Mahesh Kumar Jain: 안전한 금융 시스템을 위한 사이버 보안

[힘힘]

Mahesh Kumar Jain: 안전한 금융 시스템을 위한 사이버 보안

인도 중앙은행 부총재 Mahesh Kumar Jain이 2023년 6월 5일 뭄바이에서 열린 인도 G20 의장단의 국제 행사인 "은행 부문을 위한 사이버 보안 훈련"에서 기조 연설 을 했습니다 .

중앙 은행 연설  |  

2023년 6월 6일

마헤 쉬 쿠마르 자인 

PDF 전문

 (11kb)

  |  5페이지

Sanjay Bahl 박사, Computer Emergency Response Team 국장 – In (CERT-In), IMF, BIS, 다른 중앙 은행 및 CERT의 대표단, 인도 은행의 MD/CEO 및 전 세계 팀 구성원의 귀빈 외국계 은행의 CISO와 CTO 여러분, RBI 동료 여러분, 신사숙녀 여러분. 여러분 모두에게 좋은 아침입니다.

2. 빠르게 진화하는 디지털 시대에 점점 더 관련성이 높아진 사이버 보안의 중요한 영역을 논의하는 이 중요한 행사에 참여해 주신 모든 분들께 감사드립니다. 금융 거래가 디지털 플랫폼으로 이동함에 따라 정보 기술 인프라에 대한 의존도는 기하급수적으로 증가합니다. 이러한 변화는 부인할 수 없는 편리함과 효율성을 가져오지만 우리를 증가하는 위험에 노출시킵니다. 악의적인 의도와 금전적 이익을 추구하는 사이버 범죄자는 디지털 시스템의 취약성을 지속적으로 악용하여 보안 방어를 뚫고 귀중한 데이터에 대한 무단 액세스를 시도합니다.

3. 금융 거래가 몇 초 만에 대륙을 가로지르는 상호 연결된 세계에서 사이버 위협에 대처하기 위한 국제 협력의 필요성이 가장 중요해졌습니다. 은행을 대상으로 하는 사이버 공격은 개별 기관의 안정성을 위태롭게 할 뿐만 아니라 금융 시스템을 혼란에 빠뜨릴 가능성이 있으므로 국가가 힘을 합쳐 이 긴급한 문제를 해결해야 합니다. 따라서 인도 G 20 의장국의 이번 행사는 은행 부문의 사이버 보안 문제를 해결하기 위한 다양한 국제 기구의 노력을 보완하는 데 중요합니다.

기술의 중요성

4. 기술은 금융 부문을 형성하는 원동력이 되어 효율성, 접근성 및 경제성을 높였습니다. 그러나 현재의 핀테크 혁명은 향상된 컴퓨팅 성능과 새로운 기술의 사용으로 정의되는 여러 면에서 독특합니다. 또한 새로운 참가자와 혁신적인 비즈니스 모델이 등장하고 있습니다.

5. 이전에는 금융 서비스의 디지털화를 통해 은행과 금융 기관이 고객의 위험 프로필을 이해하는 데 사용되는 소비자에 대한 구조화된 데이터를 가질 수 있었습니다. 그러나 빅 데이터 분석의 등장으로 반정형 데이터와 비정형 데이터를 번갈아 사용하여 고객 선호도 및 행동에 대한 더 나은 통찰력을 얻을 수 있습니다.

6. 데이터는 경제 성장, 혁신을 주도할 수 있는 막대한 가치와 잠재력, 그리고 책임감 있게 사용될 때 가져올 수 있는 긍정적인 영향으로 인해 종종 "새로운 석유"라고 불립니다. 그러나 무책임하게 사용하면 개인 정보 침해, 신원 도용 및 사기, 표적 광고를 사용한 조작 등과 같은 몇 가지 부정적인 결과가 뒤따릅니다. 실제로 무책임한 데이터 사용은 개인에게 위험을 초래할 뿐만 아니라 디지털 생태계에 대한 신뢰를 훼손하고 재정적 안정과 국가 안보에 영향을 미칩니다.

금융 안정성 취약성 이해

7. 사이버 관점에서 나타나는 금융 안정성 취약성을 이해하는 것은 기존 자본 및 유동성 처방이 재정적 손실을 완화하는 것과 같은 방식으로 사이버 사건의 영향을 완화하지 못할 수 있기 때문에 중요합니다. 예를 들어, 자본과 유동성은 사이버 사고에 대응하기 위한 재정적 자원을 제공할 수 있지만 시스템이나 데이터 복구 프로세스를 가속화하지는 못할 수 있습니다.

8. 사이버 공격은 은행 내 중요한 금융 운영을 방해하여 거래 처리, 고객 계정 액세스 또는 필수 기능 실행을 불가능하게 만들 수 있습니다. 이러한 혼란은 고객과 기업이 자금에 접근하거나 정상적인 금융 활동을 수행하는 데 어려움을 겪을 수 있기 때문에 은행 시스템에 대한 신뢰를 잃을 수 있습니다. 이러한 혼란은 특히 여러 은행에 영향을 미치거나 장기간 지속되는 경우 금융 불안정으로 이어질 수 있습니다.

9. 결제 시스템 운영 시간 연장, 청산 및 결제 창 단축과 같은 서비스 제공의 향상으로 금융 시스템은 사이버 사고 후 운영을 복구할 수 있는 서비스 중단이 줄어듭니다. 사건의 성격과 범위에 대한 불확실성은 상대방, 경쟁사 또는 영향을 받지 않는 금융 기관 운영 부문에 대한 실행을 촉발할 수도 있습니다.

10. 실제로 Colonial Pipeline에 대한 2021년 랜섬웨어 공격은 금융 기관은 아니지만 중요한 인프라 시스템의 상호 연결성과 은행을 포함한 다양한 부문에 대한 잠재적인 연쇄 효과를 강조했습니다. 그것은 사이버 공격이 어떻게 실행, 이 경우 런온 주유소를 촉발시켜 원래의 충격을 훨씬 넘어서는 효과를 증폭시킬 수 있는지를 보여주었습니다.

11. 기업 수준의 사이버 레질리언스에 대한 광범위한 감독적 관심이 지속되고 있지만 데이터 격차는 여전히 남아 있습니다. 기업 수준에서는 사이버 사고에 대한 일관된 데이터가 필요합니다. 시스템 수준에서 디지털 상호 의존성의 관련 데이터 측정과 백업 시스템을 신속하게 활성화할 수 있는 속도가 필요합니다.

사이버 보안 및 디지털 금융 포함

12. 사이버 위험은 금융 포용 노력에도 상당한 영향을 미칠 수 있습니다. 금융 포용은 소외되고 소외된 인구에게 금융 서비스에 대한 액세스를 제공하는 것을 목표로 하며 디지털 공공 인프라를 통해 이 분야에서 급속한 발전이 이루어졌습니다. 그러나 이러한 인구는 사이버 보안에 대한 인식이 부족하기 때문에 사이버 위험에 더 취약합니다.

13. 개인은 금융 포용이라는 이름으로 온라인에 접속하여 복구할 수 없는 사이버 피해에 노출될 경우 신뢰를 잃을 수 있습니다. 디지털 금융 통합이 성공하려면 사람들을 디지털 경제로 끌어들이는 것만으로는 충분하지 않습니다. 모든 이해 관계자는 또한 사람들이 노출될 수 있는 위험에 대해 회복력이 있는지 확인해야 합니다.

인도의 관점

14. 이 기회를 빌어 인도인의 관점을 공유하고 싶습니다. 금융 상품 및 서비스의 혁신과 디지털화를 장려하는 동시에 RBI의 접근 방식은 혁신이 금융 시스템에 비파괴적인 방식으로 동화되도록 하고 디지털화 과정에서 모든 단계에서 고객 보호를 보장하는 것이었습니다.

15. 인도는 디지털 결제 거래에 대한 이중 인증 의무화를 통해 사용자를 보호하는 몇 안 되는 국가 중 하나입니다. 지금은 혁신적인 규제로 인정받고 있지만, 약 10년 전 RBI가 도입했을 당시에는 반발과 비판이 있었습니다. 마찬가지로 카드 사용에 대한 고객 통제 개선, 거래 실패에 대한 처리 시간 단축, 토큰화 등과 같은 최근의 조치는 모두 고객을 보호하기 위한 이니셔티브입니다.

16. 지불 공간에서 RTGS(Real Time Gross Settlement) 및 NEFT(National Electronic Fund Transfer)가 연중무휴로 이루어졌습니다. 또한 RBI는 1996년에 IDRBT(Institute for Development and Research in Banking Technology), 2008년에 National Payment Corporation of India와 같은 적절한 기관 설립을 촉진하여 다양한 결제 시스템 기술 및 솔루션을 개척하는 데 중요한 역할을 했습니다.

17. 적절한 규제 프레임워크를 통해 RBI는 디지털 대출, 오픈 뱅킹 및 P2P 대출 플랫폼의 혁신을 장려했습니다. 규제 샌드박스 프레임워크는 2019년에 만들어졌으며 혁신적인 금융 상품 및 서비스의 채택을 장려하기 위해 여러 코호트를 운영했습니다. 중앙은행 혁신 허브(RBIH)는 금융 혁신과 관련된 아이디어 교환 및 프로토타입 개발을 위해 금융 부문 기관, 기술 산업 및 학술 기관과 협력하기 위해 설립되었습니다. 해커톤과 같은 경쟁 이벤트는 핀테크 및 스타트업 부문이 혁신을 선보일 수 있는 채널을 제공하기 위해 개최됩니다.

18. 안전, 속도 및 확장성에 중점을 둔 지원 규제 환경은 인도를 결제 시스템 혁신의 리더로 자리매김했습니다. 예를 들어, 2016년에 출시된 인도의 즉시 결제 시스템인 UPI는 인도에서 2023년 5월 평균 일일 거래량이 3억 건 이상, 가치가 4,800억 루피로 놀라운 성장을 보였습니다. 최근 인도와 싱가포르는 UPI와 Pay Now를 묶었습니다. 양국 간의 실시간 국경 간 송금을 허용하는 시스템. 실제로 다른 국가와의 파트너십 및 협력을 통해 전 세계적으로 UPI를 사용할 수 있는 엄청난 잠재력이 있습니다.

19. 또한 RBI는 사이버 위험에 대한 감독 감독을 강화하기 위해 지속적으로 노력하고 있습니다. 모의 피싱, 사이버 정찰 및 기타 사이버 훈련은 지배적인 사이버 위험에 대한 체계적 관점을 얻기 위해 감독 프로세스를 보완합니다. RBI는 또한 은행 및 금융 부문의 사이버 위험을 주요 방식으로 해결하는 데 도움이 될 수 있는 부문별 보안 운영 센터(S-SOC)와 같은 혁신적인 도구의 개발을 장려했습니다.

20. 사이버 위험이 규제를 능가한다고 하지만 인도 중앙은행은 규제 대상 기관의 IT 및 사이버 위험 관리를 강화하기 위한 조치를 적극적으로 취하고 있습니다. 빠르면 2011년에 IT 위험 관리를 위한 세부 지침이 은행에 발표되었고 2016년에는 원칙 기반 사이버 보안 프레임워크가 발표되었습니다. 디지털 결제 보안 제어 및 IT 서비스 아웃소싱에 대한 규정도 발표되었습니다. RBI는 또한 IT 거버넌스에 대한 가이드라인 초안을 발표했으며 곧 마무리되어 발행될 것입니다.

집단적 노력 필요

21. 사이버 위협의 글로벌 특성을 고려할 때 정부, 금융 기관 및 기술 회사의 노력은 사이버 위협을 방어하기에는 불충분합니다. 사이버 위협은 지리적 경계를 초월하므로 국가와 금융 기관이 이를 해결하기 위해 협력해야 합니다.

22. 글로벌 사이버 보안 환경을 개선하는 데 도움이 되는 6가지 전략을 요약하고 싶습니다.

1. 첫째, 핵심 인프라를 포함하여 주요 운영 및 기술 상호 연결을 매핑하여 글로벌 금융 시스템의 상호 의존성을 더 잘 이해할 필요가 있습니다. 금융 안정성 분석에 사이버 위험을 더 잘 통합하면 시스템 전반의 위험을 이해하고 완화하는 능력이 향상됩니다.

2. 둘째, 금융 기관이 따라야 할 모범 사례와 표준을 개략적으로 설명하는 사이버 보안을 위한 최소한의 공통 프레임워크를 고안해야 합니다. 이를 통해 모든 기관이 사이버 위협으로부터 자신을 보호하는 데 필요한 조치를 취하는 데 도움이 될 수 있습니다.

3. 셋째, 국내법에 따라 실행 가능한 범위 내에서 국가는 사이버 위협 및 공격에 대한 정보와 인텔리전스를 공유할 수 있습니다. 이를 통해 새로운 위협과 취약성을 식별하고 금융 기관이 공격을 방지하기 위한 선제적 조치를 취할 수 있습니다.

4. 넷째, 국가는 사고 대응 계획을 개발하고 구현하기 위해 협력할 수 있습니다. 이를 통해 사이버 공격이 발생할 경우 금융 부문에 미치는 영향을 최소화하는 조율되고 효과적인 대응이 이루어지도록 할 수 있습니다.

5. 다섯째, 사이버 공격은 범죄 수익을 몰수하고 범죄자를 기소하는 효과적인 조치를 통해 가해자에게 더 많은 비용과 위험을 초래해야 합니다. 공격자를 방지, 교란 및 제지하기 위한 국제적 노력을 강화하면 위협의 근원을 줄일 수 있습니다.

6. 마지막으로 국가는 금융 기관이 사이버 위험을 효과적으로 관리하는 데 필요한 기술과 자원을 갖추도록 역량 구축 및 교육 프로그램에 협력할 수 있습니다. 여기에는 사이버 보안 모범 사례, 사고 대응 계획, 사이버 공격을 감지하고 방지하기 위한 고급 기술 사용에 대한 교육이 포함될 수 있습니다.

결론

23. 이제 결론을 내리겠습니다. 전 세계적으로 상호 연결이 증가함에 따라 사이버 위험을 억제하려면 국제적인 노력이 필요합니다. G20 포럼은 국제 표준 및 모범 사례를 우선적으로 설계하고 구현하는 것을 목표로 하는 역량 개발 이니셔티브를 통해 금융 부문을 돕기 위한 접근 방식을 구축하려는 다양한 국제 기구의 노력을 보완할 것으로 기대됩니다.

24. 금일 실시되는 사이버 보안 훈련에 모두의 적극적인 참여를 부탁드립니다. 우리는 함께 금융 부문을 보다 안전하고 신뢰할 수 있게 만들 수 있습니다.

감사합니다

저자 소개

마헤시 쿠마르 자인

이 저자의 더 많은 것

관련 정보

• "인도 준비 은행"에서 더 많은 연설
• 국가 페이지: 인도