 악용 가능한 취약점이 있을 수 있습니다. 사용자 행동도 이러한 위험에 기여할 수 있습니다.

유럽 연합(EU)의 일반 데이터 보호 규정(General Data Protection Regulation, GDPR)과 같이 국경을 넘어 데이터가 전송될 때에도 이러한 다양한 취약점을 해결하려는 정부 규정이 존재합니다.

획일적인 관점

금융 서비스 업계의 사고 방식이 달라지면서 더 많은 과제가 생겨나고 있습니다. 금융 부문은 안정적으로 작동하는 비즈니스 모델에서 위험을 야기하는 비즈니스 모델로 변하지 않도록 경계하고 있습니다. 보안 위험에 대처하지 않은 채 소비자에게 더 많은 편의성을 제공하려고 서두를 경우 재난에 가까운 결과를 초래할 수 있습니다. 하지만 보안 프로세스로 인해 사용자 환경이 더 까다로워진다면 고객은 거래를 더 쉽게 처리할 수 있는 방법을 요구할 것입니다. 이처럼 보안 프로세스에서 균형을 유지하는 것은 가장 혁신적이고 진보적인 기업에서도 해결하기가 어려운 과제입니다.

대중의 신뢰

소비자 인식에 대처하는 것은 기술 채택만큼이나 중요합니다. 지난 몇 년간 중대한 데이터 침해가 발생하면서 대중이 개인 데이터를 처리하는 기업을 불신하는 분위기가 고조되었습니다. 신뢰는 잃기 쉽지만 회복하기는 어렵습니다. 고객은 자신의 정보가 안전하게 관리되고 있다는 확신을 원합니다. 금융 서비스 회사는 사이버 범죄 및 데이터 침해로부터 안전한 정보 보호 방법을 최대한 투명하게 공개하여 신뢰를 구축해야 합니다.

소비자 인식 및 교육

개인 정보를 보호하는 방법을 고객에게 교육하는 것은 생산적이고 안전한 뱅킹 환경의 가장 중요한 요소일 수 있습니다. 소비자에게 개인 정보를 보호하기 위한 작업과 데이터 침해 발생 시 해야 할 일에 관한 최신 정보를 제공하면 은행과 고객 간의 관계를 개선할 수 있습니다. 이러한 정보는 새 기술과 위협에 따라 변경되므로 소비자에게 이러한 정보를 지속적으로 제공하면 고객을 유치하는 데 큰 도움이 됩니다.

금융 서비스 산업의 보안 및 컴플라이언스 방식은 다양합니다. 전 세계의 정부 기관(예: 미국 연방준비위원회), 회사, 조직은 자금 세탁 방지, 위험 관리, 컴플라이언스 프로세스에 막대한 투자를 하고 있습니다. 

다음은 금융 서비스 컴플라이언스 요구 사항을 충족하는 데 사용되는 몇 가지 보안 옵션입니다.

암호화

중요한 데이터는 암호화 과정을 거쳐 올바른 암호 해독 키를 사용하지 않으면 읽을 수 없는 코드로 변환됩니다. 그러나 데이터 암호화, 검증 및 해독에는 시간 및 처리 능력이 소요됩니다. 갈수록 증가하는 데이터를 더 신속히 처리하기 위해 은행은 기존 IT 인프라를 업그레이드 및 확장하거나 더 유연하고 강력한 새 시스템을 구현하여 손쉽게 확장할 수 있는 고속의 데이터 암호화를 지원하고 있습니다. 결제 카드 산업 데이터 보안 표준(PCI DSS)은 데이터의 암호화 방식에서 큰 역할을 합니다.

다단계 인증

여러 인증 형식을 사용해 로그인하는 것은 금융 서비스 웹사이트뿐만 아니라 다른 분야에서도 널리 사용되고 있습니다. 사용자가 암호나 PIN을 입력하면 텍스트 메시지를 통해 코드를 이전에 등록된 장치로 전송하라는 요청이 트리거됩니다. 이 코드는 사용자가 로그인 프로세스를 완료하기 위해 입력하는 일련의 임의 생성 문자를 포함합니다. 이로 인해 로그인 프로세스에 단계가 추가되지만 범죄자가 침입하기 훨씬 더 어려워집니다. EU의 은행들은 제2차 결제서비스 지침(PSD2)에 따라 모든 거래(국경을 넘어 진행되는 거래도 해당)에 다단계 인증을 구현해야 합니다.

데이터 스토리지 및 배포

GDPR의 영향력은 EU 이외 국가로 확장되어 데이터 보관, 액세스, 배포에 관한 전 세계 금융 기관의 정책으로 추진되고 있습니다. 데이터를 한 장소에 보관하는 것은 더 이상 기업을 위한 안전한 선택이 아닙니다. 클라우드 서비스에 의존해 디지털 정보를 저장하는 기업도 마찬가지입니다. 한 제공업체에 의존하면 위험 발생 가능성이 높아지므로 데이터 침해에 취약해집니다. 스토리지 및 기능을 여러 제공업체에 나누어 분산하면 위험이 희석되어 범죄자가 액세스하기 더 어려워집니다.

인공지능(AI)

사전 정의된 알고리즘의 예로는 미국에 거주하는 고객이 런던에서 한 거래와 같이 정상적인 패턴에 부합하지 않는 거래에 플래그를 지정하는 것입니다. 그러나 이 고객이 1년에 몇 차례 런던을 방문하는 경우 알고리즘은 런던에서 이루어지는 모든 거래에 대해 이 거래가 적법하다 하더라도 계속해서 플래그를 지정할 것입니다. AI를 활용하여 고객 행동을 학습하고, 고객 행동에 따라 조정하고, 알고리즘을 업데이트할 수 있으므로 향후 이 패턴과 일치하는 거래에는 플래그가 지정될 가능성이 줄어듭니다. 또한 AI로 인해 고객의 고유 특징을 사용해 고객을 식별하여 계정 정보에 액세스하게 하는 방법인 생체 인식도 활성화되고 있습니다. 지문, '안문(eyeprint)' 및 안면 인식은 다양한 스마트 장치에서 볼 수 있는 기능이며, 모바일 앱에서 이러한 옵션을 제공하는 은행이 늘어나고 있습니다. 이렇게 하면 보안이 강화되어 범죄자가 침입하기 더 어려워집니다.

AI/ML 애플리케이션 관리 개선

이 웨비나 시리즈에서는 인공지능/머신 러닝(AI/ML) 애플리케이션의 배포 및 라이프사이클 관리를 간소화하는 방법을 전문가의 관점에서 알아봅니다. 이는 ML 모델과 AIP 앱을 더 빠르게 구축하고, 이에 대한 협업을 진행하며, 공유하는 데 도움이 됩니다. 

Red Hat은 고객이 확신을 갖고 지속적 보안 전략을 채택할 수 있도록 엔터프라이즈용 오픈소스를 지원합니다. Red Hat의 목표는 기업이 보안 및 컴플라이언스를 유지하면서도 비즈니스 경쟁력과 유연성 및 적응력을 확보하도록 돕는 것입니다.