정보기술 시스템 제공에 대한 지침(แม्ปฏ้บ्तต้ใมฃม้ม्่ะบบ ทคโ้มโมโ้ม้ม्ะ บบ ทคโ้มโ้ม้ม่ ทคโ้มโมโ้ม้ ้ ม้มม่ มทศ ्ป. 6/2567)은 태국 증권거래위원회(SEC)에서 발행한 것으로, 금융기관, 증권사 및 기타 규제 대상 기관이 안전하고 신뢰할 수 있으며 효율적인 IT 시스템을 유지하도록 설계되었습니다. 이 지침은 태국의 광범위한 규제 프레임워크의 일부로, 자본 시장의 사이버보안, 데이터 보호, 운영 탄력성 강화를 목표로 합니다.
태국 증권거래위원회(SEC)의 IT 시스템 제공 지침은 무엇인가요?
- 태국 증권거래위원회(SEC)는 금융 서비스 제공업체의 IT 거버넌스를 포함하여 증권 및 자본 시장 운영을 감독합니다.
- 이 지침은 태국 사이버보안법 BE 2562(2019) 및 개인정보 보호법(PDPA)에 근거합니다.
- IT 시스템 장애, 사이버 위협, 데이터 침해와 관련된 위험을 완화합니다.
- 재무 데이터의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability), 즉 CIA 3원칙을 보장합니다.
- 사업 연속성과 재해 복구 대비를 촉진합니다.
- 증권사, 자산 관리자, 크라우드펀딩 플랫폼 및 기타 SEC 규제 대상 기관에 적용됩니다.
- IT 인프라, 소프트웨어, 네트워크, 클라우드 서비스, 제3자 아웃소싱을 다룹니다.
규제 준수 요약
SEC의 IT 시스템 제공 지침 준수 보장
정보기술 보안 등을 포함한 금융 부문의 정보기술 위험 관리 지침 준수를 위한 솔루션을 살펴보세요.
태국 SEC의 IT 시스템 제공 지침에 대한 탈레스의 지원 방식
탈레스의 사이버보안 솔루션은 규정 준수를 간소화하고 가시성과 제어를 통해 보안을 자동화함으로써 금융 기관이 '2장 - 정보기술 보안의 6가지 요건'을 충족하도록 돕고, 보안 및 규정 준수 팀의 부담을 줄입니다.
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 당사 제품군은 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격에 대한 보호 기능을 포함합니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 당사 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내·외부 사용자의 액세스를 제한하여, 적절한 사용자가 적시에 적절한 리소스에 대한 액세스 권한을 받을 수 있도록 지원합니다.
SEC의 IT 시스템 제공 지침 준수
탈레스의 지원 방식:
- 역할 기반 권한 부여(RBAC) 및 조건부 권한 부여(ABAC)를 지원하여 시스템 및 데이터 액세스 권한(액세스 제어)을 관리합니다.
- 감사 추적을 통해 권한을 신속하게 부여하거나 철회할 수 있는 위임 사용자 관리 기능을 제공합니다.
- 다중 인증(MFA)을 지원하여 사용자 인증 프로세스를 관리합니다.
- 싱글사인온(SSO)을 제공하고 로그인 활동 보고서로 표시하여 보안 요건을 준수합니다.
- 주요 시스템 액세스 시 다중 인증(MFA)을 시행하여 특권 사용자 계정을 제어하고 관리합니다.
- 특권 사용자 계정에 대한 설계 승인 및 승인 절차(사용자 여정 오케스트레이션)를 수행하고, 상세한 감사 작업을 위해 특권 사용자 활동 보고서로 저장 및 표시합니다.
- 소셜 미디어나 기존 조직 계정(BYOI)을 통한 인증을 지원하여 외부 액세스(제3자 액세스 관리)를 관리하고 제어합니다.
- 로그인 전에 위험을 평가하고 실시간으로 접근 위험을 확인합니다(위험 기반 인증). 여기에는 지속적인 모니터링, 감사 및 감독을 가능하게 하는 제3자 접근 감사 보고서로 표시하는 것도 포함됩니다.
탈레스의 지원 방식:
- 하이브리드 IT 전반에서 위험에 노출된 정형·비정형 민감 데이터를 식별합니다.
- 다양한 유형의 데이터 세트에 대한 데이터 저장소와 분류 프로필을 정의할 때, 데이터에 대한 특정 민감도 수준을 분류하고 할당합니다.
- 모든 공개, 비공개, 섀도 API에 대한 잠재적 위험을 발견하고 분류합니다.
탈레스의 지원 방식:
- 웹 애플리케이션 방화벽으로 사이버 위협을 탐지하고 예방하여, 원활하게 운영하고 안심할 수 있는 환경을 보장합니다.
- 합법적인 트래픽은 계속 허용하면서, DDoS 공격과 악성 봇으로부터 중요한 네트워크 자산을 보호합니다.
- 빠르고 효과적인 DDoS 방어 기능과 계층 3 및 계층 4 공격에 대한 3초 SLA로 가동 시간을 제공합니다.
- 비즈니스 로직 공격과 OWASP API의 10대 위협 요소를 비롯한 여러 위협으로부터 보호를 제공합니다.
- 모든 공개, 비공개, 섀도 API를 탐지하기 위한 심층 검색 및 분류 기능을 사용하여 모든 API에 대한 지속적인 보호를 제공합니다.
- 현재 규제 준수 상태를 파악하고 미비점을 문서화합니다.
- 온프레미스, 클라우드, 빅데이터 또는 컨테이너 환경에서 저장된 데이터를 암호화합니다.
- 민감한 데이터는 생성 후 익명화하고, 일반 텍스트 데이터가 무단으로 처리되거나 저장되지 않도록 하여 실제 데이터 애플리케이션과 인력이 노출되는 것을 방지합니다.
- FIPS140-3 레벨 3, 즉 고도로 안전한 환경 내에서 암호화 시스템의 신뢰점을 보호합니다.
- 고속 암호화로 이동 중인 데이터를 보호합니다.
탈레스의 지원 방식:
- 역할 기반 액세스 제어(RBAC) 및 조건부 액세스 제어(ABAC)를 지원하여 시스템 및 데이터 액세스 권한(액세스 제어)을 관리합니다.
- 신속하게 권한을 부여하거나 철회하고 접근 권한 변경에 대한 감사 로그를 생성하여 분산된 사용자 권한(위임 사용자 관리)을 제공합니다.
- 다중 인증, 로그인 전 위험 평가(위험 기반 인증), 로그인 활동 보고서의 감사 추적 보고서를 통한 싱글사인온(SSO)을 지원하여 사용자 인증 프로세스를 제공합니다.
- 주요 시스템 시 다중 인증을 시행하여 특권 사용자 계정을 제어하고 관리합니다.
- 특권 사용자 계정에 대한 설계 승인 및 승인 절차(사용자 여정 오케스트레이션)와 상세한 감사 보고서를 제공합니다.
- 필요에 따라 IT 액세스 로그를 저장 및 감사하고, 외부 SIEM 시스템으로 로그를 스트리밍하여 상관관계, 위험 분석 및 사후 감사 작업을 할 수 있습니다.
- 기기 바인딩이나 생체 인증과 같이 MFA에 상응하는 인증 프로세스를 사용합니다.
- 예외를 승인하기 전에 위험 평가를 수행하고 예외 승인 보고서의 형태로 예외에 대한 증거를 보관하여 정책을 준수합니다.
탈레스의 지원 방식:
- FIPS 인증을 받은 변조 방지 하드웨어에서 암호키를 보호합니다.
- 일회용 AES 256 키로 키를 암호화하고 상호 인증된 TLS 연결을 통해 전송합니다.
- 물리, 가상 및 클라우드 환경에서 사용자와 프로세스의 무단 액세스를 방지하는 투명하고 지속적인 암호화를 채택합니다.
- 데이터 암호화에는 고급 암호화 표준(AES), 키 교환을 위해서는 타원 곡선 암호화(ECC)와 같이 강력한 표준 기반의 암호화 프로토콜을 적용합니다.
탈레스의 지원 방식:
- 고급 암호화 표준(AES) 256비트, RSA 3072비트와 같은 암호화 알고리즘을 지원하며 암호화 민첩성을 유지할 수 있도록 포스트 퀀텀 업그레이드에 적합하게 설계되었습니다.
- 암호키를 관리하고, 세분화된 액세스 제어를 제공하며, 보안 정책을 구성합니다.
- 생성, 교체, 파기, 가져오기 및 내보내기를 포함한 주요 수명 주기 관리 작업을 중앙에서 관리합니다.
- CipherTrust 관리자에서 키를 제거하고 모든 데이터 인스턴스를 디지털 방식으로 파기하여 안전한 삭제를 보장합니다.
- FIPS 140-3 레벨 3 환경에서 암호키를 보호합니다.
- FIPS 140-3 레벨3 인증을 받은 백업 HSM에 민감한 암호키를 안전하게 백업하고 복제합니다.
- 모든 기밀과 민감한 자격 증명을 관리하고 보호합니다.
탈레스의 지원 방식:
- 암호키를 해당 클라우드 외부에 안전하게 저장하여 데이터와 외부 당사자 및 클라우드 서비스 제공업체(CSP) 간의 업무 분리를 강화합니다.
- 프로세스와 도구를 사용하여 클라우드 및 하이브리드 환경 전반에서 주요 수명 주기 관리를 자동화합니다.
- 공급업체, 파트너 또는 제3자 사용자와의 관계 관리를 활성화하고, 액세스 권한을 명확하게 위임합니다.
- 관계 기반의 세분화된 권한 부여를 사용하여 권한을 최소화합니다.
탈레스의 지원 방식:
- 웹 애플리케이션 방화벽으로 사이버 위협을 탐지하고 예방하여, 원활하게 운영하고 안심할 수 있는 환경을 보장합니다.
- 합법적인 트래픽은 계속 허용하면서 DDoS 공격과 악성 봇으로부터 ICT 네트워크 성능과 무결성을 보호합니다.
탈레스의 지원 방식:
- 다중 인증(MFA) 및 위험 기반 인증을 지원하여 외부 네트워크(원격 근무)에서 IT 시스템에 대한 액세스를 제어하고 관리합니다.
- 특권 사용자가 외부 네트워크에서 연결을 승인하고 원격 액세스 활동 보고서로 결과를 표시하도록 정책을 설정합니다.
- 보안 패치 설치 및 기기 설정을 확인하고, 바이러스 백신 및 악성 프로그램 정책을 시행하는 등 휴대 기기에 대한 액세스 정책을 관리합니다.
- 직원이 BYOD를 사용할 수 있는 경우 IT 시스템에 대한 액세스를 허용하기 전에 기기를 확인합니다. 예를 들어 루팅 또는 탈옥된 장치에서의 연결을 차단하고 개인 기기에서 위협을 방지하기 위해 업데이트된 악성 코드 방지 프로그램을 강제로 설치합니다.
탈레스의 지원 방식:
- 감사 로그 사용 데이터를 기록하고 사용 데이터를 SIEM 시스템으로 전송합니다.
탈레스의 지원 방식:
- 다중 인증 및 싱글사인온(SSO)을 지원하고 액세스 로그 보고서를 표시하여 인증 및 액세스 제어를 관리합니다.
- 데이터베이스 시스템에 대한 액세스를 기록하고 데이터베이스 시스템에 대한 로그인 시도를 감지합니다.
- 다중 인증을 지원하고 보고서 표시 기능이 있는 액세스 로그를 저장하여 인증 및 액세스 제어를 관리합니다.
- 데이터베이스 구조(데이터베이스 스키마 로그)와 중요 테이블의 데이터에 대한 변경 사항을 캡처하여 액세스 로그 테이블과 보고서로 표시할 수 있습니다.
- 모든 시스템에 대한 모든 액세스 이벤트의 감사 추적 및 보고서를 생성하고 외부 SIEM 시스템에 로그를 스트리밍합니다.
- 액세스 권한 관리(외부 승인) 및 감사 추적 보고서를 지원하여 전자 통신 채널에 대한 액세스를 제어하고 감사 기능을 제공합니다.
탈레스의 지원 방식:
- 사용자의 위험 수준에 맞게 상황에 맞는 액세스 정책(적응형 액세스 제어) 설정을 지원하여 개인 정보에 대한 액세스를 제어하고 감사할 수 있도록 지원합니다(개인 정보 액세스 제어).
- 민감한 개인 정보에 접근하거나 새로운 기기 또는 위치에서 접속하는 사용자에게 다중 인증(MFA)을 적용합니다.
- 업무 시간 외에 또는 신뢰할 수 없는 네트워크를 통해 민감한 데이터에 접근하는 경우를 대비해 방지 정책(액세스 정책)을 설정합니다.
- 비정상적인 접근 시도가 발견되면 이를 감지하고 관리자에게 경고하여 관리자가 신속하게 대응할 수 있도록 합니다.
- 사고 발생 시 감사 및 조사 활동을 위해 모든 액세스에 대한 감사 추적 보고서 작성을 지원합니다.
탈레스의 지원 방식:
- 역할 및 조직 정책에 따라 권한이 부여된 사람에게만 시스템 로그에 대한 액세스 권한을 설정합니다(역할 기반 액세스 제어).
- 감사를 위해 로그 액세스 지정 작업을 상세히 제어합니다.
- 보안을 강화하기 위해 로그에 액세스해야 하는 관리자에게 다중 인증(MFA)을 적용합니다.
- 적응형 접근 제어 통해 엄격한 감사 로그 접근 권한을 제공하여 무단 접근을 방지하고 사후 감사 작업을 위한 감사 추적 기록을 생성합니다.
탈레스의 지원 방식:
- 웹 애플리케이션 방화벽, API 보안, 데이터베이스 보안을 통해 시스템 위협을 감지하고 SIEM 시스템으로 로그를 스트리밍합니다.
- API 활동을 모니터링하고, 사용 정보를 추적하고, 이상 상태를 감지하며, 잠재적인 무단 액세스 시도를 식별합니다.
- 합법적인 트래픽은 계속 허용하면서, DDoS 공격과 악성 봇으로부터 중요한 네트워크 자산을 보호합니다.
- 위험 평가에 따라 상황에 맞는 보안 조치를 적용합니다.
탈레스의 지원 방식:
- 데이터베이스 공격과 비정상적인 액세스 요청을 실시간으로 경고하거나 차단합니다.
- 시간 경과에 따른 파일 활동을 모니터링하여 금융 기관을 위험에 노출할 수 있는 활동에 대한 알림을 설정합니다.
- 비정상적인 I/O 활동이 있는지 프로세스를 지속적으로 모니터링하고 악성 활동을 경고하거나 차단합니다.
- 활성 프로세스를 모니터링하여 과도한 데이터 액세스, 데이터 유출, 무단 암호화 또는 악의적인 사용자 사칭과 같은 활동을 식별하고 이러한 활동이 감지되면 경고 및 차단합니다.
탈레스의 지원 방식:
- 잠재적인 취약점에 대한 방어력을 강화할 수 있도록 고급 API 검증 기능을 제공합니다.
탈레스의 지원 방식:
- MySQL 등의 데이터 저장소에서 평가 테스트를 실행하여 알려진 취약점을 스캔합니다.
- CIS 및 PCI-DSS 벤치마크를 기반으로 하며 사전 정의된 취약성 테스트 1,500여 종으로 데이터베이스를 스캔하여 최신 위협으로부터 데이터베이스를 보호할 수 있습니다.
탈레스의 지원 방식:
- 클라우드 호스팅 데이터를 보호하는 암호키에 대한 온프레미스 제어를 유지하여 제3자로 인한 위험을 줄입니다.
- 클라우드 제공업체 관리자와 조직 간의 역할을 완전히 분리하고 중요한 데이터에 대한 액세스를 제한하세요.
- 원치 않는 활동으로 인해 공급망 활동이 중단되는 것을 감지 및 방지할 수 있도록 이상 징후를 모니터링하고 경고합니다.
- 공급업체, 파트너 또는 제3자 사용자와의 관계 관리를 활성화하고, 액세스 권한을 명확하게 위임합니다.
- 관계 기반의 세분화된 권한 부여를 사용하여 권한을 최소화합니다.
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.