2024-09-13 10:35 (금)
레드햇 “금융 서비스 규정 준수 및 보안 강화 위한 ‘자동화된 코드형 정책’” 강조
상태바
레드햇 “금융 서비스 규정 준수 및 보안 강화 위한 ‘자동화된 코드형 정책’” 강조
  • 길민권 기자
  • 승인 2024.08.14 13:04
이 기사를 공유합니다

레드햇이 앤서블 자동화 플랫폼(Red Hat Ansible Automation Platform)이 금융 서비스 분야에서 조직의 GRC(거버넌스, 리스크 관리, 컴플라이언스) 절차를 보완하는 혁신적인 접근 방식 자동화된 코드형 정책(automated Policy-as-Code)을 지원한다고 밝혔다.

자동화된 코드형 정책을 통해 금융서비스 업계는 현대 규제 환경의 복잡성에 보다 민첩하게 대응해 규정을 준수하고, 보안성을 유지하는 동시에, 효율성을 확보할 수 있다는 것이다.

끊임없이 진화하는 금융 서비스 분야에서는 규정을 준수하고 보안성을 유지하는 동시에 효율성을 확보하는 것이 중요하다. 금융 기관은 리스크를 관리하고 규제 요건을 준수하며 운영의 일관성을 유지해야 한다는 압박을 끊임없이 받고 있다. 이 같은 요건에 대한 관리 복잡성은 기존의 수동 프로세스로는 더 이상 어렵다. 이에 따라 조직의 GRC(거버넌스, 리스크 관리, 컴플라이언스) 절차를 보완하는 혁신적인 접근 방식인 자동화된 코드형 정책(automated Policy-as-Code)의 개념이 등장했다.

■자동화된 코드형 정책이란?

자동화된 코드형 정책을 사용하면 앤서블(Ansible) 자동화에 대한 규칙을 적용할 수 있다. 정책을 각 자동화 작업에 수동으로 통합할 필요 없이, 자동화 작업의 어느 단계에서나 정책을 적용할 수 있다. 정책을 코드화함으로써 금융 기관은 일관되게 표준 정책을 적용하고 규정 미준수 또는 운영 실패의 위험을 줄일 수 있다.

규제와 관련한 요건들은 종종 복잡성을 동반하며, 이러한 프로젝트 중 상당수는 비용 및 시간 소모적이고 까다로운 경우가 많다. 따라서 내부 규정이나 더 큰 규제 프로세스의 보안 등을 포함한 세부 요소에서부터 시작하여 점차 확장해 나가는 것이 권장된다. 이러한 작업을 현재 레드햇 앤서블 자동화 플랫폼(Red Hat Ansible Automation Platform)에서 지원하고 있으며, 레드햇은 앞으로 운영 전반에 걸쳐 더 쉽게 사용할 수 있는 새로운 자동화된 코드형 정책 기능을 통해 이를 더 빠르고 쉽게 구현할 수 있도록 지원할 예정이다.

■자동화된 코드형 정책이 금융 서비스에 중요한 이유

운영 일관성은 금융 서비스의 신뢰성을 유지하기 위한 핵심 요소다. 자동화된 코드형 정책은 프로세스의 표준화를 지원해 운영이 정의된 정책을 준수하게 함으로써 재정적 손실이나 고객 불만으로 이어질 수 있는 오류나 운영상의 불일치 가능성을 줄이는 데 도움이 된다.

금융 서비스는 규제가 아주 엄격한 산업 중 하나로, GDPR, SOX, PCI-DSS 등의 규정 준수가 필수적이다. 자동화된 코드형 정책은 이 같은 규정을 모든 자동화된 프로세스에서 일관되게 적용하는 것을 돕고 문제의 신속한 해결할 수 가능케하기 때문에 벌금이나 평판 손상의 잠재적 위험을 줄일 수 있다.

금융 서비스는 민감하고 중요한 데이터를 다룬다. 자동화된 정책은 데이터 암호화나 액세스 제어, 감사 로깅과 같은 보안 조치를 시행할 수 있다. 예를 들어, 알려진 취약점이 있는 애플리케이션이 배포되거나 민감한 데이터가 암호화되지 않은 형식으로 저장되는 것을 방지할 수 있다. 이러한 점검을 자동화함으로써 데이터 유출 및 기타 보안 사고의 리스크를 크게 줄일 수 있다.

수동으로 정책을 적용하는 것은 많은 리소스를 필요로 하며 인적 오류가 발생하기 쉽다. 정책 시행을 자동화하면 일일이 관리 감독할 필요성이 줄고, IT팀이 전략적 업무에 집중할 수 있게 한다. 또한, 통제되지 않은 클라우드 지출이나 규정에 어긋난 리소스 구성과 같은 문제를 줄여 운영 비용을 관리하는 데 도움이 된다.

금융 서비스 산업은 정기적으로 새로운 기술과 비즈니스 모델이 등장하면서 빠르게 진화하고 있다. 자동화된 코드형 정책은 새로운 규정, 기술 및 비즈니스 요구사항에 신속하게 적응할 수 있는 유연성을 제공한다. 정책을 중앙에서 업데이트하고 모든 자동화 워크플로우에 적용할 수 있으므로 조직은 역동적인 환경에서도 민첩성을 유지하고 규정을 준수할 수 있다.

다양한 애플리케이션에 클라우드 서비스를 활용하는 금융 기관의 경우, 자동화된 코드형 정책은 다음과 같은 규칙을 적용할 수 있다. 이 같은 정책 구현을 통해 강력한 보안 태세를 유지하고 비용을 효과적으로 관리하며 업계 표준을 준수할 수 있다.

-인스턴스 관리: 생성할 수 있는 클라우드 인스턴스의 유형과 크기를 제한하여 불필요한 비용 발생을 방지할 수 있다.

-액세스 제어: 퍼블릭 액세스 포인트를 보호하고 액세스 제어에 대한 모든 변경 사항이 기록되고 승인되도록 한다.

-소프트웨어 배포: 승인 및 테스트를 거친 소프트웨어 버전만 배포하도록 의무화하여 보안성과 안전성을 강화한다.

레드햇은 금융 기관에서 자동화된 코드형 정책을 시작하기 위해서는 다음과 같은 사항을 고려해야 한다고 말한다.

1. 주요 정책을 식별: 보안, 규정 준수 및 비용 관리 등에 가장 크게 영향을 미치는 중요한 정책부터 시작한다.

2. 기존 도구를 활용: 레드햇 앤서블 자동화 플랫폼과 같은 플랫폼을 활용하여 자동화된 코드형 정책 프로세스를 간소화한다.

3. 작게 시작하고, 크게 생각하기: 관리가 쉬운 작은 범위서부터 시작하고, 전문 지식과 자신감이 쌓임에 따라 범위를 점차 확장한다.

자동화된 코드형 정책은 단순히 기술적 발전에 그치는 것이 아니라 금융 서비스 업계가 규정 준수와 보안 및 운영 효율성을 강화하기 위해 필수적으로 고려해야 할 전략적 과제다. 정책을 자동화 워크플로우에 포함함으로써, 금융 기관은 현대 규제 환경의 복잡성에 보다 자신감 있고 민첩하게 대처할 수 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★