금융 서비스 규정 준수·보안 강화 '필수'…레드햇이 제시한 방안은?

레드햇이 리스크를 효과적으로 관리하고 보안성을 유지할 수 있는 플랫폼을 앞세워 금융 시장 공략에 속도를 내고 있다. 

레드햇은 금융 서비스 분야에서 조직의 GRC(거버넌스, 리스크 관리, 컴플라이언스) 절차를 보완하는 혁신적인 접근 방식인 '자동화된 코드형 정책'을 '앤서블 자동화 플랫폼(Red Hat Ansible Automation Platform)'을 통해 지원하고 있다고 14일 밝혔다.

금융 기관에서 자동화된 코드형 정책을 사용하면 앤서블(Ansible) 자동화에 대한 규칙을 적용할 수 있다. 정책을 각 자동화 작업에 수동으로 통합할 필요 없이 자동화 작업의 어느 단계에서나 정책을 적용할 수 있다. 또 정책을 코드화함으로써 금융 기관은 일관되게 표준 정책을 적용하고 규정 미준수 또는 운영 실패의 위험을 줄일 수 있다.

레드햇 관계자는 "규제와 관련한 요건들은 종종 복잡성을 동반하며 이러한 프로젝트 중 상당수는 비용 및 시간 소모적이고 까다로운 경우가 많다"며 "이에 따라 내부 규정이나 더 큰 규제 프로세스의 보안 등을 포함한 세부 요소에서부터 시작해 점차 확장해 나가는 것이 권장된다"고 설명했다.

또 레드햇은 자동화된 코드형 정책이 금융 서비스에 중요한 이유로 ▲운영 일관성 ▲규제 준수 ▲리스크 관리 ▲비용 효율성 ▲향상된 민첩성 등 5가지를 꼽았다. 이 중 운영 일관성은 금융 서비스의 신뢰성을 유지하기 위한 핵심 요소다. 자동화된 코드형 정책은 프로세스의 표준화를 지원해 운영이 정의된 정책을 준수하게 함으로써 재정적 손실이나 고객 불만으로 이어질 수 있는 오류나 운영상의 불일치 가능성을 줄이는 데 도움이 될 수 있다.

금융 서비스는 규제가 아주 엄격한 산업 중 하나로, GDPR, SOX, PCI-DSS 등의 규정 준수가 필수적이다. 자동화된 코드형 정책은 이 같은 규정을 모든 자동화된 프로세스에서 일관되게 적용하는 것을 돕고 문제의 신속한 해결할 수 가능케하기 때문에 벌금이나 평판 손상의 잠재적 위험을 줄일 수 있다.

리스크 관리 측면에서도 자동화된 정책은 중요하다. 이를 적용하면 데이터 암호화나 액세스 제어, 감사 로깅과 같은 보안 조치를 시행할 수 있다. 예를 들어 알려진 취약점이 있는 애플리케이션이 배포되거나 민감한 데이터가 암호화되지 않은 형식으로 저장되는 것을 방지할 수 있다. 이러한 점검을 자동화함으로써 데이터 유출 및 기타 보안 사고의 리스크를 크게 줄일 수 있다.

비용 절감 측면에서도 유리하다. 수동으로 정책을 적용하는 것은 많은 리소스를 필요로 하며 인적 오류가 발생하기 쉽다. 정책 시행을 자동화하면 일일이 관리 감독할 필요성이 줄고, IT팀이 전략적 업무에 집중할 수 있게 한다. 또 통제되지 않은 클라우드 지출이나 규정에 어긋난 리소스 구성과 같은 문제를 줄여 운영 비용을 관리하는 데 도움이 된다.

자동화된 코드형 정책은 새로운 규정, 기술 및 비즈니스 요구사항에 신속하게 적응할 수 있는 유연성도 제공한다. 정책을 중앙에서 업데이트하고 모든 자동화 워크플로우에 적용할 수 있어 조직은 역동적인 환경에서도 민첩성을 유지하고 규정을 준수할 수 있다.

관련기사

다만 금융 기관에서 자동화된 코드형 정책을 시작하기 위해서는 주요 정책을 식별하고 레드햇 앤서블 자동화 플랫폼과 같은 플랫폼을 활용해 자동화된 코드형 정책 프로세스를 간소화하는 것이 중요하다. 또 관리가 쉬운 작은 범위서부터 시작하고 전문 지식과 자신감이 쌓임에 따라 범위를 점차 확장해 나갈 필요가 있다.

레드햇 관계자는 "자동화된 코드형 정책은 단순히 기술적 발전에 그치는 것이 아니라 금융 서비스 업계가 규정 준수와 보안 및 운영 효율성을 강화하기 위해 필수적으로 고려해야 할 전략적 과제"라며 "정책을 자동화 워크플로우에 포함함으로써 금융 기관은 현대 규제 환경의 복잡성에 보다 자신감 있고 민첩하게 대처할 수 있다"고 설명했다.