뉴욕 주 금융 당국(NYDFS), 금융 사이버 보안 규정 발표

최근 미 뉴욕 주 금융서비스국(NYDFS)은 뉴욕의 은행, 보험사, 기타 금융 기관을 대상으로 새로운 사이버 보안 규정을 발표했습니다. 2017년 3월 1일부터 효력을 발휘한 이 규정은 소비자와 금융 서비스 산업 전체를 보호할 사이버 보안 프로그램의 개발과 유지를 골자로 합니다.

이 사이버 보안 지침은 2016년 9월 처음 제안된 후 두 차례의 공개 의견 수렴을 거쳐 개정됐는데요. 기존의 여러 연방 데이터 보안 요건과 비슷하나 보다 더 광범위한 것이 특징입니다. ‘정보 보안 기준 확립을 위한 연방 기관 간 지침’에 따라 기존 ‘고객 정보(customer information)’ 정의보다 훨씬 더 포괄적인 ‘비공개 정보(Nonpublic Information)’ 정의에 따릅니다.

단순히 미국 금융 기관에만 해당되는 사안이 아닙니다. 뉴욕 주 은행법과 보험법 또는 금융 서비스법에 의거해 면허, 등록, 인가, 증명, 허가, 승인, 기타 유사한 허가를 받아 사업을 운영하는 개인과 비정부 기관은 모두 적용 대상입니다. 뉴욕에 지점과 점포를 둔 모든 국내 금융 기관도 포함된다는 뜻이죠!

신규 규정은 크게 ▲사이버 보안 취약성 평가 ▲주기적인 사이버 보안 평가 ▲외부 서비스 공급 업체의 보안 정책 및 사이버 보안 담당자 강화에 대한 세부 조항을 포함합니다. 이에 따라 모든 금융 기관은 최소 기준을 충족시키는 사이버 보안 시스템을 운용하고, 전담 보안 인력을 배정해야 합니다. 또 시스템 운용 현황과 결과를 이사회와 같은 최고 의사 결정 기구에 주기적으로 보고해야 합니다.

사이버 보안 규정의 구체적인 핵심 요건은 다음과 같습니다.

1. 시스템 접근 제어, 암호화를 포함한 데이터 보호 장치, 시스템 침투 테스트 등 기술 시스템에 대한 위험 기반의 최소 기준을 실행해야 합니다. 위험 기반의 최소 기준은 새로운 기술을 반영해 사이버 보안 프로그램을 지속적으로 업데이트해야 한다는 내용을 포함합니다.
2. 사이버 침해를 대비한 데이터 보존, 사고 대응 계획, 주요 사건에 대한 NYDFS 신고 체계 등 사이버 침해 대응을 위한 최소 기준을 마련해야 합니다.
3. 중요 결함의 확인 및 기록(문서화), 복구 계획 사전 수립, 계획 및 규정 준수 연례 증명 등을 NYDFS에 제출해야 합니다.

모든 대상 기관은 발효일 이후 180일 이내에 요건의 대부분을 준수해야 하며, 그 중 일부 요건은 최대 2년까지 유예 가능합니다. 단 뉴욕 내 영업장이 ▲종업원 10명 미만 ▲지난 회계연도 3년 간 뉴욕 내 매출이 연간 500만 달러 미만 ▲연말 기준 자산이 1000만 달러 미만인 경우에는 조항 적용이 면제됩니다.

당장 오는 2018년 2월 15일부터 모든 해당 기관은 매년 금융 서비스국의 감독관에 사이버 보안 규정 준수에 대한 증명을 제출해야 합니다. 뉴욕뿐만이 아닙니다. 영국, 홍콩, 싱가포르 등 금융 선진국들 역시 계속해서 관련 규제를 강화하고 있습니다. 이에 따라 글로벌 금융 기관들도 발 빠르게 움직이기 시작했습니다. 실제 지난 2월 초 뉴욕에서 영업 중인 은행, 보험사, 기타 금융 기관들은 새로운 사이버 보안 규정에 따라 생체 인식과 같은 멀티 팩터 인증을 도입하고 있다고 밝혔습니다. 한마디로 글로벌 금융 사기 방지는 변화와 혁신의 티핑포인트에 이르렀습니다!

자금세탁방지, 금융 사기 규제의 쟁점으로 떠올라

이처럼 미국을 포함한 금융 선진국들이 다국적 금융 기업의 해외 지점에 대한 금융 규제 및 감독을 강화하는 추세입니다. 그 중에서도 특히 최근 국내 금융 산업에서 큰 이슈가 되고 있는 것이 바로 자금세탁방지(AML∙Anti-Money Laundering)입니다. 자금세탁 규제는 변호사, 부동산, 카지노 등 자금이 흐르는 모든 분야에 적용되는 컴플라이언스로 글로벌 금융 시스템에 가장 큰 영향을 미치고 있는 제도인데요. 최근 은행 계좌 개설, 주택 매매를 위한 신원 확인 등 전통적 범위를 넘어 국제 범죄와 테러리즘에 대응하는 핵심 기능으로 떠올랐습니다.

자금세탁방지법은 이제 금융 산업은 물론 국제 무역의 영역까지 닿았습니다. 홍콩과 싱가포르 등 여러 국가는 무역기반자금세탁(TBML∙ Trade-Based Money Laundering) 규제를 강화하고 있습니다. 자금세탁 탐지와 방지에 대한 책임이 경찰과 범죄 대응 조직을 넘어 금융 기관의 어깨에까지 지어진 것이죠! 더욱이 뇌물 수수 및 부패 탐지도 자금세탁방지법의 일부가 됐습니다. 금융 기관은 고객을 조사하고 모든 의심스런 활동을 60일 내 규제 당국에 보고해야 합니다. 단순히 눈에 띄지 않기 위해 허용 범위 내 거래를 유지하는 등 은행법을 따르는 것만으로는 턱없이 부족한 상황이 됐습니다.

선진 금융 기업, 빅데이터 및 고급 분석을 기반으로 선제 조치에 나서

세계적인 자금세탁 규제 강화 추세에 따라 글로벌 선진 금융 기업들도 앞다퉈 선제 조치 수립에 나섰습니다. 특히 빅데이터와 고급 분석 기반의 자금세탁방지 시스템이 진가를 발휘하고 있는데요. 고급 분석 플랫폼은 다음과 같은 핵심 방법을 통해 자금세탁 활동을 예방합니다.

1. 공개 제재 리스트, 고객 커뮤니케이션, 각종 통계 수치 등 수많은 출처로부터의 다양한 유형의 대규모 데이터를 총망라해 복잡한 분석을 처리합니다.
2. 유동적인 자금세탁 범죄를 방지하기 위해 실시간 조사 및 분석을 통해 빠르게 시의 적절한 결과를 도출합니다.
3. 빠른 처리 속도와 높은 정확성은 시스템 운영 및 관리 비용과 컴플라이언스 대응 비용을 절감하고, 대규모 벌금 리스크를 줄입니다.
4. 이상 거래, 이상 행위, 불규칙한 고객 데이터 등 다양한 잠재 이슈로부터 새로운 인사이트를 창출하고, 맥락 정보(contextual information)를 제공합니다.
5. 뛰어난 데이터 시각화 툴은 점차 치밀해지는 자금세탁 수법에 적합한 정교한 해답을 제시합니다.

국내 금융 기업, 글로벌 규제 대응 방안 모색해야

국내 금융 기업 역시 체계적인 대응 계획을 수립하고 본격적인 투자에 나서야 할 때입니다. 특히 인력과 비용이 충분치 않은 해외 지점과 점포의 운영에 있어 자금세탁방지 규제 준수는 향후 큰 도전 과제가 될 것입니다. 선진 금융 기업 사례를 참고해 글로벌 규제 방향성에 적합한 자금세탁방지 시스템을 구축하고 내부 통제 절차를 수립해야 할 것입니다.

SAS 보고서를 통해 글로벌 선진 금융 기업의 금융범죄조사팀(FCIU) 운용 현황과 자금세탁방지법 위반 사례를 확인할 수 있습니다. 강화되는 국내외 자금세탁 규제에 대한 국내외 지점 통제 및 감독 강화 방법을 소개합니다.

이 기사는 Justin Lee의 기사를 일부 편집한 내용입니다.