탈레스는 다음과 같은 방법으로 조직을 지원합니다.
- 위험 평가를 위한 민감한 데이터 식별 및 분류
- 저장 중, 사용 중, 이동 중 데이터 보호
- 민감한 데이터, 시스템 및 애플리케이션에 대한 액세스 보호
- 암호키 보호 및 강력한 다중 인증 구현
- 비정상적인 활동 감지 및 사용자 활동 모니터링
디지털 운영 복원력 법(DORA) 규정 준수
유럽 이사회는 사이버 공격에 대한 금융기관의 복원력을 강화하기 위해 2022년 11월 디지털 운영 복원력 법(DORA)을 채택했습니다. DORA는 금융 부문에서 운영되는 조직의 정보 시스템 및 네트워크와 ICT(정보 통신 기술) 관련 서비스를 제공하는 중요한 제3자 제공업체의 보안에 대한 유럽연합의 요건을 간소화하고 조화시킴으로써 이를 수행합니다.
DORA 법안의 주요 골자는 다음과 같습니다.
- ICT 위험 관리
- ICT 관련 사고 관리, 분류 및 보고
- 디지털 운영 복원력 테스트
- ICT 제3자 위험 관리
- 정보 공유 방안
어떤 회사가 DORA의 적용을 받나요?
DORA는 은행, 신용 기관, 결제 기관, 전자 화폐 기관, 투자 회사, 암호화 자산 서비스 제공자 등 광범위한 금융 서비스 제공자에게 적용됩니다. 하지만 중요한 것은 DORA가 금융 기관에 제공되는 중요한 ICT 서비스를 정의한다는 점입니다. 조직이 금융 기관에 중요한 ICT 서비스를 제공하는 경우, DORA 프레임워크에 따라 직접적인 규제 감독을 받게 됩니다. 예를 들어 클라우드 플랫폼과 데이터 분석 서비스 등이 여기에 포함됩니다.
DORA는 언제 시행되나요?
DORA는 2023년 1월 16일에 발효되며 시행 기간은 2년입니다. 금융 기관과 해당 금융 기관의 ICT 공급업체 및 서비스 제공업체는 2025년 1월 17일까지 규정을 준수해야 합니다.
DORA 규정 미준수에 대한 처벌은 어떻게 됩니까?
법의 요건을 위반한 사실이 적발된 법인은 전 세계 연간 총 매출액의 최대 2% 또는 개인의 경우 최대 1,000,000유로의 벌금이 부과될 수 있습니다. 벌금 금액은 위반의 심각성과 금융회사의 당국에 대한 협조 여부에 따라 달라집니다.
탈레스가 조직을 돕는 방법
ICT 위험 관리
DORA는 성숙한 위험 관리 프로그램을 구축하고 운영 탄력성을 개선하는 데 도움이 되는 위험 관리 프레임워크와 지침을 제시합니다.
DORA 요건:
조항 8.1:
"...정보 자산을 식별, 분류 및 적절하게 문서화..."
탈레스 솔루션:
CipherTrust Data Discovery and Classification은 온프레미스 및 클라우드에서 구조화 및 비구조화된 민감한 데이터를 식별합니다. 기본 제공 템플릿으로 규제 대상 데이터를 신속하게 식별하고, 보안 위험을 강조하며, 규정 준수 격차를 발견할 수 있습니다.
조항 9.2:
"...저장 중이거나 사용 중이거나 전송 중인 데이터에 대해 높은 수준의 가용성, 신뢰성, 무결성 및 기밀성을 유지한다."
저장 중 데이터 보호:
CipherTrust Data Security Platform은 파일, 볼륨, 데이터베이스에 저장 중인 데이터를 보호하기 위한 다양한 기능을 제공합니다. 특히 그 중에서도:
- CipherTrust Transparent Encryption은 중앙 집중식 키 관리 및 권한 있는 사용자 액세스 제어를 통해 저장 데이터 암호화를 제공합니다. 이를 통해 온프레미스 환경이나 멀티 클라우드 환경, 빅데이터 및 컨테이너 환경 등 데이터 위치가 어디든지 보호할 수 있습니다.
- CipherTrust Tokenization을 사용하면 데이터베이스의 민감한 정보를 가명화하면서 총체적인 분석 기능을 유지할 수 있습니다.
이동 중 데이터 보호:
탈레스 고속 암호 생성기(High Speed Encryptor, HSE)는 네트워크에 의존하지 않는 이동 데이터 암호화(계층 2, 3, 4)를 제공하여, 사이트 간 데이터 이동 시 또는 온프레미스에서 클라우드로 데이터를 이동할 때 데이터를 안전하게 보호합니다. 당사의 네트워크 암호화 솔루션을 통해 고객은 성능 저하 없이 데이터, 비디오, 음성, 메타데이터를 도청, 감시, 공개 및 은밀한 가로채기로부터 더욱 효과적으로 보호할 수 있습니다. 탈레스 HSE는 물리적 어플라이언스와 가상 어플라이언스로 모두 제공되며, 10Mbps부터 100Gbps까지 광범위한 네트워크 속도를 지원합니다.
조항 9.3, b:
"...데이터의 손상 또는 손실, 무단 액세스 및 기술적 결함의 위험을 최소화한다..."
탈레스 OneWelcome ID 및 액세스 관리 제품 및 솔루션은 역할과 상황에 따라 내부 및 외부 사용자의 액세스를 제한합니다. 강력한 인증(MFA)을 기반으로 세분화된 액세스 정책과 세분화된 권한 부여 정책을 통해 적절한 사용자에게 적절한 리소스에 대한 액세스 권한을 적시에 부여하여 무단 액세스의 위험을 최소화할 수 있습니다.
조항 9.4, c:
"...ICT 시스템 리소스 및 데이터에 대한 물리적 및 가상 액세스를 합법적이고 승인된 기능 및 활동에만 필요한 것으로 제한하는 정책을 구현하고..."
탈레스 OneWelcome ID 플랫폼을 사용하여 조직은 MFA(피싱 방지 인증 포함) 및 세분화된 액세스 정책을 사용하여 기밀 리소스에 대한 액세스를 가상으로(또는 논리적으로) 제한할 수 있습니다. 민감한 시설에 대한 물리적 액세스를 구현하는 데 SafeNet IDPrime 스마트카드를 활용할 수 있습니다.
탈레스 OneWelcome 동의 및 기본 설정 관리 모듈을 통해 조직은 최종 소비자의 동의를 수집하여 금융 기관이 동의한 데이터에 대한 명확한 가시성을 확보함으로써 활용이 허용된 데이터에 대한 액세스를 관리할 수 있습니다.
조항 9.4, d:
"...강력한 인증 메커니즘..."
"...데이터를 암호화하는 암호키의 보호조치."
SafeNet Trusted Access는 클라우드 기반 액세스 관리 솔루션으로 싱글 사인온, 다중 인증(MFA), 시나리오 기반 액세스 정책을 결합한 통합 플랫폼으로 클라우드 서비스와 엔터프라이즈 애플리케이션에 대한 액세스를 모두 쉽게 관리할 수 있도록 지원합니다.
탈레스 키 관리 제품은 클라우드 환경과 엔터프라이즈 환경에서 다양한 사용 사례에 대한 키 관리 작업을 간소화하고 강화합니다.
하드웨어 보안 모듈(HSM)은 암호키를 보호하고 안전한 암호화 처리, 키 생성 및 보호, 암호화 등을 위한 FIPS 140-2 레벨 3의 강화된 변조 방지 환경을 제공합니다.
조항 10.1:
"...비정상적인 활동 감지... 사용자 활동 모니터링..."
CipherTrust Transparent Encryption 보안 인텔리전스 로그 및 보고서는 주요 보안 정보 및 외부 SIEM 시스템을 사용하여 규정 준수 보고를 간소화하고 위협 탐지 속도를 높입니다.
CipherTrust Transparent Encryption Ransomware Protection 확장 프로그램은 랜섬웨어 식별 활동(과도한 데이터 액세스, 유출, 무단 암호화 또는 악의적인 작업을 통한 사칭)을 탐지합니다.
SafeNet Trusted Access는 모든 시스템에 대한 모든 액세스 이벤트에 대한 즉각적인 최신 감사 추적을 제공함으로써 조직이 데이터 유출에 대응하고 위험을 완화할 수 있도록 지원합니다.
ICT 제3자 리스크 관리
DORA는 ICT 제3자 서비스 제공업체 리스크 관리의 필요성과 금융 기관의 "출구 전략"의 필요성을 강조합니다.
탈레스는 키 관리 및 암호화를 활용하여 금융 기관과 제3자 제공업체 간의 엄격한 업무 분리를 시행하고 필요한 경우 다른 제공업체로 워크로드의 이동성을 유지함으로써 조직이 제3자 리스크를 줄일 수 있도록 지원합니다.
조항 28.8:
"핵심적이거나 중요한 기능을 지원하는 ICT[제3자] 서비스의 경우 금융 기관은 출구 전략을 마련해야 합니다."
"...데이터를 암호화하는 암호키의 보호조치."
CipherTrust Cloud Key Manager는 제3자 클라우드 제공업체가 'BYOK(Bring Your Own Key)' 시스템에서 호스팅하는 민감한 데이터를 보호하는 키를 금융 기관의 완전한 통제 하에 온프레미스로 유지함으로써 제3자 위험을 줄일 수 있습니다.
CipherTrust Transparent Encryption은 권한이 있는 사용자와 프로세스만 암호화되지 않은 데이터를 볼 수 있는 관리 역할을 완벽하게 분리합니다.
탈레스 데이터 보안 솔루션은 고가용성 및 백업을 기본으로 제공하는 탈레스 Data Protection On Demand(DPoD)부터 클라우드 기반 Luna Cloud HSM 및 CipherTrust 키 관리 서비스, 제로화 옵션을 제공하는 HSE 네트워크 암호화 어플라이언스까지 가장 포괄적인 데이터 보호 기능을 제공합니다.
관련 자료
Data Security Compliance with the Digital Operational Resilience Act (DORA) - Solution Brief
Thales helps organizations comply with DORA by addressing essential requirements for risk management and managing third party risk. Thales helps organizations by: Identifying and classifying sensitive data for risk assessment Protecting data at rest, in use, and in motion...
Data Security Compliance and Regulations - eBook
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
기타 주요 데이터 보호 및 보안 지침
GDPR
규제
활성화하기
아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.
PCI DSS
규정
활성화하기
신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.
데이터 침해 통지법
규제
활성화하기
개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.
