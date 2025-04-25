MaRisk의 주요 구성요소에는 리스크 전략, 리스크 식별, 리스크 측정 및 평가, 리스크 제한 및 모니터링, 리스크 보고, 내부 통제 시스템 및 내부 감사가 포함됩니다.
리스크 관리는 금융 범죄 방어 및 데이터 보호에서 매우 중요한 부분입니다. BaFin은 독일 금융 부문을 관할하는 주요 감독 기관으로, 리스크 관리, 비즈니스 연속성, 아웃소싱 리스크 제거, 규제 기관과의 협력, 데이터 관리, 데이터 보안 및 기밀 유지를 주요 업무로 삼고 있습니다. MaRisk(Mindestanforderungen an das Risikomanagement, 리스크 관리를 위한 최소 요구사항)는 리스크 관리 컴플라이언스를 위한 최소 요구사항을 정의하는 BaFin의 이니셔티브입니다.
MaRisk는 독일은행법(Kreditwesengesetz, KWG)의 25a (1)항에 기반하며, '특정 기업 의무; 명령 시행 권한'을 다룹니다. 25a 조항은 금융 서비스 부문의 대상 법인에서 예상되는 내부 거버넌스 구조를 설명하는 지침 2013/36/EU의 88조와 관련이 있습니다.
MaRisk 컴플라이언스란 무엇일까요?
MaRisk는 독일에서 금융 비즈니스를 구축하기 위한 프레임워크를 형성하는 규제 문서입니다. 독일 금융 기관(FI)이 국제적으로 활동함에 따라, MaRisk는 독일 및 전 세계 금융 부문의 활동에서 리스크를 줄이는 데 중점을 두고 있습니다.
MaRisk는 독일 금융 시스템이 안전한 보안 기능과 무결성을 유지하도록 관련 지침을 제공합니다. MaRisk는 행정 규제에 해당하며, 바젤 III의두 번째 축에 속하는 은행의 '감독 검토 및 평가 프로세스(SREP)' 역할을 합니다.
MaRisk는 내부 리스크 관리 및 아웃소싱 리스크와 관련된 재무 리스크 영역을 담당하는 포괄적인 프레임워크입니다. 규제 대상은 BaFin의 감독을 받으며, 은행, 보험사 및 유가 증권이 여기에 포함됩니다.
MaRisk는 금융 기업의 활동에서 리스크를 제거하기 위한 포괄적인 프레임워크를 제공합니다. 여기에는 멀웨어, 피싱 및 무단 접속으로부터 환경을 보호하는 기능도 포함됩니다. Akamai 보안 솔루션은 인텔리전스와 엔드투엔드 보호 기능을 제공해 유출과 우발적 노출로부터 금융 데이터를 보호함으로써 MaRisk 사이버 보안 제어를 준수하며 리스크를 최소화합니다. Akamai의 보안 플랫폼은 광범위한 공급망에서 데이터 보호에 제로 트러스트 원칙을 적용하는 데 필요한 동적 보안을 제공합니다. Akamai는 기존의 엔드포인트 탐지를 넘어 데이터 보안과 개인정보 보호를 위한 강력한 제로 트러스트 솔루션을 제공함으로써 보안 팀이 보안 투자의 효과와 ROI를 극대화할 수 있도록 지원합니다.
Akamai에서는 다음을 제공합니다.
- IT, IoT, OT 환경에 대한 포괄적인 커버리지로 제로 트러스트 보안을 적용하는 글로벌 보안 플랫폼
- 자산, 접속, 네트워크 흐름에 대한 심층적인 가시성
- 보안 정책의 세분화된 적용
MaRisk의 역사
MaRisk는 2005년 12월에 처음 공개되었습니다. MaRisk는 바젤 은행감독위원회의 바젤 II 프레임워크를 기반으로 생성되었습니다. 바젤 II 및 현재 바젤 III의 원칙은 독일은행법(KWG) 및 MaRisk의 25a (1)항에 반영되어 있습니다.
MaRisk는 초기 리스크 관리 프레임워크를 하나의 포괄적인 리스크 관리 프레임워크로 통합하기 위한 BaFin의 이니셔티브였습니다. 또한 BaFin은 이러한 틈새 프레임워크를 최신화함으로써 바젤 II 및 은행 지침(Banking Directive)의 조항을 통합하고자 MaRisk를 설계했습니다.
2005년 이후에는 다음과 같은 세 가지 사항을 포함해 몇 가지 조항이 개정되고 새로운 요구사항도 포함되었습니다.
- 리스크 데이터 집계 및 업데이트에 대한 기술 요구사항에서는 새로운 중앙 아웃소싱 관리 시스템 요구사항으로 아웃소싱 리스크를 관리하는 데 중점을 둡니다. (2017년 MaRisk 개정안)
- 몇 가지 ICT 사이버 보안 리스크를 포함하는 EBA 가이드라인에맞춰 MaRisk가 개정되었습니다. (2021 MaRisk 개정안)
ESG 리스크 관리 요구사항을 일반 리스크 관리 프레임워크에 통합하였습니다. 또한 EBA 가이드라인 아래 MaRisk의 대출 및 신용 모니터링 요구사항에 따라 중소 규모의 은행 및 금융 기관이 포함되었습니다. (2022년 MaRisk 개정안: MaRisk의 일곱 번째 최신 버전)
MaRisk 및 리스크 관리 아웃소싱
공급망 공격 및 데이터 리스크는 MaRisk의 엄격한 아웃소싱 리스크 관리에 포함된 핵심 요소입니다. MaRisk(리스크 관리에 대한 최소 요구사항)의 9조 아웃소싱 항목에서는 독일은행법(KWG)의 25b 조항에 명시된 아웃소싱 규제 요구사항을 충족하기 위한 가이드를 금융 기관(FI)에 제공합니다. 독일은행법은 금융 기관이 프로젝트 및 작업을 아웃소싱할 때 리스크를 피하기 위해 '합리적인 예방 조치'를 취할 것을 명시하고 있습니다.
MaRisk를 준수해야 하는 기업의 종류
오늘날 금융 부문의 리스크는 그 어느 때보다 높은 수준입니다. 리스크에 대한 우려는 영국 은행을 대상으로 한 설문조사결과에서 잘 드러납니다. 이에 따르면, 영국 금융 시스템에서 가장 우려되는 리스크 요소는 사이버 공격(응답자의 79%)으로 나타났습니다. MaRisk는 은행 부문 및 관련 회사가 비즈니스 활동의 리스크를 줄일 수 있도록 지원하는 프레임워크를 제공함으로써 이 문제를 해결하고자 합니다.
은행과 MaRisk
독일 은행은 최근 몇 년 동안 심각한 데이터 유출을 경험했습니다. 일례로 2022년에는 독일 은행에 대한 사이버 공격사건이 있었고, 이로 인해 60GB의 고객 데이터가 유출되었습니다. 은행 및 기타 금융 부문 법인은 독일은행법, BaFin 및 MaRisk의 규제 대상입니다. MaRisk의 '금융 기관의 IT 감독 요구사항'은 은행이 IT 보안 요구사항을 충족하는 데 필요한 조치를 규정합니다. MaRisk는 또한 독일 은행이 데이터 흐름을 보호할 것을 요구하고 있으며, 이 규정에 대한 최신 개정안 중 하나에는 데이터 기밀성을 보장하기 위해 최소한의 IT 보안 표준을 요구하는 '홈 트레이딩'에 보안을 추가하는 규정이 포함되었습니다. 제로 트러스트의 최소 권한 원칙은 홈 오피스를 포함한 모든 위치에서의 접속을 통제합니다.
은행을 대상으로 하는 클라우드 서비스 사업자
독일의 은행을 대상으로 하는 클라우드 서비스 사업자 공급망은 MaRisk 규정을 준수해야 합니다. 클라우드 서비스 사업자는 고객(은행 또는 기타 금융 기관)이 컴플라이언스를 위해 필요한 리스크 제어 기능을 구축할 수 있도록 IT 감독 요구사항을 준수해야 합니다. 리스크 평가에서는 정보 리스크 관리, 정보 보안 및 비상 대응 조치가 마련되어 있고 MaRisk 및 관련 BAIT와 BaFin에 대한 컴플라이언스를 입증해야 합니다. 클라우드 및 IT 서비스 사업자는 일반적으로 클라이언트 계약에 이러한 평가를 포함시킵니다. 클라우드 서비스 사업자는 분산 서비스 아키텍처에서 강력한 접근 제어를 위한 제로 트러스트 접근 방식을 모색해야 합니다.
MaRisk와 BAIT
금융 기관은 MaRisk, BAIT 및 기타 BaFin 이니셔티브에 대한 포괄적인 리스크 관리 규정을 준수해야 합니다. BaFin은 이를 프레임워크로 활용해 금융 부문의 리스크를 제어하고 관리합니다.
MaRisk는 금융 기관에서 IT 감독 요구사항을 다루는 BAIT(Bankaufsichtliche Anforderungen an die IT)의 협력 규정으로, MaRisk의 구성요소에 BAIT가 포함되어 있습니다. BAIT는 IT 시스템에 적합한 기술 및 조직 리소스, 특히 금융 부문의 정보 보안 및 비상 계획을 기술합니다. 2021년에는 MaRisk 버전 6과 함께 BAIT가 업데이트되었습니다.
BAIT 컴플라이언스는 2020년에 시행된 ICT 및 보안 리스크 관리를 위한 EBA 지침(EBA/GL/2019/04)의요구사항을 통합합니다. EBA 지침은 FI에 대한 사이버 위협의 규모가 커지고 그 복잡성과 수준이 높아지는 상황을 반영합니다. EBA 업데이트 가이드라인에서는 은행의 상호 연결성도 고려되었습니다.
BAIT는 다음 두 가지 영역에 대한 업데이트를 포함합니다.
- 운영 정보 보안: 정보 보안 모니터링 및 제어 요구사항
- IT 서비스 연속성 관리: MaRisk 7.3조에 따른 비즈니스 연속성 관리를 위한 최소 요구사항
MaRisk 7.3 '비즈니스 연속성 관리'에는 사이버 공격으로 인한 IT 시스템 장애가 포함됩니다.
BaFin은 EBA, BAIT 및 MaRisk 요구사항을 서로 연결할 수 있도록 보장하기 위해 노력합니다. 예를 들어 최신 MaRisk 버전의 확장에는 아웃소싱 지침이 포함되어 있으므로 ICT 리스크 관리가 금융 공급망 벤더로 확장되었습니다.
독일 BaFin 당국이 시행하는 여러 규정은 IT 시스템 및 데이터 보호를 비롯해 많은 영역이 서로 중복됩니다. 리스크 관리는 강력한 사이버 보안의 핵심입니다. 금융 인프라 및 데이터에 대한 리스크 관리 접근 방식에서는 금융 시스템을 안전하게 보호하는 것이 필수적입니다. Akamai의 사기 방지, 규정 테스트 및 보안 솔루션 제품군은 MaRisk 컴플라이언스를 충족할 수 있는 툴을 제공합니다. Akamai에는 다음과 같이 수상 경력에 빛나는 보안 솔루션 제품군이 있습니다.
- 애플리케이션 및 API 방어: DDoS를 방지하고 자산을 보호합니다.
- Akamai Account Protector: 고급 머신 러닝, 행동 애널리틱스, 평판 휴리스틱을 기반으로 사기성 인적 활동과 계정 탈취를 선제적으로 식별하고 차단합니다.
- 접속 및 권한 부여: 제로 트러스트 아키텍처는 컴플라이언스를 간소화합니다.
자주 묻는 질문(FAQ)
리스크 관리에 대한 최소 요구사항을 나타내는 MaRisk는 독일 연방 금융감독청(BaFin)에서 발표한 명령으로, 독일 금융 기관이 직면한 모든 중요 리스크를 관리하기 위한 프레임워크를 제공합니다.
신용 기관을 포함한 모든 독일 은행과 금융 기관이 MaRisk를 준수해야 합니다. MaRisk는 클라우드 서비스 사업자와 기타 IT 공급업체에도 간접적으로 영향을 미칩니다.
