태국 중앙은행(BOT)의 정보기술 위험 관리 지침(แนวปฏิบัติในการบริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศ)은 2023년 11월 개정되어 진화하는 사이버 보안 위협, 디지털 전환 위험 및 규제 준수 요건을 다루고 있으며, 태국 금융 기관을 대상으로 합니다. 개정된 지침에는 모바일 뱅킹 채널을 지원하는 시스템 유지 관리, 30일 이내에 BOT에 IT 위험 자체 평가 보고, IT 위험 관리 구현 및 제3자 위험 관리에 대한 가이드라인 제출 등이 포함됩니다.
규제 준수 요약
태국 중앙은행(BOT)의 IT 위험 관리 지침 준수
탈레스의 종합 솔루션을 통해 금융 기관이 정보기술 위험 관리 지침을 준수하는 방법을 알아보고 요건에 대해 자세히 알아보세요.
태국 중앙은행(BOT)의 IT 위험 관리 지침에 대한 탈레스의 지원 방식
탈레스의 사이버보안 솔루션은 규정 준수를 간소화하고 가시성과 제어를 통해 보안을 자동화함으로써 금융 기관이 '2장 - 정보기술 보안의 8가지 요건'을 충족하도록 돕고, 보안 및 규정 준수 팀의 부담을 줄입니다.
BOT 규정 준수 솔루션
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 당사 제품군은 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격에 대한 보호 기능을 포함합니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 당사 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내·외부 사용자의 액세스를 제한하여, 적절한 사용자가 적시에 적절한 리소스에 대한 액세스 권한을 받을 수 있도록 지원합니다.
BOT – IT 위험 관리 지침의 요건 충족
탈레스의 지원 방식:
- 다양한 유형의 데이터 세트에 대한 데이터 저장소와 분류 프로필을 정의할 때, 데이터에 대한 특정 민감도 수준을 분류하고 할당합니다.
- 현재 규제 준수 상태를 파악하고 미비점을 문서화합니다.
- 모든 공개, 비공개, 섀도 API에 대한 잠재적 위험을 발견하고 분류합니다.
탈레스의 지원 방식:
- 웹 애플리케이션 방화벽으로 사이버 위협을 탐지하고 예방하여, 원활하게 운영하고 안심할 수 있는 환경을 보장합니다.
- 합법적인 트래픽은 계속 허용하면서, DDoS 공격과 악성 봇으로부터 중요한 네트워크 자산을 보호합니다.
- 더 이상 사용되지 않거나 인증되지 않은 API, BOLA에 취약한 API 및 OWASP API 상위 10대 위협에 대한 기본 감지 및 대응를 통해 통합 보호 기능을 제공하고, 비즈니스 로직 남용 및 API 위협을 실시간으로 차단합니다.
- 모든 공개, 비공개, 섀도 API를 탐지하기 위한 심층 검색 및 분류 기능을 사용하여 모든 API에 대한 지속적인 보호를 제공합니다.
- 온프레미스, 클라우드, 빅데이터 또는 컨테이너 환경에서 저장된 데이터를 암호화합니다.
- 데이터베이스의 민감한 정보를 익명화합니다.
- 고도로 안전한 환경 내에서 암호화 시스템의 신뢰점을 보호합니다.
- 고속 암호화로 이동 중인 데이터를 보호합니다.
- 기밀 컴퓨팅을 활용하여 사용 중인 데이터를 보호합니다.
- 민감한 데이터 활동에 대해 완전한 가시성을 확보하고, 누가 접근 권한이 있는지 추적하고, 그들이 하는 일을 감사하고, 문서화합니다.
탈레스의 지원 방식:
- 생성, 교체, 파기, 가져오기 및 내보내기를 포함한 주요 수명 주기 관리 작업을 중앙에서 관리합니다.
- FIPS 140-2 레벨 3 환경에서 암호키를 보호합니다.
- 고급 암호화 표준(AES) 256비트, RSA 3072비트와 같은 암호화 알고리즘을 지원하며 암호화 민첩성을 유지할 수 있도록 포스트 퀀텀 업그레이드에 적합하게 설계되었습니다.
- 강력한 표준 기반 암호화 프로토콜을 위해 투명한 암호화를 배포합니다.
- 모든 기밀과 민감한 자격 증명을 관리하고 보호합니다.
탈레스의 지원 방식:
- 데이터 암호화에는 고급 암호화 표준(AES), 키 교환을 위해서는 타원 곡선 암호화(ECC)와 같이 강력한 표준 기반의 암호화 프로토콜을 적용합니다.
- FIPS 인증을 받은 변조 방지 하드웨어에서 암호키를 보호합니다.
탈레스의 지원 방식:
- 생성, 교체, 파기, 가져오기 및 내보내기를 포함한 주요 수명 주기 관리 작업을 중앙에서 관리합니다.
- 암호키를 관리하고, 세분화된 액세스 제어를 제공하며, 보안 정책을 구성합니다.
- CipherTrust 관리자에서 키를 제거하고 모든 데이터 인스턴스를 디지털 방식으로 파기하여 안전한 삭제를 보장합니다.
- 고급 암호화 표준(AES) 256비트, RSA 3072비트 등의 암호화 알고리즘을 지원합니다.
- TLS/SSL(상호 인증), PKCS#11, KMIP, REST API(TLS 기반), 타원 곡선 디피-헬만(ECDH), 키 래핑(AES-KW, RSA-KW)과 같은 안전한 키 교환 프로토콜을 제공합니다.
- 강력한 다중 인증으로 HSM에 대한 엄격한 제어를 제공합니다.
- FIPS 140-3 레벨 3 환경에서 암호키를 보호합니다.
- FIPS 140-3 레벨3 인증을 받은 백업 HSM에 민감한 암호키를 안전하게 백업하고 복제합니다.
- 모든 기밀과 민감한 자격 증명을 관리하고 보호합니다.
탈레스의 지원 방식:
- 다중 인증(MFA)를 구현하여 권한이 있는 개인만 시스템에 접근할 수 있도록 합니다.
- 싱글사인온(SSO)을 배포하면 사용자가 한 번의 인증으로 여러 시스템에 안전하게 액세스할 수 있습니다.
- 사용자 역할, 책임 및 위험에 따라 액세스 제어 정책을 설정합니다(적응형 액세스 제어).
- 사후 감사 활동을 지원하기 위해 감사 시스템 접근을 제공하고 사용 데이터(접근 로그)를 저장합니다.
- 더 이상 필요하지 않을 때 자동으로 액세스 권한을 취소합니다(위임된 사용자 관리 및 자동 프로비저닝 해제).
탈레스의 지원 방식:
- 무단 네트워크 액세스를 방지하기 위해 다중 인증(MFA)을 제공합니다.
- 사용자 역할과 위험에 따라 네트워크 액세스 제어 정책을 만듭니다.
- 네트워크 사용 행동을 모니터링하고 분석하여 위험이 발견되면 경고합니다.
- 보안을 위해 네트워크에 액세스해야 하는 외부 사용자 권한을 관리합니다.
탈레스의 지원 방식:
- API 활동을 모니터링하고, 사용 정보를 추적하고, 이상 상태를 감지하며, 잠재적인 무단 액세스 시도를 식별합니다.
- 지속적인 모니터링을 통해 모든 데이터 저장소 활동을 포착하고 분석하여 누가 언제 어떤 데이터에 액세스했는지, 데이터에 어떤 작업을 수행했는지를 보여주는 상세한 감사 추적을 제공합니다.
- 데이터 유형과 사용자 역할에 따라 사용자 권한 관리를 시행하고 감사 추적용 보고서를 생성합니다.
- 감사 목적으로 상세한 데이터 활동을 자동으로 캡처합니다.
- 범죄자의 신원, 세션 세부 정보와 함께 모든 권한 변경 사항을 기록합니다.
탈레스의 지원 방식:
- 실시간 또는 실시간에 가까운 사용자 행동과 상황적 요인에 따라 액세스 권한을 조정합니다.
- 여러 하이브리드 환경에서의 액세스 정책과 시행을 하나의 창으로 일원화합니다.
- 나중에 검토할 수 있도록 특권 사용자(예: 시스템 관리자)의 로그 액세스 및 활동을 제공합니다.
- 특권 사용자의 행동을 분석하고 로그를 감사하여 관리자가 근무 시간 외에 로그인하거나 비정상적인 권한을 수정하는 등의 이상 징후를 찾습니다.
- 권한 요청 및 승인 기록에 대한 워크플로를 만들어 검토 작업을 지원합니다.
탈레스의 지원 방식:
- API 활동을 모니터링하고, 사용 정보를 추적하고, 이상 상태를 감지하며, 잠재적인 무단 액세스 시도를 식별합니다.
- 합법적인 트래픽은 계속 허용하면서, DDoS 공격과 악성 봇으로부터 중요한 네트워크 자산을 보호합니다.
- 데이터베이스 공격과 비정상적인 액세스 요청을 실시간으로 경고하거나 차단합니다.
- 시간 경과에 따른 파일 활동을 모니터링하여 금융 기관을 위험에 노출할 수 있는 활동에 대한 알림을 설정합니다.
- 비정상적인 I/O 활동이 있는지 프로세스를 지속적으로 모니터링하고 악성 활동을 경고하거나 차단합니다.
- 활성 프로세스를 모니터링하여 과도한 데이터 액세스, 데이터 유출, 무단 암호화 또는 악의적인 사용자 사칭과 같은 활동을 식별하고 이러한 활동이 감지되면 경고 및 차단합니다.
- 위험 평가에 따라 상황에 맞는 보안 조치를 적용합니다.
- 여러 하이브리드 환경에서의 액세스 정책과 시행을 하나의 창으로 일원화합니다.
- 데이터/애플리케이션의 민감도에 따라 적응형 인증 정책을 구축 및 배포합니다.
- 새로운 위치나 IP에서 관리자 로그인, 또는 잘못된 시스템 액세스 패턴과 같은 사용자 행동을 모니터링하여 공격을 알리고 방지합니다.
- 사용자 행동 분석(UBA)과 시간/기기/네트워크 등의 컨텍스트를 분석하여 인증을 추가하거나 액세스를 차단할 수 있습니다.
- 관련 당사자의 사고 관리를 알림, 승인 및 확인하는 워크플로를 생성합니다.
솔루션:
애플리케이션 보안
데이터 보안
ID 및 액세스 관리
탈레스의 지원 방식:
- 잠재적인 취약점에 대한 방어력을 강화할 수 있도록 고급 API 검증 기능을 제공합니다.
- MySQL 등의 데이터 저장소에서 평가 테스트를 실행하여 알려진 취약점을 스캔합니다.
- CIS 및 PCI-DSS 벤치마크를 기반으로 하며 사전 정의된 취약성 테스트 1,500여 종으로 데이터베이스를 스캔하여 최신 위협으로부터 데이터베이스를 보호할 수 있습니다.
탈레스의 지원 방식:
- 신원 확인 및 다중 인증(MFA)을 통해 회사 기기와 BYOD 기기 모두에서 시스템에 대한 액세스를 관리합니다.
- 미등록 기기나 고위험 기기의 액세스를 거부하는 등 기기 및 사용자 역할 위험에 따라 상황에 맞는 액세스 정책을 적용하고 시스템 및 데이터 액세스 권한을 제어합니다.
- BYOD 등록, 갱신, 해지를 위한 워크플로를 만듭니다.
- 연결을 허용하기 전에 디지털 인증서나 신뢰할 수 있는 기관을 통해 기기 신원을 확인합니다.
- 루팅/탈옥된 기기와 같이 승인받지 않은 기기를 감지하고 즉시 접근을 차단합니다.
탈레스의 지원 방식:
- 테스트 시 실제 데이터가 노출되는 것을 방지하기 위해 데이터베이스의 민감한 정보를 가명화합니다.
탈레스의 지원 방식:
- 시스템이나 민감한 데이터에 대한 액세스 권한을 부여하기 전에 외부 서비스 제공업체의 신원을 확인하고 검증하여 해당 서비스 제공업체의 신원을 관리합니다.
- 역할과 제공업체의 위험도에 따라 액세스 정책을 시행하여 업무에 필요한 범위로만 액세스를 제한합니다.
- 액세스 권한을 관리하고 특권 사용자 또는 감독자에게 관리 권한을 할당합니다.
- 계약 주기에 따라 외부 서비스 제공업체의 권한을 등록, 확인, 철회하기 위한 워크플로를 생성합니다.
- 사후 감사 활동을 지원하기 위해 외부 서비스 제공업체의 액세스 활동 로그를 추적하고 저장합니다.
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.