FSI 관점: 보안, 개인 정보 보호, 규정 준수

Google Cloud Well-Architected Framework: FSI 관점의 이 문서에서는 Google Cloud에서 금융 서비스 업계(FSI) 워크로드의 보안, 개인 정보 보호, 규정 준수 요구사항을 해결하기 위한 원칙과 권장사항을 간략하게 설명합니다. 권장사항은 복원력 있고 규정을 준수하는 인프라를 구축하고, 민감한 데이터를 보호하고, 고객 신뢰를 유지하고, 복잡한 규제 요구사항을 탐색하고, 사이버 위협을 효과적으로 관리하는 데 도움이 됩니다. 이 문서의 권장사항은 Well-Architected 프레임워크의 보안 분야와 일치합니다.

클라우드 컴퓨팅의 보안은 FSI 조직에 매우 중요한 문제입니다. FSI 조직은 고객 세부정보와 금융 기록 등 관리하는 민감한 데이터가 방대하여 사이버 범죄자에게 매우 매력적이기 때문입니다. 보안 침해의 결과는 상당한 재정적 손실, 장기적인 평판 손상, 상당한 규제 벌금 등 매우 심각합니다. 따라서 FSI 워크로드에는 엄격한 보안 제어가 필요합니다.

포괄적인 보안 및 규정 준수를 보장하려면 FSI 조직과 Google Cloud간의 공유 책임을 이해해야 합니다. Google Cloud은 물리적 보안 및 네트워크 보안을 비롯한 기본 인프라를 보호할 책임이 있습니다. Google Cloud 데이터와 애플리케이션을 보호하고, 액세스 제어를 구성하고, 보안 서비스를 구성하고 관리할 책임은 사용자에게 있습니다. 보안 노력을 지원하기 위해 Google Cloud 파트너 생태계에서는 보안 통합 및 관리 서비스를 제공합니다.

이 문서의 보안 권장사항은 다음 핵심 원칙에 매핑됩니다.

• 보안 내재화 설계 구현
• 제로 트러스트 구현
• 시프트 레프트 보안 구현
• 선점형 사이버 방어 구현
• AI를 안전하고 책임감 있게 사용하고 보안을 위해 AI 사용하기
• 규제, 규정 준수, 개인 정보 보호 요구사항 충족
• 보안 이니셔티브 우선순위 지정

보안 내재화 설계 구현

결제 카드 산업 데이터 보안 표준 (PCI DSS), 미국의 Gramm-Leach-Bliley Act (GLBA), 다양한 국가의 금융 데이터 보호법과 같은 금융 규정에서는 보안이 처음부터 시스템에 통합되어야 한다고 명시합니다. 보안 내재화 설계 원칙은 개발 수명 주기 전반에 보안을 통합하여 처음부터 취약점을 최소화하는 데 중점을 둡니다.

Google Cloud에서 FSI 워크로드에 설계 단계부터 보안 적용 원칙을 적용하려면 다음 권장사항을 고려하세요.

• Identity and Access Management(IAM)에서 세분화된 역할 기반 액세스 제어 (RBAC)를 통해 최소 권한의 원칙을 적용하여 필요한 권한만 부여해야 합니다. RBAC 사용은 많은 금융 규정에서 핵심 요구사항입니다.
• Google Cloud 내에서 Google Cloud VPC 서비스 제어를 사용하여 민감한 서비스와 데이터 주변에 보안 경계를 적용합니다. 보안 경계는 규정에서 요구하는 대로 민감한 데이터와 리소스를 세분화하고 보호하며 데이터 무단 반출과 무단 액세스를 방지하는 데 도움이 됩니다.
• Terraform과 같은 코드형 인프라(IaC) 도구를 사용하여 보안 구성을 코드로 정의합니다. 이 접근 방식은 초기 배포 단계에서 보안 제어를 삽입하여 일관성과 감사 가능성을 보장하는 데 도움이 됩니다.
• Cloud Build를 사용하여 정적 애플리케이션 보안 테스트 (SAST)를 CI/CD 파이프라인에 통합하여 애플리케이션 코드를 검사합니다. 규정을 준수하지 않는 코드의 배포를 방지하기 위해 자동화된 보안 게이트를 설정합니다.
• Security Command Center를 사용하여 보안 통계를 위한 통합 인터페이스를 제공합니다. Security Command Center를 사용하면 규정 위반으로 이어질 수 있는 잘못된 구성 또는 위협을 지속적으로 모니터링하고 조기에 감지할 수 있습니다. ISO 27001 및 NIST 800-53과 같은 표준의 요구사항을 충족하려면 자세 관리 템플릿을 사용하면 됩니다.
• 프로덕션 배포에서 식별된 취약점의 감소와 보안 권장사항을 준수하는 IaC 배포의 비율을 추적합니다. Security Command Center를 사용하여 취약점과 보안 표준 준수 여부에 관한 정보를 감지하고 확인할 수 있습니다. 자세한 내용은 취약점 발견 항목을 참고하세요.

제로 트러스트 구현

최신 금융 규정에서는 엄격한 액세스 제어와 지속적인 검증의 필요성을 점점 더 강조하고 있습니다. 이러한 요구사항은 내부 및 외부 위협과 악의적인 행위자로부터 워크로드를 보호하는 것을 목표로 하는 제로 트러스트 원칙을 반영합니다. 제로 트러스트 원칙은 모든 사용자 및 기기의 지속적인 확인을 옹호하여 암묵적인 신뢰를 없애고 횡적 이동을 완화합니다.

제로 트러스트를 구현하려면 다음 권장사항을 고려하세요.

• IAM 컨트롤과 Chrome Enterprise Premium을 결합하여 사용자 ID, 기기 보안, 위치 및 기타 요소를 기반으로 컨텍스트 인식 액세스를 사용 설정합니다. 이 접근 방식을 사용하면 금융 데이터 및 시스템에 대한 액세스 권한이 부여되기 전에 지속적으로 인증할 수 있습니다.
• Identity Platform(또는 직원 ID 제휴를 사용하는 경우 외부 ID 공급업체)을 구성하여 안전하고 확장 가능한 ID 및 액세스 관리를 제공합니다. 제로 트러스트를 구현하고 규정 준수를 보장하는 데 중요한 다중 인증 (MFA) 및 기타 제어 기능을 설정합니다.
• 모든 사용자 계정, 특히 민감한 정보 또는 시스템에 액세스할 수 있는 계정에 MFA를 구현합니다.
• 사용자 액세스 및 네트워크 활동에 대한 포괄적인 로깅 및 모니터링을 설정하여 규정 준수와 관련된 감사 및 조사를 지원합니다.
• Private Service Connect를 사용하여Google Cloud 및 온프레미스 환경 내 서비스 간에 공개 인터넷에 트래픽을 노출하지 않고 비공개 보안 통신을 사용 설정합니다.
• VPN 터널과 같은 네트워크 기반 보안 메커니즘에 의존하는 대신 Identity-Aware Proxy (IAP)를 사용하여 세분화된 ID 제어를 구현하고 애플리케이션 수준에서 액세스를 승인합니다. 이 접근 방식은 환경 내 측면 이동을 줄이는 데 도움이 됩니다.

시프트-레프트 보안 구현

금융 규제 기관에서는 사전 보안 조치를 권장합니다. 개발 수명 주기 초기에 취약점을 식별하고 해결하면 보안 사고의 위험과 규정 미준수 처벌 가능성을 줄일 수 있습니다. 시프트 레프트 보안 원칙은 조기 보안 테스트 및 통합을 촉진하여 수정 비용과 복잡성을 줄이는 데 도움이 됩니다.

시프트-레프트 보안을 구현하려면 다음 권장사항을 고려하세요.

• 컨테이너 취약점 스캔, 정적 코드 분석과 같은 보안 스캔 도구를 Cloud Build를 사용하여 CI/CD 파이프라인에 통합하여 개발 프로세스 초기에 자동화된 보안 검사를 실행합니다.

• Artifact Registry를 사용하여 보안 아티팩트만 배포되도록 합니다. Artifact Registry는 취약점 스캔이 통합된 소프트웨어 패키지 및 컨테이너 이미지를 위한 안전한 중앙 집중식 저장소를 제공합니다. 가상 저장소를 사용하여 원격 저장소보다 비공개 아티팩트를 우선시하여 종속 항목 혼동 공격을 완화합니다.

• Security Command Center의 일부인 Web Security Scanner를 개발 파이프라인에 통합하여 웹 애플리케이션에서 일반적인 취약점을 자동으로 검사합니다.

• 소프트웨어 아티팩트에 대한 공급망 등급 (SLSA) 프레임워크를 사용하여 소스 코드, 빌드 프로세스, 코드 출처에 대한 보안 검사를 구현합니다. Binary Authorization과 같은 솔루션을 사용하여 환경에서 실행되는 워크로드의 출처를 적용합니다. Assured Open Source를 사용하여 워크로드에서 검증된 오픈소스 소프트웨어 라이브러리만 사용하도록 합니다.

• 개발 수명 주기에서 식별되고 해결된 취약점 수, 보안 검사를 통과한 코드 배포 비율, 소프트웨어 취약점으로 인해 발생한 보안 사고 감소를 추적합니다. Google Cloud 에서는 다양한 종류의 워크로드에 대한 이러한 추적을 지원하는 도구를 제공합니다. 예를 들어 컨테이너화된 워크로드의 경우 Artifact Registry의 컨테이너 스캔 기능을 사용합니다.

선점형 사이버 방어 구현

금융 기관은 정교한 사이버 공격의 주요 대상입니다. 규정에서는 강력한 위협 인텔리전스와 사전 방어 메커니즘을 요구하는 경우가 많습니다. 선제적 사이버 방어는 고급 분석 및 자동화를 사용하여 사전 예방적 위협 탐지 및 대응에 중점을 둡니다.

다음 권장사항을 고려하세요.

• Mandiant의 위협 인텔리전스, 침해 사고 대응, 보안 검증 서비스를 사용하여 잠재적 위협을 사전에 식별하고 완화합니다.
• Google Cloud Armor를 사용하여 네트워크 에지에서 웹 애플리케이션과 API를 웹 악용 및 DDoS 공격으로부터 보호합니다.
• Security Command Center를 사용하여 보안 발견 항목과 권장사항을 집계하고 우선순위를 지정하면 보안팀이 잠재적인 위험을 선제적으로 해결할 수 있습니다.
• 정기적인 보안 시뮬레이션과 침투 테스트를 실시하여 사전 방어 및 사고 대응 계획을 검증합니다.
• 보안 침해 사고를 탐지하고 대응하는 데 걸리는 시간, DDoS 완화 노력의 효과, 예방된 사이버 공격 수를 측정합니다. Google Security Operations SOAR 및 SIEM 대시보드에서 필요한 측정항목과 데이터를 가져올 수 있습니다.

AI를 안전하고 책임감 있게 사용하고 보안을 위해 AI 사용하기

AI와 ML은 사기 감지, 알고리즘 거래와 같은 금융 서비스 사용 사례에 점점 더 많이 사용되고 있습니다. 규정에 따라 이러한 기술은 윤리적이고 투명하며 안전하게 사용해야 합니다. AI는 보안 기능을 강화하는 데도 도움이 됩니다. AI 사용에 관한 다음 권장사항을 고려하세요.

• Vertex AI를 사용하여 안전하고 관리되는 환경에서 ML 모델을 개발하고 배포합니다. 모델 설명 가능성 및 공정성 측정항목과 같은 기능을 사용하면 책임감 있는 AI에 대한 우려사항을 해결하는 데 도움이 됩니다.
• AI 및 ML을 사용하여 대량의 보안 데이터를 분석하고, 비정상적인 활동을 감지하고, 위협 대응을 자동화하는 Google Security Operations의 보안 분석 및 운영 기능을 활용하세요. 이러한 기능을 사용하면 전반적인 보안 태세를 강화하고 규정 준수 모니터링을 지원할 수 있습니다.
• 보안 및 윤리 관련 고려사항을 포함하여 AI 및 ML 개발 및 배포를 위한 명확한 거버넌스 정책을 수립합니다.
• AI 시스템의 보안 및 위험 우려사항을 해결하기 위한 실용적인 접근 방식을 제공하는 안전한 AI 프레임워크 (SAIF)의 요소와 일치합니다.
• AI 기반 사기 감지 시스템의 정확성 및 효과, 보안 알림의 오탐 감소, AI 기반 보안 자동화로 인한 효율성 향상을 추적합니다.

규제, 규정 준수, 개인 정보 보호 요구사항 충족

금융 서비스는 데이터 상주 요건, 구체적인 감사 추적, 데이터 보호 표준 등 다양한 규정을 준수해야 합니다. 민감한 정보가 올바르게 식별, 보호, 관리되도록 하려면 FSI 조직에 강력한 데이터 거버넌스 정책과 데이터 분류 체계가 필요합니다. 규제 요구사항을 충족하는 데 도움이 되도록 다음 권장사항을 고려하세요.

• Assured Workloads를 사용하여 민감한 정보 및 규제 대상 워크로드에 대한 Google Cloud 데이터 경계를 설정합니다. 이렇게 하면 FedRAMP 및 CJIS와 같은 정부 및 업계별 규정 준수 요구사항을 충족할 수 있습니다.
• Cloud Data Loss Prevention (Cloud DLP)를 구현하여 금융 정보를 비롯한 민감한 정보를 식별, 분류, 보호합니다. 이렇게 하면 GDPR 및 CCPA와 같은 데이터 개인 정보 보호 규정을 준수하는 데 도움이 됩니다.
• Cloud 감사 로그를 사용하여 관리 활동 및 리소스 액세스에 관한 세부정보를 추적합니다. 이러한 로그는 많은 금융 규정에서 규정하는 감사 요구사항을 충족하는 데 중요합니다.
• 워크로드 및 데이터에 사용할 Google Cloud 리전을 선택할 때는 데이터 상주와 관련된 현지 규정을 고려하세요. Google Cloud 글로벌 인프라를 사용하면 데이터 상주 요구사항을 충족하는 데 도움이 되는 리전을 선택할 수 있습니다.
• Cloud Key Management Service를 사용하여 저장 데이터 및 전송 중인 민감한 금융 데이터를 암호화하는 데 사용되는 키를 관리합니다. 이러한 암호화는 많은 보안 및 개인 정보 보호 규정의 기본 요구사항입니다.
• 규제 요구사항을 충족하는 데 필요한 제어를 구현합니다. 컨트롤이 예상대로 작동하는지 확인합니다. 외부 감사관이 컨트롤을 다시 검증하도록 하여 규제 기관에 워크로드가 규정을 준수함을 증명합니다.

보안 이니셔티브 우선순위 지정

보안 요구사항의 광범위성을 고려할 때 금융 기관은 위험 평가 및 규제 명령에 기반한 이니셔티브에 우선순위를 두어야 합니다. 다음 단계별 접근 방식을 권장합니다.

1. 강력한 보안 기반 구축: ID 및 액세스 관리, 네트워크 보안, 데이터 보호 등 보안의 핵심 영역에 집중합니다. 이러한 집중을 통해 강력한 보안 태세를 구축하고 진화하는 위협에 대한 포괄적인 방어를 보장할 수 있습니다.
2. 중요 규정 준수: PCI DSS, GDPR, 관련 국가 법률과 같은 주요 규정 준수를 우선시합니다. 이렇게 하면 데이터 보호를 보장하고, 법적 위험을 완화하고, 고객과의 신뢰를 구축할 수 있습니다.
3. 고급 보안 구현: 제로 트러스트, AI 기반 보안 솔루션, 사전 대응형 위협 탐지와 같은 고급 보안 관행을 점진적으로 도입합니다.