


DORA 탐색: 사이버 레질리언스를 통한 규정 준수
이 에피소드에서는 진행자 라구 난다쿠마라가 BT 그룹의 사이버 보안 담당 매니징 디렉터인 트리스탄 모건과 에블린 파트너스의 디지털 서비스 파트너인 마크 헨드리와 함께 금융 서비스 부문의 DORA 규정 및 규정 준수에 대해 논의합니다.NIS2와 DORA와 같은 규제 표준 간의 상호 작용, 비례성과 운영 탄력성의 중요성, 제로 트러스트와 같은 원칙의 광범위한 채택에 대해 논의합니다.
성적 증명서
01:20 라구 난다쿠마라
안녕하세요 여러분.The Segment의 또 다른 에피소드에 오신 것을 환영합니다.BT 그룹의 사이버 보안 담당 매니징 디렉터인 트리스텐 모건과 에블린 파트너스의 디지털 서비스 파트너인 마크 헨드리를 맞이하게 되어 매우 기쁩니다.트리스, 마크, 더 세그먼트에 오신 것을 환영합니다.
01:34 마크 헨드리
고마워요, 여기 오게 돼서 반가워요.
01:35 트리스탄 모건
초대해 주셔서 감사합니다.
01:38 라구 난다쿠마라
글쎄요, 즐거움은 전부 제 것이에요. 평소와는 다른 두 사람과 대화를 할 수 있어요.그래서 재미도 두 배고, 문제도 두 배죠.우리는 특히 금융 서비스 산업에 적용되는 규정 준수와 이것이 사이버에 미치는 영향에 대해 이야기하고 있습니다.두 분 모두에 대한 약간의 배경 설명.그럼 트리스, 먼저 너에 대해 얘기해 보는 게 어때?
01:56 트리스탄 모건
네, 고마워요이 자리에 오게 되어 반갑습니다. 아시다시피 저는 BT 그룹의 모든 고객, 특히 비즈니스 영역에서 고객을 보호하는 데 도움을 줄 수 있어 기쁩니다.그래서 저는 우리가 시장에 선보이고자 하는 제품과 서비스를 살펴보고, 이를 어떻게 서비스하는지, 궁극적으로는 오늘날과 일치하여 이들이 안전하게 지낼 수 있도록 하는 방법을 살펴봅니다.아시다시피, 가능한 한 많은 보안 침해를 방어하면서도 규정을 준수할 수 있습니다.그래서 저는 수년 동안 이 일을 해왔고, 그 전에는 영국과 전 세계의 정부 부문에서 일하면서 탄탄한 경력을 쌓았습니다.
02:29 라구 난다쿠마라
멋지네요.고마워요, 트리스마크.
02:33 마크 헨드리
멋지네요, 초대해 주셔서 감사합니다.네, 그래요.마크 헨드리, 저는 영국과 아일랜드에 초점을 맞춘 비즈니스 자문 회사인 Evelyn Partners에서 디지털 서비스 파트너로 일하고 있습니다.이 회사에 입사하기 전에는 다양한 회사, 기술 회사, 4대 컨설턴트 및 법률 회사에서 많은 시간을 보냈습니다.2014년 무렵부터 제 업무의 대부분은 변호사 교육을 받거나 법률 팀의 일원으로 일하면서 규제 요구 사항을 해석하고 규정 및 규제 집행에 적응하거나 심지어 도전하는 기술 및 운영 전문가로 일했습니다.여기에는 GDPR 시행에 따른 대규모 디지털 규제 변경 프로그램과 사이버 보안 사고의 데이터 침해 피해를 입어 규제 감시와 집행을 조사, 개선 및 처리해야 하는 고객과의 협력 등이 포함됩니다.이제 디지털 규제의 세계에서 살아남을 수 있어 즐거운 시간입니다. 이 팟캐스트에서 이에 대해 이야기해 주셔서 감사합니다.
03:43 라구 난다쿠마라
글쎄요, 말씀드렸듯이, 즐거움은 우리 것입니다.트리스, 마크, 정말 고마워요.사실 마크, 인트로에서 마지막 부분을 보면 이 대화의 시작과 함께 우리가 나아갈 방향을 확실히 알 수 있을 것 같아요.일반적으로뿐만 아니라 특히 금융 서비스 부문에 영향을 미치고 있다고 생각하는 가장 큰 사이버 위협이 무엇인지에 대한 두 가지 관점을 모두 얻을 수 있게 되었습니다.그러니 생각을 좀 해 보세요.
04:13 트리스탄 모건
내 말은, 위협은 수없이 많다는 거지보안에 대해 기억해야 할 점은 위협은 한 가지 유형의 위협이 아니라 여러 가지라는 것입니다.심지어 그 많은 요소들도 이처럼 광범위한 요인에 따라 계속 진화하고 변화하고 있습니다.경제적 문제일 수도 있고 지정학적 문제일 수도 있고 다른 이데올로기일 수도 있습니다.그래서 많은 고객들은 다양한 고객들로부터 끊임없이 변화하는 이런 종류의 맹공격에 직면하고 있습니다.지금까지 광범위하게 살펴본 것은 예전에는 많은 공격이 주로 대규모 다국적 조직, 중요 인프라와 중요 데이터를 보유한 조직에 집중되었다는 것입니다.하지만 그렇지 않은 경우가 점점 더 많아지고 있습니다.이들은 여전히 절대적인 표적이 되고 있지만, 중소기업은 현재 이 문제로 큰 영향을 받고 있습니다.따라서 위협의 관점에서 보면 규모와 형태를 불문하고 모든 기업에 영향을 미치고 있습니다.그리고 저는 이것이 우리가 목격한 변화의 일부분이라고 생각합니다.
05:17 라구 난다쿠마라
네, 맞아요.그리고 제 생각에는 역방향 쉼표가 가장 중요한 목표로 인식되던 것에서 이제는 모든 부문의 모든 규모의 조직에 영향을 미치고 있는 것에 이르기까지 그 영향력이 확대되고 있다는 것을 확실히 보여준다고 생각합니다.마크처럼, 트리스가 말한 것을 어떻게 이어갈 수 있을지 어떻게 생각하시나요?
05:40 마크 헨드리
네, 제 생각엔 역사적인 요점을 말씀드리죠. 큰 회사, 많은 자산, 큰 목표, 풍부한 선택이죠.소규모 회사들이 표적이 되고 있습니다.왜요?여러 가지 이유가 있습니다.하지만 사이버 범죄에 대한 투자 회수는 범죄 커뮤니티에서 매우 잘 알려져 있습니다.위험도가 비교적 낮습니다.산탄총을 들고 은행에 들어가는 것도 아니고 보상도 엄청납니다.그리고 디지털 공급망을 예로 들어보죠.사실 이런 소규모 회사들은 대기업과 연계되어 있기 때문에 잠재적으로 표적이 될 수 있습니다.따라서 이들을 타겟팅한 다음 네트워크 전반에서 연결된 조직으로 이동하여 연쇄적이고 다양한 영향을 미칠 수 있습니다.시간이 지남에 따라 세상이 변화하고 디지털화되는 방식이 바로 이런 것이죠.상호연결성: 우리는 몇 년 전에 공급망 공격이 있었던 해에 대해 이야기했는데, 지금도 그 공격은 멈추지 않고 있습니다.그리고 랜섬웨어가 유행하던 해는 멈추지 않고 진화만 하고 그냥 변했을 뿐이죠.수법, 도구, 서비스형 랜섬웨어, 플레이북 제공, 등장하는 범죄 조직 고객 서비스 팀 등을 전수하는 범죄 조직과 범죄 행위자의 진입 장벽을 낮춰주세요.정말 흥미롭네요. 위협 양식도 자주 바뀌죠.위협 행위자의 동기는 대체로 고정된 것으로 보이며, 그 동기는 이들이 누구인지에 따라 달라진다고 생각합니다. 국가 조직이든 조직 범죄 조직이든, 하급 범죄 집단이든, 수용자이든 상관 없죠.그들은 모두 무언가를 노리고 있습니다. 그리고 그들이 그 일을 해낼 수 있는 방법도 시간이 흐르면서 변하고 진화할 뿐이죠.따라서 방어 진영을 방어하는 방법도 시간이 흐르면서 변하죠.
07:30 트리스탄 모건
괜찮으시면 그냥 뛰어드세요.이런 회사들이 많이 생각나실 겁니다.기업에 해를 끼치려 하는 많은 조직을 떠올리실 겁니다.그들은 기업이기 때문에 실제로는 기업처럼 운영됩니다.따라서 우리가 기술 채택과 디지털 혁신을 살펴볼 때, 그들은 기술이 어떻게 악용될 수 있는지, 우리가 어떻게 이를 이용해 네트워크 악용을 할 수 있는지를 이해하기 위해 기술을 살펴보는 것입니다.비슷하지만 매우 다른 두 가지 비즈니스 모델이 있습니다.
07:56 라구 난다쿠마라
물론이죠.따라서 수익성과 비슷한 비즈니스 모델이 분명히 있습니다. 랜섬웨어와 비즈니스로서의 랜섬웨어, 비즈니스로서의 사이버 공격의 경제성이 아닐까요.두 분 모두 동기, 동기 등에 대해 여러 가지로 말씀하셨는데, 랜섬웨어의 해에만 국한된 것이 아니라 복수형으로 표현하자면 랜섬웨어의 수년이라고 할 수 있습니다.사실, 이것이 바로 공격의 양식입니다. 전술 그 자체, 즉 높은 수준의 전술은 공격에서 공격자로, 공격자에서 공격자에 따라 실제로 바뀌지는 않지만, 그들의 기술과 절차 중 일부는 발전하고 있습니다.이제 조금씩 풀어서 동기 부여와 그 중 하나를 살펴보고 지난 몇 년 동안의 다양한 유사 보고서를 살펴보면 한 가지 분명한 사실은 갈취 접근 방식을 넘어 가용성 생산성 저하에 초점을 맞춘 더 많은 공격으로의 전환이 이루어지고 있다는 것입니다.수익성 접근법.어떻게 보고 계세요?그리고 이런 점에 대해 조직들 사이에서 점점 더 우려되는 부분이 있다고 보시는 건가요?공격이 코앞에 다가왔다는 것을 알고 있기 때문에 생산성을 계속 유지할 수 있는 방법은 무엇일까요?
09:15 마크 헨드리
당신 말이 맞아요.레질리언스 (Resiliency) 라는 용어란, 제가 말하고자 하는 것은 항상 염두에 두어야 한다는 것입니다. 왜냐하면 보안 침해가 진행 중이더라도 비즈니스를 운영하지 못하는 것은 문제가 되지 않기 때문입니다.글쎄요, 기업 내에서 진행 중인 일들이 있더라도 어떻게 하면 운영을 계속할 수 있을까요?따라서 디지털로 연결된 세상을 보면 대부분의 기업은 우리가 보유한 새로운 하이퍼 스케일러 SaaS 모델의 극소수에 이르기까지 규모를 모두 갖추고 있습니다.따라서 초점은 IT 레질리언스에 있습니다.사이버와 관련 없는 운영 중단이 발생한 경우, 그리고 실제로 사이버 관련 서비스 중단이 가장 중요합니다. 즉, 데이터를 다시 공개하거나 건강한 상태를 유지하기 위해 랜섬웨어와 대가를 요구하는 것이 전부가 아니라는 점을 분명히 말씀하셨기 때문입니다.사실, 웹 사이트를 폐쇄해서 새로운 주문을 팔지 못하도록 하거나, 50,000명의 직원이 모두 들어와 일을 하는 것을 막을 수 있다면 훨씬 더 중요합니다. 그 자체로도 해당 비즈니스에 막대한 비용이 듭니다.
10:21 라구 난다쿠마라
네, 그리고 제 생각엔 그것과 관련이 있는 것 같아요.저는 최근에 나온 데이터 침해 보고서 중 하나를 보고 있었는데, 데이터 침해로 인한 평균 비용을 보면 그 중 약 33% 가 비즈니스 손실로 인한 것이라는 내용이 담겨 있습니다.그리고 전체 총비용으로 볼 때 이 비율도 점점 증가하고 있는데, 이전에는 몸값을 지불하거나 복구할 수 있는 정도로 큰 영향을 미쳤습니다.하지만 비즈니스 자체에 미치는 영향, 즉 생산성은 날마다 증가하고 있습니다.Mark 씨, 고객과의 대화에서처럼 운영 레질리언스와 사이버 레질리언스에 관한 대화의 성격은 무엇일까요?
11:02 마크 헨드리
누구와 대화하고, 그들에게 중요한 것이 무엇인지, 어떤 분야에 속해 있느냐에 따라 다르며, 이야기를 들려주는 경우가 많습니다.예를 들어, 제가 얼마 전에 작업한 랜섬웨어 사건 중 하나는 오래 전의 일이지만 꽤 괜찮은 이야기입니다.그들은 대규모 랜섬웨어에 시달렸습니다. 랜섬웨어가 대규모로 공격을 받아 사실상 운영을 중단시켰죠.그리고 그들은 하루에 수백만 달러를 잃고 있었습니다.그들은 빠르게 변화하는 소비재 조직이었기 때문에 창고에 상품을 넣고 뺄 수 없었고, 라벨을 인쇄할 수 없었고, 긱 이코노미 노동자들에게 언제 일하러 와야 하는지 알려줄 수 없었고, 공급업체에 돈을 지불할 수 없었고, 직원에게 급여를 지급할 수 없었고, 매일 많은 영향을 미치는 일들이었습니다.그들은 수익에서 수백만 달러를 잃고 있었지만 철학적으로는 범죄 행위자에게 시스템과 데이터를 복구하기 위해 돈을 지불하는 것에는 절대 반대했습니다.따라서 공장 라인이 있는 제품을 생산하고 사람들이 공연으로 들어오고 나가는, 제로 아워 계약직 근로자와 이야기를 나눈다면, 그 영향이 어떤 모습과 느낌일지, 그리고 그런 위기에 직면했을 때 어떻게 의사 결정을 내릴지 그들에게 말하고 마음을 가다듬을 수 있는 좋은 이야기입니다.반면 금융 서비스 조직은 운영 방식과 매출 창출 방식이 매우 다릅니다.따라서 의사결정을 어떻게 내려야 할지, 통신이 중단된 상황에서 어떻게 스스로를 조율할 것인지, 이러한 상황에 대비한 계획을 어떻게 세울 것인지, 그리고 이러한 철학적 결정을 내리는 방법, 실용적, 운영적, 기술적 선택이 무엇인지도 알 수 있습니다.물론 산업마다 규제 준수 의무, 부담, 감독, 감독 등이 다릅니다.따라서 금융 서비스 분야의 경우 파괴적인 랜섬웨어 공격이나 기타 디지털 기반 서비스 중단으로 인한 전체 비용에 대해 이야기한다면 해당 비용의 상당 부분이 감독자, 감독 기관의 금전적 벌금 통지로 인해 발생할 가능성이 높습니다.반면, 현재 식품 생산 기업이라면 시스템 복원력을 유지하는 데 실패로 인해 큰 벌금이 부과될 것으로 예상하지 않을 수 있습니다.개인 데이터 유출 사고에도 문제가 생길 수 있지만, 그건 좀 다른 문제죠.감독 업무의 특성이고, 집행 범위는 부문에 따라 크게 달라질 수 있습니다. 따라서 이러한 유형의 중단으로 인한 전체 비용에 대한 전망이 크게 달라질 수 있습니다.
13:47 라구 난다쿠마라
네, 물론이죠.이제 여러분은 규정 준수와 규제가 적용되는 산업, 규정 준수와 규제가 엄격한 산업이 어떻게 더 나은 표준을 이끌어내는지, 이 경우에는 더 나은 보안과 더 나은 탄력성을 탐구하고자 하는 분야가 될 것입니다.이를 염두에 두고 볼 때, 이러한 변화는 무엇이라고 생각하시나요?이전 커리어에서 개인적인 경험을 좀 봐왔기 때문이죠.규정 준수의 관점에서 본 체크리스트는 아주 많은 것을 다루었습니다. 좋아요, 이 목록을 살펴보면서 이 모든 작업을 수행했는지 확인한 다음 기본적으로 증거를 제공하세요.하지만 이러한 통제가 미치는 영향에 대한 컨텍스트가 부족한 경우가 많기 때문에 보안 태세가 실제로 의미 있는 개선으로 이어지기보다는 고정적입니다.이에 대해 어떻게 생각하시나요?잠시 후 DORA에 대해 말씀드리자면, DORA가 그 점에서 주도하고 있는 흥미로운 변화들이 몇 가지 있습니다.하지만, 규정 준수와 이러한 요구 사항의 효과를 역사적으로 되돌아보는 것에 대해 어떻게 생각하시나요?
14:48 트리스탄 모건
많은 조직에서 규정 준수를 어려운 일로 여기는 경우가 많았지만 그 이유에 대해서는 의문을 제기하기도 했습니다.그리고 종종 체크박스 연습으로 알려졌던 것을 타당하게 지적하셨죠.그리고 영국 NCSC가 개발한 사이버 평가 프레임워크처럼 최근의 발전을 기대한다면, 체크박스가 아닙니다.사실 척도에 등급을 매기는 거죠.따라서 조직적으로 할 수 있는 일은, 예를 들어 어떤 기업에서는 이런 것들이 다른 것들보다 더 중요하다는 것입니다.따라서 규정을 준수해야 하는 영역을 확대하거나 축소할 수 있을 뿐만 아니라 규모 대비 어느 정도까지 규정을 준수해야 하는지도 파악할 수 있습니다.보안 침해 발생 시 운영 플레이북을 예로 들 수 있기 때문에 이것이 정말 중요하다고 생각합니다.음, 어떤 시나리오를 시뮬레이션하려고 하시나요?기업 전반에서 보안 침해가 어디까지 퍼질 것으로 예상하시나요?이러한 모든 사항을 판단하려면 고객과 더 넓은 공급망에 대한 위험을 기반으로 실제로 어느 정도 조치를 취해야 하는지를 판단해야 합니다.
15:55 라구 난다쿠마라
네, 맞아요.제 생각에 그건 비례성의 문제로 돌아가는 것 같아요.비즈니스에 중요한 사항을 바탕으로 여러분과 관련이 있는 것은 무엇인가요?그렇다면 Mark, 경력을 바탕으로 지금까지 해왔던 일, 과거에 고객을 대상으로 한 일, 시간이 지남에 따라 어떻게 변화했는지에 대해 어떻게 생각하시나요?
16:15 마크 헨드리
디지털 공간의 규제 환경, 즉 디지털 및 데이터 공간이라고 부르자면 크게 변화하고 있다고 생각합니다.그래서 저는 수년간 1998년 데이터 보호법에 대해 고객들에게 조언하곤 했습니다. 그 후 GDPR과 영국 GDPR, 영국 데이터 보호법이 제정되었습니다.또한 우리가 이를 실천해 온 방식, 또는 고객과 회사가 이를 위해 도움을 필요로 하는 방식도 시간이 지나면서 변했습니다.어쩌면 이것이 실무자로서의 제 입지에 관한 것일 수도 있고, 디지털 생태계, 세계의 정교함에 관한 것일 수도 있습니다. 그리고 어쩌면 현재 우리 모두가 살고 있는 규제 또는 표준 환경의 준수에 관한 것일 수도 있습니다.예를 들어, 예전에는 콜센터나 데이터 웨어하우스를 돌아다니면서 제어 기능이 있는지 없는지 확인하고 어느 정도 합의된 절차, 감사 등을 수행하곤 했습니다.그런 것들 중 일부는 지금도 계속되고 있을 거라고 확신합니다.하지만 Tris가 방금 말했듯이 NIST 사이버 보안 프레임워크, MCSC의 사이버 평가 프레임워크, 또는 실제로 NIS2와 DORA의 표준을 보면 알 수 있습니다.그래서 NIS2가 좋은 예입니다.이건 마치 고정적이지 않은 최첨단 기술을 고려한다는 뜻이죠.시시각각 변하죠.그래서 해석이 많이 필요하죠.왜 그렇게 쓰여 있는 걸까요?공격 및 피해 원인에 대한 최신 기술도 변함에 따라 보호, 탐지 및 대응 기술도 변해야 하기 때문입니다.그리고 이러한 규정은 20~30년의 시험을 견뎌야 하며 지원 지침을 통해 발전해야 합니다.하지만 이건 DORA와 관계를 맺고 있는 NIS2라는 점을 지적하고 있습니다.NIS2의 정의에는 표준에 대한 정의가 있습니다.표준이란 이 규정이 표준을 가리키면 국제 표준, 유럽 표준, 기술 표준을 가리키는 것입니다.그래서 그들은 즉시 규정 자체보다 더 빠르게 움직이는 다른 장소로 안내해 줍니다.따라서 우리가 고객에게 조언하는 방식, 고객이 이러한 사항을 고려하고 행동해야 하는 방식, 모든 것이 매우 자주 바뀝니다.
18:58 라구 난다쿠마라
네, 아름답게 표현하신 것 같아요.트리스 같은 느낌이랄까요. 왜냐하면 그 점을 염두에 두고 보면 우리가 지금 보고 있는 것이 NIS2에 대해 말씀하셨는데 여기서 DORA를 소개할게요. 어떻게 ISO 27001을 구축에 영감을 주었는지에 대해 말씀드리죠.왜냐하면 거기에는 휠을 재발명하려는 것보다는 이미 관련이 있는 것들이 너무 많기 때문이죠.그래서 Mark가 말한 것과 같은 것은 규정과 조직이 노력의 중복을 피하기 위해 어쨌든 채택하고 있는 안전한 프레임워크 및 표준 간의 긴밀한 조율이라고 생각합니다.이것이 현재 관찰하고 있는 것과 일치하나요?
19:46 트리스탄 모건
아, 100%, 그리고 사실 이건, 알다시피, 이건 비즈니스에 정말 도움이 되죠.많은 기업들이 여러 분야에 걸쳐 채택하고 있는 ISO와 같은 거대한 글로벌 표준을 떠올리실 겁니다.완전히 분리된 무언가를 구축하고 모든 기업에 서로 다른 것을 준수하도록 요청한다면 상당한 비용이 들 뿐만 아니라 실제로 훨씬 더 큰 저항을 받게 될 것입니다. 반면 DORA와 같은 이러한 규정은 많은 기업이 이미 어느 정도 채택하고 있는 업계에서 인정받은 모범 사례를 기반으로 하며 실제로 합리적이지만 규정 준수에 대한 장벽도 줄어듭니다.아직 가야 할 것들이 많긴 한데, 사실 그게 오히려 덜 해준다는 거죠.하지만 이는 기업이 무엇을 해야 하는지 이해할 수 있도록 도와줄 수 있는 더 큰 커뮤니티가 있다는 뜻이기도 합니다. 그리고 걱정할 필요가 없는 분야도 이해할 수 있게 도와주죠.많은 분야에서 이 작업을 수행하는 데에는 어려움이 있지만, 이것이 보편적으로 사용되어 온 제품이라는 점에 쉽게 만족할 수 있습니다. 우리와 귀사가 서비스를 제공하는 많은 기업이 국가 경계를 넘어 서비스를 제공하기 때문에 기업은 다른 현지 법률과 다른 국가를 준수할 필요가 없습니다.
20:57 라구 난다쿠마라
네, 물론이죠.사실, 조금 더 얘기해볼만한 흥미로운 점인데요, 왜냐하면 NIS2는 그 특성상 EU가 NIS2를 지침으로 정의한 다음 회원국들에게 이를 관련 현지 규정에 채택하도록 요구하고 있기 때문입니다.하지만 DORA의 경우와 비교했을 때 EU는 “사실 우리는 이 문제를 전반적으로 적용할 책임을 질 것”이라고 말했습니다.더 광범위하고 더 많은 산업을 포괄하는 NIS2와 일종의 EU 차원의 규제가 되고 있는 DORA의 접근 방식이 왜 그렇게 다른가요?접근 방식에 차이가 있는 이유는 무엇일까요?
21:46 트리스탄 모건
인정하고 한 단계 높은 수준으로 끌어올린다고 말하고 싶습니다. 그리고 실제로 이것을 유럽 경제로 보고 있습니다.따라서 개별 국가 차원에서뿐만 아니라 더 광범위하고 광범위한 지리적 수준에서 발생할 수 있는 영향을 인식하는 것입니다. 복원력과 사이버 보안과 관련된 근본적인 문제를 살펴보지 않는 한 말이죠. 그렇지 않으면 이에 대한 해석이 다르면 조화를 이루지 못하고 모든 것이 같은 방향으로 나아갈 수 없기 때문입니다.물론 보안 분야에서도 한 가지 더 있습니다. 팀 스포츠로 보면 조직 간에 정보를 공유해야 더 잘 협력할 수 있습니다.다시 말씀드리지만, 대륙 전체와 유럽 전역에 적용되는 이러한 규정을 보면 매우 중요하다고 생각합니다. 왜냐하면 그것이 그 초석 중 하나이기 때문입니다.
22:32 라구 난다쿠마라
네, 그게 중요한 점인 것 같아요.또한 EU와 전 세계의 금융 서비스 산업은 NIS2가 다루는 다른 어떤 주요 산업보다 국경을 초월하여 훨씬 더 상호 연결되어 있다고 생각합니다.마크, 어떻게 생각하세요?
22:50 마크 헨드리
네, 말씀하신 내용에 전적으로 동의합니다.유산에 대한 얘기가 좀 있는 것 같아요.NIS2는 두 번째입니다.NIS에서 가져온 것입니다.영국 NIS도 있었고 또 있습니다. 원래의 NIS 네트워크와 정보 시스템이 무엇인지 모르는 사람들을 위해 설명하자면 2018년 규정은 필수 서비스 운영자에게 초점을 맞췄습니다.이것이 중요한 국가 인프라, 유틸리티, 교통 등뿐만 아니라 관련 디지털 서비스 제공업체인 RDSP (RDSP) 라고 부르는 것이기도 합니다.이 모든 것이 국제법으로 바뀌었죠.GDPR이 시행되던 시기와 거의 비슷한 시기였죠.GDPR은 모든 관심을 끌었고, 그 후 거의 모든 집행 및 감독에도 관심을 끌었습니다.NIS2는 두 번째로 주목받는 분야입니다. NIS2는 광범위한 산업이 국가적, 국제적, 경제적, 사회적 기반에서 중요하거나 중요한 것으로 간주되어야 한다는 점을 인식했기 때문입니다.하지만 이 둘은 실제로 조화를 이루고 있지 않습니다. 프랑스 우정청과 영국의 수소 인프라 경제 사이에는 어떠한 조정도 이루어지지 않고 있습니다.따라서 NIS2의 모든 산업 분야에 적합한 제품을 만드는 것은 정말 어려울 것입니다.앞서 말씀하신 것처럼 조화롭지만 유럽의 금융 서비스, 경제, 사회, 감독 체제는 꽤 오랫동안 조율되어 왔습니다. 그래서 조화롭고 포괄적인 행동인 DORA가 훨씬 더 가능성이 높습니다.아시다시피 시간이 증거가 되겠지만, 이 조화로운 도구를 사용하여 달성해야 할 목표나 달성해야 할 원칙을 달성할 수 있는 훨씬 더 좋은 기회가 될 수 있습니다.
24:45 라구 난다쿠마라
앞서 말씀드렸듯이, 우리는 역사적으로 금융 서비스 산업에서 ICT 위험 관리 규정의 특성을 잘 알고 있다고 생각합니다. EU가 이러한 규정의 많은 부분을 재구성하고 운영 탄력성을 주요 목표로 삼게 된 계기 또는 전환점은 무엇이라고 생각하시나요?전환점은 무엇이었나요, 마크?
25:14 마크 헨드리
저는 이것이 아마도 2008년 폭락 이후 금융 서비스에 대한 최대 규모의 레질리언스 개입이라고 이야기합니다.2008년 폭락 이후에는 금융 회복력, 즉 시스템 내 현금에 관한 것이었습니다.2008년 이후로 많은 것이 변했고, 앞서 말씀드린 바 있습니다. 경제와 모든 참여자들이 얼마나 상호 연결되어 있는지, 사회가 디지털 인프라에 얼마나 의존하고 있는지에 대해 이야기했습니다. 제 생각에는 이미 오고 있는 것 같지만, 정전이 발생했을 때 그 영향이 얼마나 지배적일 수 있는지는 조금 놀랍습니다.디지털 공급망의 깊숙한 층에 묻혀 있기 때문에 아무도 알아차리지 못하는 n급 플레이어가 실제로 실사를 하지 않았지만 우리 모두가 의존한다면 어떻게 될지 유럽 전역에 엄청난 불안과 불안감이 있는 것 같아요.아직 잘 모를 뿐이죠.DORA의 식별 목표와 같은 것에서도 이러한 결과가 나타납니다. 공급망을 철저하고 심층적으로 계획하고, 누가 누구와 연결되고, 누구에게 연결되어 있는지, 그리고 이들 모두가 누구에게 의존하는지 확인해야 합니다.최근에 정말 좋은 예가 하나 있었습니다. 이러한 모든 DORA 프로세스와 프로그램을 통해 공급망을 식별하고 DORA에 따라 금융 서비스 주체로서 우리가 중요하거나 중요한 ICT 공급자로 간주하는 대상을 결정하는 것이었습니다.ICT 제공업체로서 사이버 공격을 당하지는 않았지만 위젯과 동글을 연결하여 수많은 서버와 노트북에 배포한 많은 금융 서비스 기관들과 협력하게 될 것입니다.이로 인해 대규모의 운영 중단이 발생했습니다.사이버 공격과는 관련이 없었죠. 그래서 여기에 ICT 위험 관리 요소가 들어간 거죠. 여러분과 제가 사이버 목표, 사이버 명령, 사이버 요구 사항으로 보는 거죠.하지만 그보다 더 중요한 것은 디지털 운영 레질리언스입니다. 사이버 공격이 아니었기 때문이죠. 짧은 시간 동안 파괴적인 랜섬웨어 공격과 비슷한 영향을 미쳤기 때문입니다.이것이 바로 이런 일이 일어난 이유입니다.지금 세상이 어떻게 돌아가는지에 따라 개입하는 거죠.
27:40 라구 난다쿠마라
네, 물론이죠.말씀하신 내용 몇 가지 다시 말씀드리죠.트리스, 뭐 더 할 말 있어요?
27:44 트리스탄 모건
그들도 그렇게 될 거라고 볼 수 있을 것 같아요.그리고 Mark가 언급한 것처럼, 긴밀하게 상호 연결되어 있을 뿐만 아니라 중요한 부문에서 우리가 가진 적시 경제를 보면, 언제, 어느 시점에서든, 그것이 단지 작고 국지적인 영향이 훨씬 더 큰 영향을 미칠 수 있다는 것을 깨닫게 될 것입니다.그래서 저는 이 계획을 세울 때 더 큰 선견지명이 있었다고 생각합니다. 또한 저와 함께 일하는 회사들에 대해서도 특정 기업이나 부문이 모든 비용을 부담하지 않아도 되도록 이러한 것들에 대해 더 큰 지침과 표준화를 조직에 요청하세요.
28:28 라구 난다쿠마라
거기에는 몇 가지 것들이 있습니다.그 영향에 대해 생각해 봅시다. 두 분 모두 말씀하셨으니까요.최근의 예를 떠올릴 수 있겠습니다. 2023년 말 말 말에 발생한 ICBC 랜섬웨어 공격과 관련된 사이버 공격으로 미국 증권의 주요 구성 요소인 미국 증권 시장에 영향을 미쳤습니다.그리고 모든 거래 상대방 간에 거래 청산 등이 가능해지는 연쇄 효과가 나타났습니다.이것이 바로 DORA와 그에 도입된 제어 기능 등을 보여주는 좋은 예입니다. 말 그대로 DORA의 영향을 줄이려는 것이죠. 하지만 제 생각에 서드파티 제품은 정말 흥미롭죠.두 분 모두에게 먼저 제기할 질문은 중요한 타사 서비스 공급자와 중요하지 않은 타사 서비스 제품을 어떻게 구분할 수 있느냐는 것입니다.왜냐하면 그런 종류의 체인, 그 사슬이 끝까지 이어져 있기 때문이죠. 계속 파헤치면서 “음, 그게 제 프로세스에서 매우 중요하고, 저건 정말 중요해요.” 라고 말할 수 있기 때문이죠.제 말은, 모든 것이 중요하다는 거죠.그럼 어떻게 차별화할 수 있을까요?
29:35 마크 헨드리
제 말은, 거기에 없는 점이 있습니다. 즉, 해석의 문제이고, 따라서 깊이와 철저함의 문제이고, 그 사이에 위험 균형이 있어야 합니다. 비례성 원칙이죠.이러한 모든 규정에는 비례성 원칙이 포함되어 있습니다. 예를 들어 X, Y, Z에 대한 위험을 염두에 두는 것과 관련이 있습니다. 따라서 GDPR에서는 데이터가 해킹되거나 도난당할 경우 자연인, 당신과 나에게 해를 끼칠 위험에 관한 것입니다.그리고 그게 의료 데이터인데 우리가 갖고 싶어하지 않는 누군가나 금융 데이터라면 어떤 위험을 감수할 수 있느냐는 거죠.그래서 이에 대응하기 위한 적절한 보호 장치를 마련한 거죠.그리고 공급망 매핑과 관련해서, 원하신다면 무엇이 중요하고 중요할까요?한 가지 말씀드리자면, 저는 변호사가 아닙니다. 하지만 정의가 무엇인지 살펴보고 조직에 맞게 해석해 보세요.사실 두 가지가 있습니다.제가 얼마전에 이에 대해 조언을 드렸었는데요.이 점을 고려할 수 있는 방법은 두 가지가 있습니다. 적어도 제가 다루었던 고객 시나리오에서는 서비스가 중단되거나 사라질 경우 매우 중요하고 중요하며, 이로 인해 금융 서비스 부문과 경제에서 중요한 일을 완료할 수 없게 된다는 것입니다.거래를 완료하거나 거래를 하거나 그 밖의 어떤 것이든 사람들이 기계에서 현금을 꺼내는 것과 같은 것들이죠.두 번째 부분은 여러분에게 중요한 것이 무엇인지에 관한 것입니다.이것이 경제와 그 안에 있는 사람들, 그리고 행동하는 다른 주체들에게 중요한 것입니다.그리고 실제로 이것이 여러분에게 중요한가요, 아니면 중요한가요?더 중요한 것은 사업을 운영할 수 있는지, 그리고 자신과 직원, 그리고 자신에게 의존하고 자신이 어떤 일을 하기를 기대하는 다른 사람들에게 지녀야 하는 의무를 이행할 수 있는가에 관한 것입니다.예를 들어, 고객과 나눈 이 대화에서 “아, 우리의 위험 관리는 어때?”“우리는 이를 위해 X, Y, Z, 클라우드 포털 또는 플랫폼을 사용하며, 이는 X, Y, Z로 적용됩니다.”그렇다면 그것들이 매우 중요할까요?글쎄요, 사실 특정 시점에 일주일 이상 다운되면 규제 의무를 이행하지 못하는 셈이죠.네, 둘 중 하나죠.정말 중요하죠.누가 이 문제를 해결할 수 있을지는 당신이 결정하겠지만, 제가 이 문제를 해결하는 방법은 이렇습니다.
31:58 라구 난다쿠마라
이에 맞서기 위해 말씀드리자면, 제 생각에는 이러한 규정의 속성 중 비례성 부분이 있다고 생각합니다. 특히 DORA에서는 매우 역동적이고 유연하며 모든 조직에 맞게 조정할 수 있게 해준다고 생각합니다.하지만 그렇다고 해서 “좋아, 이게 우리가 할 일이야.” 라는 것을 식별하고 결정하는 데에도 어려움이 있는 것은 아닙니다. 하지만 올바른 선택을 했다는 것을 증명할 수 있어야 한다는 것도 아닙니다.이것이 문제를 야기하지 않을까요? 그렇다면 조직은 일반적으로 가능한 한 많은 일을 하지 않는 것이 보통이라는 뜻일까요?어떻게 결정을 내리고 올바른 결정을 내렸다는 것을 어떻게 증명할 수 있을까요?
32:45 트리스탄 모건
그래서 저는 당신이 여기서 타당한 주장을 하고 있다고 생각합니다. 즉, 의사 결정에 대한 증거가 필요하고 비례성에 관한 입장을 취하는 것이 핵심이라는 것입니다.그렇다면 어떻게 결정을 내리고 증거를 얻으셨을까요?마크의 요점을 말씀드리자면, 실제로 조언을 구하는 것도 가능하다는 측면에서 말씀드리고 싶습니다. 왜냐하면 분명히 여러분이 하고 싶지 않은 것은 가정을 하고 나서 그것이 결국 유효하지 않다는 것을 증명하는 것이기 때문입니다.오늘 내리는 모든 결정을 이해하려면 정기적인 검토가 필요하다는 점도 주목할 가치가 있습니다. 너무 엄격하지 않나요?우리가 구현한 것에 대해 충분히 엄격하지 않나요?하지만 잠깐 전에 다시 돌아와서 말씀드리고 싶은 것은, 바이너리에 관한 질문이 아닙니다. 아시다시피, 1이든 0이든 말이죠.사실 이것은 키 스케일에 관한 것입니다.필요한 핵심 요소를 살펴볼 때는 다양한 플랫폼 시스템과 기능의 스택 랭킹에 대해서도 생각해 보는 것이 중요합니다.제가 고객들과 자주 이야기했던 것은 고객들이 우리가 구매 주문서를 작성할 수 없다면 그게 정말 중요하겠냐고 생각하는 경우가 많다는 것입니다.저희가 말했죠. 음, 사실 사고 대응 전문가를 고용하기 위해 그게 필요하다면 문제가 될 수도 있겠죠.따라서 규정을 어느 수준까지, 어느 정도까지 준수하고 싶은지 결정할 때 시뮬레이션과 사고의 일환으로 매우 상세한 방식으로 해결해야 할 사항이 많이 있습니다.
34:03 라구 난다쿠마라
정말 좋은 지적입니다.예를 들어, 비즈니스를 유지하고 운영하기 위해 지속적으로 실행되도록 보장해야 하는 소규모 핵심 비즈니스 프로세스는 무엇일까요?그게 다른 모든 것의 근간이라고 생각해요.그럼 보통 거기서 대화가 시작되죠?이것이 회사로서 여러분이 갖추어야 할 최소 기준인가요?
34:28 트리스탄 모건
네, 저는 항상 고객부터 시작해서 이렇게 말하라고 권합니다. 사실 제가 고객이라면 어떤 것이 있는지, 계속 서비스를 받으려면 어떤 서비스가 필요할까요?거기서는 최소한의 것들에 대해 어려운 결정을 내려야 할 것입니다.Mark가 현금을 받거나 돈을 이체할 수 있는 방법에 대해 얘기했어요.금융 서비스 부문에서는 이런 것들이 근본적으로 중요하죠. 그리고 조직을 통해 이를 다시 검토할 경우 어떤 플랫폼 시스템 등을 유지 관리해야 하는지 실제로 살펴보다가 중요한 한 가지를 놓치게 된다는 위험이 따르기 때문에 실제로 고객에게 다가갈 수 있다는 뜻입니다.그래서 저는 앞부터 뒤까지 살펴보는 것을 권합니다.
35:08 라구 난다쿠마라
확실히 맞아요.왜냐하면 일단 목록을 만들고 나면 이렇게 얘기할 수 있으니까요. “좋아, 그럼, 이런 것들이 직면한 위협은 뭐지?그들은 어떤 위험에 처해 있는 걸까요?”그런 다음, 통제 격차가 어디에 있는지 파악하는 방법을 살펴본 다음, 이를 완화하기 위해 어떤 추가 통제 수단을 마련해야 하는지 결정하고, 이를 계속 테스트하고 개선해 나가세요.
35:32 트리스탄 모건
그리고 작업을 진행하면서 컨트롤의 많은 격차를 식별할 수 있습니다.그리고 이렇게 말하는 것이 중요합니다. “글쎄요, 어떤 것에 우선순위를 둘 건가요?어떤 것이 가장 중요할까요?”그냥 해야 할 일을 700가지로 정리하는 것보다는 말이죠.중요한 것은 회사가 계속 운영되고 고객에게 서비스를 제공할 수 있도록 하는 데 어떤 것이 가장 큰 영향을 미치는지 파악하는 것입니다.
35:51 라구 난다쿠마라
네, Mark, 제 생각에 그 예를 들자면, 비즈니스 정보에 입각한 접근 방식은 비례성과 관련이 있습니다. 이는 기본적으로 사용자와 프로세스가 직면하고 있는 위협이 무엇인지 매핑하여 테스트 방식을 좌우합니다.이것이 DORA의 핵심 부분이라고 생각하는데, 이는 과거 금융 서비스의 위험 관리 분야에서 적용되었던 다른 규정들과 차별화된다고 생각합니다.그렇게 보시는 건가요?
36:18 마크 헨드리
네, 그렇게 생각해요.트리스, 당신 말에 전적으로 동의해요.말하자면, 사람들이 피해를 입으면 어떤 점을 알아차릴 수 있을까요? 불편하거나 고통스럽기 때문이고 사람들이 기업 대 소비자 금융 서비스 조직 또는 기업 대 기업 (B2B) 이라고 말하지만 규제 조사가 가장 빠르게 이루어질 거라는 것을 알면 말이죠.그런 것들은 무엇이고 거꾸로 되돌아가는 것은 무엇일까요? 서로 연결되어 있는 것은 무엇일까요?그들은 무엇에 의존하는 걸까요?그리고 그 단서는 비즈니스 영향 분석이라는 이름에 있습니다.당나귀 녀석들을 데리고 이런 일을 해왔는데, 우리 뒤에 날카로운 막대기가 있어서 이제 DORA의 형태로 해야겠다고 강요했어요.금융 서비스 분야에서는 항상 그런 모습을 보여왔죠.어쨌든 다른 산업들은 처음으로 급격한 곤경에 직면하고 있습니다.하지만 여기서는 주로 DORA에 대해 이야기하고 있습니다.여기서 또 다른 요점이 하나 있는데, 바로 우리가 DORA 집행의 길을 가고 있다는 것입니다. 아직 어떤 모습인지는 모르겠지만 금융 서비스, 감독 당국은 일반적으로 더 나은 장비를 갖추고, 잘 훈련된 인력과 무난한 자원을 갖추고 있다는 것을 알고 있습니다.규제 기관이나 감독관 대신 일하는 사람이 있다면 아마 의견이 다를 것입니다.물론 서로 의견이 다를 수도 있지만, 다른 사람들과 비교했을 때 그들은 경쟁에서 앞서가고 더 활동적입니다. 왜냐하면 그게 정말 중요하기 때문이죠.그런데 도라가 이제 4개월 남았다는 거지?그럼, 계획대로 안 되면 어떡하죠?어떤 것에 우선순위를 둘 건가요?어떤 부분을 더 깊이 있게 다루거나 가볍게 터치할 건가요?그리고 앞서 책임에 대해 말씀드렸죠.무언가 잘못될 경우, 그 일을 맡았을 당시에 가지고 있었던 정보를 바탕으로 적절한 결정과 조치를 취해야 했던 이유에 대해 어떻게 설명하실 건가요?이 모든 것이 조사가 진행되고 집행이 계산되고 결정될 때 영향을 미칩니다.단속이 이루어지지 않을 거라는 뜻은 아닙니다. 하지만 이러한 상황을 완화할 수 있는 상황에 대해 좋은 이야기를 들려주고 현명한 결정을 내렸거나 적어도 과실은 아니었음을 증명할 수 있다면 자신이 좋은 일을 하고 있다는 것을 알 수 있습니다.따라서 현재 DORA 프로그램에서 뒤쳐져 있다면 앞서 말씀드린 내용을 생각해 보십시오. 가장 큰 타격을 입힐 것은 무엇인지, 우선순위는 무엇인지, 선을 넘을 수 있는 것은 무엇인지, 내년에 어떤 일에 착수할 예정인지 조금이나마 위험 균형 차원에서 말이죠.
38:50 트리스탄 모건
금융 서비스 회사가 규제에 매우 익숙한 경우가 많다고 생각하는 것이 맞습니다.하지만 아시다시피, 앞서 말씀드렸듯이 ICT 기업과 그 중 다수를 포함한 DORA의 범위를 생각해 보면 실제로 이런 유형의 규제가 적용되는 것은 이번이 처음입니다.따라서 규정을 준수하기 위해 노력해야 하는 오버헤드뿐 아니라 비용도 발생합니다.그리고 이들 중 일부는 상대적으로 규모가 작은 기업일 수 있기 때문에 여정을 시작하는 것뿐만 아니라 규정 준수에 드는 비용도 상당히 부담스러울 수 있습니다.
39:20 마크 헨드리
당신 말이 맞아요.이런 것들의 범위를 규제 대상이 아닌 사업체로 확대하는 거죠.따라서 규제가 적용되지 않는 기업은 Dora의 범위에 속합니다. 유럽 금융 서비스 경제에 중요하거나 중요한 ICT 공급업체이기 때문입니다.사실, DORA에는 꽤 흥미로운 것이 있습니다.DORA에는 어떤 메커니즘이 있는데, 저는 이것이 어떻게 작동하는지 정말 궁금합니다. 이를 통해 자산 등록이라고 불리는 것이 무엇인지 궁금합니다.금융 서비스 기관이 스프레드시트를 작성해야 하는 경우 이러한 스프레드시트는 당사의 중요한 중요 정보 시스템, ICT 및 제3자 자산이며 요청 시 일정 빈도로 감독 당국에 공개해야 합니다.그 이후에는 감독 당국이 ICT 제공업체를 중요 및 중요 공급업체로 지정하게 됩니다.이제 저는 조정 메커니즘, 협력 메커니즘이 있는 상황을 예견할 수 있습니다. 이로 인해 모든 자산 등록부가 빅 데이터 유출에 빠지고 갑자기 유럽 위원회 차원에서 역사상 처음으로 이러한 모든 상호 연결과 교차점이 어떻게 운영되는지에 대한 훌륭한 층과 계층, 심층적인 계층이 생겼습니다.저한테는 DORA를 통해 이 목표를 달성할 수 있다면 우리가 어떻게 회복력을 유지할 수 있을지에 대해 매우 강력하며, 거기에 도달하기 위해 무엇이 필요한지 잠깐 잊어버릴 지경입니다.그 통찰력을 얻는 것만으로도 수십 년의 시간이 걸리고 우리는 그 정점에 다다랐을 수도 있습니다. 괴짜 말로는 멋지죠.
40:55 라구 난다쿠마라
네, 물론이죠.제 생각엔 그냥, 두 가지 반응이 있는 것 같아요.첫 번째 반응은 다음과 같은 반응입니다. 은행, 금융 서비스 산업, 기술 서비스 제공업체 간의 상호 의존성, 이 모든 것이 어떻게 상호 연결되어 있는지, 그리고 그 깊이를 완전히 이해한다는 것은 정말 놀랍습니다.하지만 기술 공급업체에서 일하는 것도 마찬가지죠.제가 걱정하는 건, 제가 그 명단에 있는지, 그리고 그 명단에 없더라도 제가 비판적인지 아닌지 어떻게 알 수 있느냐는 거예요.제가 비판적이지 않나요?그리고 고객 중 한 명이 “아, 그들은 중요한 기술 제공업체이고 다른 고객은 우리가 아니라 우리가 그 목록에 포함되지 않았어요.” 라고 말하는 것을 어떻게 구별할 수 있을까요?그렇다면 그게 제 의무에 어떻게 작용할까요? 아직 명확하지 않다고 생각하기 때문이죠.
41:48 마크 헨드리
그래서 저희 회사는 방금 올해의 핀테크 어드바이저를 수상했습니다.상상할 수 있는 것처럼, 우리는 그 스펙트럼의 최하단에 속하는 많은 기업들과 협력하고 있습니다. 그리고 그들은 기본적으로 디지털 은행이나 그와 비슷한 회사이기 때문에 규제를 받고 있습니다.그리고 이들이 EU 시장에서 사업을 운영하거나 유럽 규제 기관의 감독을 받는다면 그 범위가 어디인지 짐작해 보세요.하지만 그들이 기술자이기 때문에 기술 쪽에 속한다면, 그들은 기본적으로 기술 제공업체이고 고객은 금융 서비스 기업입니다.금융 서비스 고객이 어디에서 사업을 운영하고 있으며 어떤 서비스를 제공하는지 살펴보는 것만으로도 충분합니다.만약 당신이 그들에게 중요한 존재라고 생각한다면, 당신이 실패하면 그들이 할 수 있는 일을 더 이상 하지 못하게 될 거라고 생각한다면, 그건 바로 논리력 연습을 하는 겁니다.소매, 제약 제조 및 금융 서비스 분야의 고객을 보유한 광범위한 기술 기업이라면 말이죠.같은 운동만 하세요.금융 서비스 고객은 누구인가요?고객에게 요금을 청구하기 때문에 고객이 누구인지 알 수 있고, 고객이 어떤 의미인지, 하루가 지나고 계획을 세우고 또 논리적 연습을 하게 되면 어떤 일이 벌어지는지 생각해 보세요.하지만 Tris의 요점에 대해 말씀드리자면, 확실치 않다면 상담을 받아보세요.
43:00 트리스탄 모건
평의회를 찾는 것에 대한 마지막 요점을 고르는 것 같아요.그러니까, 알다시피, 아무도 혼자서는 이 일을 할 수 없어요.그리고 도움을 줄 수 있는 많은 제3자들이 있습니다. 우선 어디에, 어디로 가야 하는지에 대한 비례성에 대해 이야기하고, 다른 부문들이 어떤 일을 했는지 알 수 있죠.그리고 사람들이 적절한 수준의 부담 없이 적절한 수준으로 규정을 준수할 수 있도록 그러한 판단을 내릴 수 있도록 도와주세요. 특히 이렇게 규제가 심한 영역에서 자연스럽게 생겨나지 않은 회사들은 더욱 그렇습니다.그리고 Mark는 금융 서비스 분야로 진출한 기술 회사에 대해 이야기했습니다.이들 중 일부는 다른 사람들과 함께 일하는 것이 가장 중요하다고 생각하는 분야라고 생각합니다.
43:42 라구 난다쿠마라
시간이 점점 가까워지고 있습니다. 이것은 제로 트러스트 팟캐스트입니다. 제로 트러스트라는 용어에 대해 한 번도 언급한 적이 없기 때문에 이제 그렇게 할 의무가 있다고 생각합니다.트리스는 먼저 여러분부터 시작하겠습니다.그래서 DORA는 목표가 무엇인지에 대해 많은 이야기를 나누었습니다. 그리고 EU의 금융 서비스 산업의 탄력성을 개선하여 사이버 공격이 발생한 상황에서도 지속적이고 생산성을 유지할 수 있도록 하는 것을 목표로 하고 있습니다.그리고 접근 범위를 줄이는 것과 관련해서는 많은 기술적 요구 사항이 있습니다.하지만 제로 트러스트라는 용어를 아주 의도적으로 한 번 언급한 것은 아닙니다.제로 트러스트와 DORA의 관련성에 대해 어떻게 생각하시나요? 그리고 의도적으로 제로 트러스트를 생략한 이유는 무엇인가요?
44:28 트리스탄 모건
두 번째 요점을 말씀드리자면, 먼저 왜 빠졌는지에 대해 말씀드리겠습니다.따라서 제로 트러스트는 모든 비즈니스의 보안 입지를 근본적으로 높이기 위한 기능 그룹을 하나로 묶어 부르는 광범위한 보안 용어임은 분명합니다.따라서 우리는 제로 트러스트가 미래에는 용어로서 바뀔 수 있다는 점을 염두에 두어야 합니다. 하지만 제로 트러스트를 뒷받침하는 원칙, 그리고 이름을 붙이지 않은 이유 중 하나는 사실 근본적으로 중요합니다.저는 그것들을 네 가지 관점에서 바라봅니다.위협을 식별하고, 심각하거나 중요하지 않은 위협이 무엇인지, 그리고 그러한 종류의 타사 종속성을 파악하는 것입니다.그렇다면 제로 트러스트를 통해 공격을 보호하고 방지하는 데 도움을 줄 수 있는 방법은 무엇일까요? 적절한 모니터링과 적절한 제어를 해야 하는 부분뿐만 아니라 공격인지 확실하지 않은 일에 대해 더 발전된 조치를 취해야 한다는 사실도 인식할 수 있습니다.이를 위해서는 심화된 보안, 예를 들어 심화된 보안, 특히 국가 유형의 활동에 대해 말하자면 첨단 위협 사냥이 정말 중요합니다.아시다시피 제로 트러스트의 또 다른 핵심 요소는 이러한 공격에 대응하고 복구하는 방법을 살펴보는 것입니다.대부분의 기업은 계속해서 용량을 판매할 수 있기를 원한다는 점을 염두에 두세요.따라서 제로 트러스트는 이들 중 다수를 하나로 묶는 것도 좋지만 근본적으로 이것이 중요한 이유입니다.물론 일부 기업의 경우 제가 방금 말씀드린 네 가지 사항 중 하나를 확대하거나 축소하고 싶을 수도 있습니다. 왜냐하면 이러한 것들은 여러분이 하는 일과 가장 관련이 있기 때문입니다. 하지만 가장 중요한 것은 제로 트러스트의 원칙을 보면 최소 권한의 개념에 관한 것입니다.따라서 직원이나 고객에게 필요한 작업을 수행할 수 있는 최소한의 권한을 부여하고, 직원으로서 영원히 관리자 액세스 권한을 부여하던 시절보다는 필요하지 않을 때는 그렇게 하는 것이 좋습니다.알다시피, 그건 우리가 원하는 게 아니에요.제로 트러스트가 해야 할 일은 사람들이 들어오는 것을 근본적으로 더 어렵게 만드는 것입니다.하지만 사람들이 조직에 침투할 경우 이를 매우 신속하게 탐지하고 대응하고 복구할 수 있어야 합니다.
46:32 라구 난다쿠마라
네, 물론이죠.그리고 그들이 조직 내에서 얼마나 멀리 갈 수 있는지도 제한하세요.그들이 안으로 들어갈 수 있다면 얼마나 멀리 이동할 수 있을까요?네, 정말 환상적으로 표현했어요.그렇죠?이것은 DORA에만 적용되는 것이 아니라 그 이상에도 적용되는 일련의 원칙입니다.제 생각에 DORA는 이러한 원칙 중 일부를 필요에 따라 높이거나 낮출 때 혜택을 볼 수 있는 것 같아요.마크, 어떤 생각 있으세요?
46:56 마크 헨드리
네, 저기 있어요.제로 트러스트가 거기 있어요.이는 오늘날 우리가 열망하고 실천하고 있는 표준입니다.이 용어는 시간이 지남에 따라 발전할 수 있습니다. 그래서 트리스의 관점에는 이 용어가 없을 수도 있습니다. 하지만 제로 트러스트라는 요소는 거기 있죠.DORA에서 검색해 보셨을 때, 마이크로세그멘테이션에서처럼 망의 요소들을 즉시 분리해서 담아내는 세그멘티드 (segmented) 라는 단어를 찾아보셨을 겁니다. 그 단어는 바로 거기에 있습니다.꼭 그 안에 있어요.그래서, 찾고 있는 게 뭔지 알면 찾을 수 있을 거예요.그리고 제로 트러스트는 진화할 것입니다.우리가 달성하고자 하는 다른 이름이나 다른 특성으로 발전할 수도 있습니다.하지만 DORA는 오래갈 수 있어야 합니다.그리고 규제 기술 표준이나 이에 수반되는 기술 표준 구현에 제로 트러스트와 같은 용어가 등장하기 시작할 수도 있습니다.하지만 그 이유는 바로 여기에 있습니다. 앞서 말씀드린 것처럼 위험으로부터 조직을 보호할 수 있는 아주 좋은 방법이기 때문입니다.
47:53 라구 난다쿠마라
그리고 저를 믿으세요. 세그멘테이션 공급업체로서 저는 구글에서 모든 단일 용어와 모든 동의어를 검색하여 모두 찾았습니다.이제 시간이 거의 다 된 것 같아요.트리스, 내가 같이 갈게. 먼저 너한테 와봐.마지막으로, 청취자 여러분, DORA에 대해서뿐만 아니라 현재의 보안 위험 규정 준수와 향후 어떻게 발전할 것인지에 대해 어떻게 생각해 보시겠습니까?
48:17 트리스탄 모건
여기서 우리가 얻을 수 있는 것은 우리가 한 부문으로서 디지털 기술의 사용을 늘려가는 것처럼, 적대자들도 이를 이용해 점점 더 많은 것을 목표로 삼고 이익을 얻으려 한다는 것을 알고 있다는 것입니다.따라서 보안을 살펴보면 모든 사람이 조직 내에서 중추적이고 가장 중요한 요소라는 것을 알 수 있습니다. 보안을 더 잘 탐지하고 방어하여 궁극적으로 고객에게 더 나은 서비스를 제공할 수 있도록 하기 위해서입니다.제 말은, 바로 이 부분에서 규정과 DORA가 개입하여 지침, 표준화, 궁극적으로는 이를 위해 필요한 협력을 제공하는 데 도움이 됩니다. 올해뿐만 아니라 내년뿐 아니라 향후 5-10년 동안 말이죠.
49:02 라구 난다쿠마라
더 나은 협업과 더 나은 표준을 제공합니다.총체적으로 보안을 개선하기 위해서죠.
49:09 트리스탄 모건
네, 더 나은 협업, 더 나은 표준.그게 성공의 열쇠라고 생각해요.
49:16 라구 난다쿠마라
멋지네요, 마크?
49:18 마크 헨드리
네, 트리스의 말에 동의합니다.여긴 에버그린이에요.곧 다가옵니다.아직 안 왔지만 곧 올 거예요. 늘 푸르게 자라요.그럼 좋은 곳으로 가봅시다. 그리고 거기서 계속 건물을 짓고, 당신을 데려가려는 곳으로 끌려가 발차기와 비명을 지르지 않도록 노력합시다.이점에 대해 생각해 보세요.가치 보호에 관한 거죠.안정성과 탄력성이 관건이죠.회복력에 대해 생각해 보세요.네, 그게 바로 메시지입니다.회복력에 대해 생각해 보세요.규정 준수에 대해 너무 많이 생각하지 말고 비즈니스에 적합하도록 규정을 준수하는 방식으로 진행하세요.올바르게 해석하세요.좋은 이야기를 들려주고 자신에게 맞는 것을 실천해 보세요. 그러면 꽤 좋은 결과를 얻을 수 있을 거예요.
49:55 라구 난다쿠마라
글쎄요, 이 말을 마무리하기 위해 두 분의 아주 현명하고 유익한 말씀인 것 같아요.트리스, 마크, 오늘 시간 내주셔서 정말 고마워요.두 분 모두와 이야기 나눠서 정말 좋았어요. 모든 지혜에 감사해요.얘들아, 고마워.