"보호받고 있나요?"에서 "운영할 수 있나요?"로 전환하기 규제 당국이 단순한 통제가 아닌 회복탄력성을 원하는 이유

수년 동안 금융 기관은 학생들이 시험을 준비하는 방식에 대한 감독 검토를 준비했습니다. 팀은 문서를 수집하고, 컨트롤을 프레임워크에 매핑하고, 목록의 모든 항목을 확인했습니다.

규제 당국은 간단한 질문을 던졌습니다.

최근 필 박과의 대화에서 이 질문은 시대에 뒤떨어진 질문으로 느껴졌습니다.

Phil은 25년 이상 금융 기관에 사이버 보안 및 규제 리스크에 대한 자문을 제공해 왔습니다. 그는 사베인즈-옥슬리 법 시행 초기에 고객과 함께 일했으며, 현재는 글로벌 운영 복원력 의무를 안내하고 있습니다.  

현재 IBM에서 그는 미국, 유럽, 아시아 전역의 주요 은행들이 감독 당국의 압박과 신기술 리스크를 관리할 수 있도록 지원하고 있습니다.

그는 시간이 지남에 따라 기대치가 변화하는 것을 지켜보았습니다. 그는 지금 우리가 분명한 전환점에 직면해 있다고 믿습니다.

글로벌 감독자는 더 이상 통제 점검에만 집중하지 않습니다. 운영 탄력성을 기대합니다. 규제 당국은 정책과 안전장치가 존재한다는 것을 증명하는 데 그치지 않습니다. 고객은 중단을 흡수하고, 사고를 억제하며, 스트레스를 받는 상황에서도 중요한 서비스를 계속 운영할 수 있다는 증거를 원합니다.

필의 설명처럼 이제 성공은 더 이상 감사 통과를 의미하지 않습니다. 제어가 실패해도 비즈니스는 계속 운영된다는 뜻입니다.

규정 준수 체크리스트 시대의 종말

10년 또는 15년 전만 해도 대부분의 사이버 보안 및 운영 위험 프로그램은 제어 범위에 초점을 맞추었습니다. 팀이 안전장치를 마련하고 명확한 정책과 성숙한 프로그램을 갖추고 있다면 규제 당국은 이를 준비된 것으로 간주합니다.

시간이 지나면서 그 기준은 바뀌었습니다. 규제 당국은 실제 사고가 발생하는 과정을 지켜보면서 종이 통제가 압박을 받으면 종종 실패하는 것을 확인했습니다.

"가장 큰 변화는 '우리는 보호받고 있는가'라는 질문에서 '혼란 속에서도 운영할 수 있는가'라는 질문으로 바뀌었다는 점입니다." 필은 이렇게 말했습니다.

공격자들은 랜섬웨어, 타사 서비스 중단, 클라우드 구성 오류, 공급망 침해로 금융 부문을 공격했습니다. 영향을 받은 많은 기관이 규정 준수 요건을 충족했습니다. 그들은 감사를 통과하고 상자를 확인했습니다.

서비스가 여전히 실패했습니다. 고객들은 혼란을 느꼈고 주주들은 신뢰를 잃었습니다.

이러한 사건으로 인해 규제에 대한 기대치가 바뀌었습니다. 디지털 운영 복원력 법(DORA) 과 같은 프레임워크는 사이버 사고가 발생할 것을 가정합니다. 규제 당국은 더 이상 이론적으로 공격을 막을 수 있는지 묻지 않습니다. 실제로 회복탄력성을 입증할 수 있는지 묻습니다.

Phil은 이러한 변화를 정적 평가에서 동적 평가로의 전환이라고 설명했습니다. 규제 당국은 이제 통제 수단의 존재 여부를 넘어 그 이상의 것을 봅니다. 실제 시나리오에서 컨트롤이 어떻게 작동하는지, 시스템이 실패했을 때 리더가 어떻게 행동하는지 살펴봅니다.

중단이 발생하면 기술만이 시험의 전부는 아닙니다.

Phil은 한 가지 점을 분명히 했습니다. 현대의 규제 당국은 기술적 통제 이상의 것을 고려합니다.

필은 "규제 당국은 완벽이 불가능하다는 것을 알기 때문에 완벽을 추구하지 않고 있습니다."라고 말합니다. "그들이 더 중요하게 생각하는 것은 문제가 발생했을 때 대응의 품질입니다."

인시던트가 발생하면 규제 당국은 실시간으로 대응 방식을 조사합니다. 검사합니다:

• 팀이 얼마나 신속하고 명확하게 문제를 에스컬레이션하는가
• 주요 의사 결정에 대한 고위 리더의 의견 일치 여부
• 사일로가 조정을 늦추는지 여부
• 규제 기관, 고객 및 이사회와 얼마나 잘 소통하고 있나요?
• 중요한 서비스 종속성을 이해하고 있는지 여부

복원력은 방화벽이나 탐지 도구에만 의존하지 않습니다. 보안 이벤트가 발생하는 동안 비즈니스가 어떻게 행동하는지를 보여줍니다.

자세한 사고 대응 계획이 있을 수 있습니다. 하지만 한 사람이 에스컬레이션을 제어하면 공백이 빠르게 나타납니다.  

위기 상황에서 법무팀과 보안팀이 충돌하면 문제가 커집니다. 팀이 조치를 취하지 않고 심각도 수준을 놓고 논쟁을 벌이면 지연이 늘어납니다.

규제 당국은 더 이상 완벽함을 기대하지 않습니다. 그들은 침해가 일어날 것을 알고 있습니다. 스트레스 상황에서 얼마나 잘 수행하느냐를 판단합니다.

규제 조사가 통제에서 성과로 전환되고 있습니다.

이전의 규정 준수 중심 시대에는 내러티브가 중요한 역할을 했습니다. 보안 제어를 명확하게 설명하고 체계적인 거버넌스를 보여 주면 규제 당국이 만족감을 느끼는 경우가 많습니다.

그 기준이 바뀌었습니다.

"제가 보는 가장 큰 격차는 많은 기업이 프레임워크와 히트 맵에 의존하는 반면 규제 감독자는 조치와 결과를 보고 싶어 한다는 점입니다."라고 Phil은 말합니다.

그는 이제 증거가 설명보다 더 중요하다고 강조했습니다. 감독자는 다음과 같은 가시적인 증거를 제공하도록 요청합니다:

• 시나리오 테스트 및 시뮬레이션 연습 결과
• 과거 장애 기록 및 이를 해결하기 위해 취한 조치
• 장애 복구 프로세스가 설계된 대로 작동한다는 증거
• 중요 서비스와 이를 지원하는 시스템 간의 실시간 추적성

더 이상 플랜이 존재한다고 명시할 수 없습니다. 테스트하고 배운 교훈을 바탕으로 개선했음을 보여 주어야 합니다.

실제로 실제 연습을 해보면 많은 복원력 격차가 드러납니다. 가정은 실패합니다. 서비스 맵에 주요 종속성이 누락되어 있습니다. 에스컬레이션 경로를 통해 의사 결정 병목 현상을 파악할 수 있습니다.

규제 당국은 이러한 결과를 약점이 아닌 성숙의 신호로 보는 경우가 많습니다. 그들은 여러분이 부족한 부분을 인정하고 신속하게 수정하기를 기대합니다.

보고 부담이 점점 더 무거워지고 있습니다.

운영 복원력을 구축하는 것 외에도 보안 인시던트를 보고해야 합니다.

미국에서는 금융 기관이 연방 은행 규제 기관, 주 당국, 증권거래위원회(SEC)의 공시 규정 및 업계 지침에 따릅니다. 유럽에서는 DORA가 주요 정보통신기술(ICT) 사고 보고 기한을 엄격하게 정하고 있습니다.

위기가 닥칠 때까지 기다렸다가 대응 계획을 세울 수는 없습니다. 인시던트가 발생하기 전에 거버넌스, 워크플로 및 에스컬레이션 경로에 보고 기능을 구축해야 합니다.

이를 잘 처리하는 조직은 명확한 보고 플레이북을 만듭니다. 통신 프로토콜을 테스트하고 문서에 쉽게 액세스할 수 있도록 보관합니다. 법무, 사이버 보안, 규정 준수, 리스크 팀 간에 지연이나 혼선 없이 조율합니다.

현재 진행 중인 사건의 한가운데서 사실을 수집하고 정확성을 기대할 수는 없습니다. 규제 당국은 신속하고 일관되며 정확한 보고서를 기대합니다. 또한 여러 당국에서 동일한 이벤트를 검토하는 경우에도 여러 관할 구역에 걸쳐 계정이 일관되게 유지되기를 기대합니다.

AI: 새로운 도구, 같은 분야

AI는 최신 환경에 새로운 위험을 추가합니다.

위협 행위자들은 이미 AI를 사용하여 더욱 그럴듯한 소셜 엔지니어링 캠페인을 만들고 대규모로 멀웨어를 자동화하고 있습니다. 동시에 많은 조직에서 중요한 비즈니스 운영에 AI 에이전트를 도입하고 있습니다.

필은 핵심 보안 과제는 여전히 동일하다고 경고했습니다. 많은 기업이 명확한 거버넌스, 강력한 ID 제어, 자산 및 데이터 흐름에 대한 완전한 가시성 없이 AI 플랫폼을 배포합니다.

AI가 강력한 보안의 기본을 대체할 수는 없습니다. 많은 경우, 이는 취약한 통제와 불분명한 소유권을 증폭시킵니다.

AI의 빠른 도입으로 기본적인 운영 규율이 그 어느 때보다 중요해졌습니다.

금융 업계 규정 준수를 '통과'한다는 것은 현재 어떤 의미일까요?

새로운 감독 시대에는 어려운 진실이 있습니다. 명확한 결승선은 없습니다.

체크리스트 중심 모델에서 규정 준수는 필수 작업을 완료했음을 의미합니다. 표준을 충족하고 다음 단계로 넘어갔습니다.

회복탄력성 중심 모델에서는 성공이 변화합니다. 실제 스트레스 상황에서 얼마나 잘 수행하느냐에 따라 달라집니다.

Phil은 위기 상황에서는 가정이 종종 실패한다고 설명했습니다. 진정한 준비 상태는 팀이 얼마나 신속하고 효과적으로 대응하는지를 보면 알 수 있습니다.

필의 말처럼 "입에 한 대 맞기 전까지는 누구나 계획이 있다"고 할 수 있습니다.

오늘날 규제 당국은 완벽이 아닌 행동에 의한 통과를 정의합니다. 약점을 인정하고 실질적인 개선 계획을 세우며 꾸준히 개선하는 모습을 보여주길 기대합니다. 그들은 마지막 순간에 영웅이 되는 것이 아니라 일상적인 프로세스에 규율을 구축하기를 원합니다.

감독자는 완벽한 시스템을 기대하지 않습니다. 미리 준비하고, 투명하게 운영하며, 공백이 생기면 책임을 지는 성숙한 조직을 기대합니다.

사이버 리스크는 이제 운영 모델 리스크입니다.

이러한 변화는 더 큰 진실을 반영합니다. 사이버 위험은 더 이상 IT 부서에만 있는 것이 아닙니다.

현재 많은 조직에서 CISO의 직급이 더 높은 위치에 있습니다. 이사회는 또한 사이버 결과에 대한 직접적인 책임을 집니다.

규제 당국은 통제 프레임워크 그 이상을 바라봅니다. 이들은 운영 모델, 의사 결정 경로, 팀이 비즈니스 전반의 리스크를 관리하는 방법을 검토합니다.

이제 회복탄력성은 핵심 비즈니스 역량으로 작용합니다. 이를 통해 계획, 투자, 중단에 대응하는 방식을 결정할 수 있습니다.

사이버 보안을 고립된 기술 기능으로 취급하면 이러한 환경에서 어려움을 겪을 것입니다.

리더십, 일상적인 운영, 공급업체 감독, 경영진의 의사 결정에 회복탄력성을 구축하면 더 큰 힘을 발휘할 수 있습니다. 규제 기관과 실제 사고에 더 잘 대비할 수 있습니다.

더 세그먼트의 전체 에피소드를 들어보세요:제로 트러스트 리더십 팟캐스트 Apple 팟캐스트, Spotify또는 당사 웹사이트.