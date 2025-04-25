오늘날 금융 부문의 리스크는 그 어느 때보다 높은 수준입니다. 리스크에 대한 우려는 영국 은행을 대상으로 한 설문조사결과에서 잘 드러납니다. 이에 따르면, 영국 금융 시스템에서 가장 우려되는 리스크 요소는 사이버 공격(응답자의 79%)으로 나타났습니다. MaRisk는 은행 부문 및 관련 회사가 비즈니스 활동의 리스크를 줄일 수 있도록 지원하는 프레임워크를 제공함으로써 이 문제를 해결하고자 합니다.

은행과 MaRisk

독일 은행은 최근 몇 년 동안 심각한 데이터 유출을 경험했습니다. 일례로 2022년에는 독일 은행에 대한 사이버 공격사건이 있었고, 이로 인해 60GB의 고객 데이터가 유출되었습니다. 은행 및 기타 금융 부문 법인은 독일은행법, BaFin 및 MaRisk의 규제 대상입니다. MaRisk의 '금융 기관의 IT 감독 요구사항'은 은행이 IT 보안 요구사항을 충족하는 데 필요한 조치를 규정합니다. MaRisk는 또한 독일 은행이 데이터 흐름을 보호할 것을 요구하고 있으며, 이 규정에 대한 최신 개정안 중 하나에는 데이터 기밀성을 보장하기 위해 최소한의 IT 보안 표준을 요구하는 '홈 트레이딩'에 보안을 추가하는 규정이 포함되었습니다. 제로 트러스트의 최소 권한 원칙은 홈 오피스를 포함한 모든 위치에서의 접속을 통제합니다.

은행을 대상으로 하는 클라우드 서비스 사업자

독일의 은행을 대상으로 하는 클라우드 서비스 사업자 공급망은 MaRisk 규정을 준수해야 합니다. 클라우드 서비스 사업자는 고객(은행 또는 기타 금융 기관)이 컴플라이언스를 위해 필요한 리스크 제어 기능을 구축할 수 있도록 IT 감독 요구사항을 준수해야 합니다. 리스크 평가에서는 정보 리스크 관리, 정보 보안 및 비상 대응 조치가 마련되어 있고 MaRisk 및 관련 BAIT와 BaFin에 대한 컴플라이언스를 입증해야 합니다. 클라우드 및 IT 서비스 사업자는 일반적으로 클라이언트 계약에 이러한 평가를 포함시킵니다. 클라우드 서비스 사업자는 분산 서비스 아키텍처에서 강력한 접근 제어를 위한 제로 트러스트 접근 방식을 모색해야 합니다.