적극적인 위험 관리를 추진하는 DNB

금융 서비스 보호의 필요성
은행은 필수적인 서비스를 제공하므로 위험에 노출될 가능성을 없애거나 최소화하기 위해 할 수 있는 최선을 다해야 합니다. 은행 시스템이 운영을 멈추면 개인과 기업은 물론 국가 전체에 치명적인 영향을 미칠 수 있습니다.

IT 가동 시간을 보장하든, 타사 거래 파트너를 조사하든, 외부 사이버 공격으로부터 보호하든, 취약성을 파악해 완화하는 것은 버거운 일입니다. DNB의 경우에 확실히 그런데, 연간 IT 지출이 5억 유로 이상이고, 약 50명의 서비스 소유자가 1,000여 개의 IT 관련 애플리케이션, 데이터 센터 및 클라우드 인프라를 관리하고 있습니다.

규제가 엄격한 금융 서비스 분야에서 DNB는 Schrems II, Basel III, NIST와 같은 감시 기관의 규정 준수를 증명하여 11개의 은행 및 금융 상품 라이센스를 보호해야 합니다.

DNB의 ServiceNow 플랫폼 엔터프라이즈 아키텍트 Anne Kristine Næss는 "보안 위반이나 데이터 침해가 발생하면 우리의 명성이 치명타를 입을 것입니다. 막대한 벌금을 물거나 영업 정지 같은 제재를 당하는 것은 물론 고객도 잃을 수 있기 때문입니다"라고 말합니다.

위험 관리는 DNB의 최우선 과제이지만, Excel 스프레드시트를 사용해 이 복잡한 작업을 수동으로 수행하는 것은 불가능했습니다. 너무 많은 시간이 소요되었고 데이터를 사용할 수 있게 되면 이미 너무 오래되어 사용할 수 없는 경우가 많았기 때문입니다.

Basel III 규제 협약 및 DNB의 위험 대응 태세와 관련된 자본 요구 사항을 충족하려면 은행은 만일의 상황에 대비해 매해 큰 금액을 따로 떼어 두어야 합니다. 은행은 위험을 더욱 효과적으로 관리하고 자본 요구 사항을 줄이기 위해 위험 대응 비용을 낮추고, 이렇게 절감한 비용을 점점 증가하는 고객의 기대에 부합하는 새로운 디지털 제품과 기능을 개발하는 등 더 수익성 높은 활동에 투자할 수 있기를 바랬습니다.

최신 데이터를 기반으로 위험 완화
Kristine은 "노드를 연결하고 원하는 결과를 다른 프레임워크에 전달할 수 있는 계층 구조를 제공할 수 있는 도구가 필요했습니다. 또한 사람들이 실시간 데이터를 수집하고 진행 상황을 확인한 다음 필요한 조치를 취할 수 있도록 작업 관리가 필요한 정책을 준수하고 있음을 증명해야 했습니다"라고 말합니다.

"Excel에서 완전히 벗어날 수는 없었지만, 이제 사람들은 스프레드시트보다 ServiceNow의 데이터를 더 신뢰할 수 있다는 사실을 깨달았습니다."

이미 다른 많은 ServiceNow 솔루션을 사용하고 있는 DNB는 내부 서비스와 제3자의 위협 모두에 대한 위험을 관리하기 위해 ServiceNow Integrated Risk Management를 구현했습니다.

Software Asset Management(SAM) 모듈 및 Vulnerability Response는 수명이 다했거나 패치 및 업그레이드가 필요할 수 있는 소프트웨어 자산의 취약성을 추적하는 데 사용됩니다. 이러한 방식으로 DNB는 Configuration Management Database(CMDB)의 정보가 정확하고 서비스 소유자가 더 안전한 서비스를 가능하게 하는 패치 및 기타 활동에 대한 자금 지원을 보장하는 확실한 데이터를 보유하고 있음을 확인할 수 있습니다.

ServiceNow Security Incident Response는 중요한 인시던트의 식별 과정을 간소화하고 문제 해결 속도를 앞당기는 워크플로우 및 자동화 도구를 제공합니다. 이를 통해 은행은 과거에 발생한 문제의 원인을 파악하여 위험 대응 태세를 강화할 수 있습니다.

Kristine은 "DevOps 모듈과 예정된 DevOps 구성에 대해서도 말씀드리고 싶습니다. 코드가 배포되어 운영 환경에 적용되기 전에 코드의 단계별 증가를 확인할 수 있기 때문입니다. 또한 NIST와 같은 위험 관련 정책을 충족하고 더 많은 팀이 DevOps의 베스트 프랙티스를 따르기 위해 노력하고 감사 추적을 제공할 수 있습니다"라고 말합니다.

위험 취약성에 대한 인식 제고
DNB는 이제 프로세스를 조정하는 중앙의 위험 관리 팀 구성원, 즉 조직의 비즈니스 전반에 걸쳐 있는 IT 및 위험 관리자를 결집한 위험 및 보안 챔피언으로 구성된 프레임워크를 갖추게 되었습니다.

ServiceNow 기술을 활용하는 DNB는 은행을 안전하게 유지하기 위해 서비스 소유자가 더 정확하게 위험을 인식하고 더 큰 책임을 갖도록 설계된 많은 새로운 정책 및 통제 기능을 기반으로 위험 완화 프로세스를 구현했습니다. 이 프로세스는 직원이 현재의 위험을 정확하게 평가하고 완화해야 할 사항의 우선순위를 정할 수 있도록 실시간 데이터를 적시에 수집하는 데 집중합니다. 또한 서비스 소유자가 현재의 위험, 즉시 수행해야 할 완화 조치 및 최종 결과를 해결하기 위한 질문에 답하는 자동화된 위험 평가 기능도 제공합니다. 평가가 성공적으로 끝나면 위험은 종결될 수 있습니다.

Kristine은 "이러한 노력으로 은행에 대한 위험은 확실히 줄었습니다. 그 증거로 문제가 발생할 가능성을 줄이기 위해 다룬 항목의 수를 들 수 있습니다"라고 말합니다. 그리고 이어 "현재 운영 상황은 이전보다 훨씬 좋아졌습니다. 실제로 운영 환경에 적용할 프로세스에 대해 매우 신중해졌고, 위험이 단순히 보고 사항이 아닌 사고 방식의 전환을 의미한다는 것을 인식하게 되었기 때문입니다. 결과적으로 우수한 위험 관리 프로세스를 기반으로 보고 능력이 향상되었으며 덕분에 이미 이번 회계 연도의 자본 구속력이 현저히 줄었습니다"라고 설명합니다.

"이제 중요한 서비스의 가동 중지도 없고 문제도 거의 발생하지 않습니다. 그리고 이 상태를 유지하기 위해서는 기준의 타협을 허용하지 않는 ServiceNow Integrated Risk Management가 반드시 필요합니다. 우리는 고객 만족도를 높이고, 가동 중지를 없애고, 영향을 받는 서비스 또는 보안 침해를 차단하기 위해 노력하고 있으며 ServiceNow는 우리가 이를 실현하도록 도움을 주고 있습니다."