FinServ 규정 준수는 소프트웨어 보안에 따라 달라집니다

금융 서비스 기관은 사용하는 소프트웨어 코드의 보안을 보장해야 할 강력한 이유를 가지고 있습니다.물론 보안 침해로부터 데이터를 보호해야 한다는 것이 분명한 동기로 작용하는데, 이러한 침해로 인해 PII 유출, 정리 비용, 벌금 및 배상, 조직의 평판 훼손 등 많은 비용이 들 수 있습니다.계속되는 또 다른 이유는 다양한 업계 및 정부 규정을 지속적으로 준수해야 하기 때문입니다.

금융 서비스는 사람들의 돈뿐만 아니라 민감한 개인 정보 및 금융 정보를 다루기 때문에 규제가 엄격한 산업입니다.제공하는 서비스에 따라 기업은 다양한 규칙과 요구 사항을 준수해야 합니다.

예를 들어, 결제 카드 산업 데이터 보안 표준 (PCI DSS) 은 카드 소지자 데이터 보호에 관한 규칙으로 잘 알려져 있습니다.의 요구 사항 사베인즈-옥슬리 법 재무 기록 관리를 관리합니다.국제적으로 사업을 운영하는 회사는 다음 사항을 잘 알고 있습니다. 디지털 운영 레질리언스 법 구속력 있는 위험 관리 프레임워크인 (DORA) 및 이에 의해 제정된 자금 이체에 대한 글로벌 표준 전 세계 은행 간 금융 통신 협회스위프트로 알려져 있습니다.

그리고 다음과 같은 법률 캘리포니아 소비자 개인정보 보호법 (CCPA) 및 유럽 연합 일반 데이터 보호 규정 (GDPR) 은 고객의 개인 정보 보호 및 개인 정보를 보호하기 위한 요구 사항을 설정합니다.미국 통화감사관 (OCC) 과 유럽중앙은행 (ECB) 에서 정한 규정 등 다른 규정도 있습니다.

그것으로 충분하지 않다면 국가 사이버 보안 전략 비효율적인 소프트웨어 보안에 대해 소프트웨어 제조사가 책임을 져야한다고 명시하고 있습니다.그리고 사이버 보안 및 인프라 보안국 (CISA) 은 17개 미국 및 국제 파트너와 함께 다음과 같은 지침을 발표했습니다. 보안을 고려한 설계 소프트웨어 개발 원칙.

금융 서비스 회사의 공통점은 보안 코드가 규정 준수를 더 쉽게 입증하는 데 도움이 될 수 있는 이러한 규정의 목표를 달성하는 데 도움이 되는 중요한 요소라는 것입니다.또한 개발 프로세스를 시작할 때 코드에 보안이 적용되도록 개발자에게 교육과 기술 향상이 필요한 이유를 잘 보여줍니다.

작동 방식의 예로 PCI DSS의 최신 버전을 살펴보겠습니다.

보안 코딩 (및 개발자 교육) 은 PCI DSS 4.0의 핵심입니다.

피시 DSS 4.02024년 4월 1일부로 의무화된 이 업데이트에는 PCI DSS 3.2.1에 대한 몇 가지 중요한 업데이트가 포함되어 있습니다. 특히 소프트웨어 코드의 보안을 보장하는 데 있어 개발자의 역할에 중점을 두고 있습니다.

PCI는 과거에 보안 소프트웨어의 중요성을 오랫동안 인식해 왔습니다.2017년에 출시된 버전 2.0에는 다음이 포함됩니다. 개발자를 위한 지침 모바일 장치에서의 안전한 거래 보장에 관한 사항버전 4.0의 지침은 이제 소프트웨어 개발에 보안 모범 사례를 적용하는 것을 강조하고 개발자 교육에 대한 몇 가지 구체적인 지침을 포함합니다.

요구 사항은 광범위하게 언급되는 경우가 많지만 기업에서는 보다 철저한 접근 방식을 원할 수도 있습니다.

예를 들어, 버전 4.0의 요구 사항 중 하나는 “보안 시스템 및 소프트웨어를 개발하고 유지하기 위한 프로세스와 메커니즘을 정의하고 이해한다”고 명시하고 있습니다.개발자들이 지식 격차를 해소하기 위해 사용 중인 프로그래밍 언어와 프레임워크에 대한 정확한 교육을 받는 것이 이러한 요구 사항이 사실인지 확인하는 좋은 방법입니다.

또 다른 요구 사항으로는 맞춤형 소프트웨어 및 맞춤형 소프트웨어를 개발하는 개발자는 최소 12개월에 한 번씩 다음을 포함하는 교육을 받아야 한다는 것입니다.

• 직무 및 개발 언어와 관련된 소프트웨어 보안
• 안전한 소프트웨어 설계 및 코딩 기법
• 보안 테스트 도구 (사용 중인 경우) 를 사용하여 소프트웨어의 취약점을 탐지하는 방법.

하지만 실제로 1년에 한 번은 핵심 보안 문제를 해결하고 잘못된 코딩 습관을 깨기에 충분하지 않습니다.교육이 제대로 활용되고 있는지 확인하기 위한 기술 검증 프로세스를 통해 지속적이고 측정된 교육을 실시해야 합니다.

PCI DSS 4.0에는 다양한 유형의 공격 방지 및 완화, 타사 소프트웨어 구성 요소 문서화, 취약성 식별 및 관리, 기타 보안 단계와 같은 영역을 다루는 6가지 이상의 기타 요구 사항이 포함되어 있습니다.모든 경우에 조직은 이러한 조치를 철저히 추진하는 것이 현명할 것입니다.공격 벡터에 대한 교육은 매년 하는 것이 아니라 자주 실시해야 합니다.취약점의 원인이 되는 경우가 많은 타사 구성 요소는 SBOM (소프트웨어 재료 명세서) 프로그램을 통해 주의 깊게 인벤토리를 작성해야 합니다.또한 조직은 취약성 관리를 위한 역할을 명확하게 정의해야 합니다.

또한 새 버전을 통해 조직은 인증 제어, 암호 길이, 공유 계정 및 기타 요소에 대한 새로운 요구 사항을 추가하면서 확인란이 아닌 결과에 초점을 맞춰 요구 사항을 충족할 수 있는 유연성을 확보할 수 있습니다.

규정 준수는 SDLC 초반부터 시작됩니다.

이러한 규정의 공통점은 금융 서비스 업계의 데이터 및 거래를 보호하기 위한 높은 기준을 설정하려고 한다는 것입니다.또한 최신 PCI DSS 버전의 경우와 마찬가지로 소프트웨어 개발 수명 주기 (SDLC) 초기에 보안 코드의 중요성을 점점 더 강조하고 있습니다.국가 사이버 보안 전략과 CISA의 Secure by Design 원칙에도 보안에 대한 책임을 소프트웨어가 출하되기 전에 소프트웨어 제조업체에 맡기므로 금융 서비스 규정의 직접적인 적용을 받지 않는 회사도 이를 준수해야 합니다.

조직은 접근 방식에 보안을 내재하도록 개발자를 교육하여 개발 속도에 중점을 둔 DevOps 팀과 프로세스에 보안을 도입하기 위해 서두르는 AppSec 팀 간의 격차를 해소해야 합니다.하지만 이를 위해서는 1년 이상의 교육 세션이나 정체된 표준 교육 프로그램이 제공할 수 있는 복잡한 기술이 필요합니다.교육은 지속적이고 민첩해야 하며, 능동적인 실제 시나리오를 통해 학습자의 참여를 유도할 수 있도록 구성되고 학습 일정에 맞게 소규모로 진행되어야 합니다.

금융 서비스 회사는 보안 침해를 방지하고 점점 더 엄격해지는 규정을 준수하기 위해 보안을 보장해야 합니다.규정 미준수로 인한 비용은 회사의 평판에 미치는 영향과 금전적 비용 측면에서 규정 위반만큼이나 큰 피해를 줄 수 있습니다.IBM의 데이터 침해 비용 보고서 2023예를 들어, 규정 위반 수준이 높은 조직의 경우 평균적으로 총 505만 달러 (50만 달러) 의 벌금 및 기타 비용에 직면한 것으로 나타났습니다. 더 실제 데이터 침해로 인한 평균 비용보다 높습니다.

클라우드 기반 환경과 디지털 거래의 지속적인 성장으로 인해 금융 서비스 산업에서 소프트웨어 보안이 무엇보다 중요해졌으며, 이는 PCI DSS와 같은 규정에서도 인정하고 있습니다.소프트웨어 보안을 보장하는 가장 좋은 방법은 SDLC 시작 시 보안 코딩을 사용하는 것입니다.이를 달성하는 방법은 개발자들에게 보안 코딩 실습을 효과적으로 교육하는 것입니다.

보안 코딩이 금융 서비스 회사의 성공, 보안 및 수익을 보장하는 데 어떻게 도움이 되는지에 대한 포괄적인 개요를 보려면 새로 출시된 Secure Code Warrior 전자책을 읽어보세요. 금융 서비스의 보안 동향에 대한 궁극적인 가이드.

확인해 보세요 시큐어 코드 워리어 블로그 페이지에서는 점점 더 위험해지는 위협 환경인 사이버 보안에 대해 자세히 알아보고, 혁신적인 기술과 교육을 활용하여 조직과 고객을 더 잘 보호할 수 있는 방법을 알아보십시오.

‍