BaFin은 독일 금융 시스템의 기능, 무결성, 안정성을 보장하는 역할을 담당합니다.
GwG는 독일의 기본 자금 세탁 방지 규정입니다. 따라서 BaFin 및 GwG 관할권 내에 있는 모든 대상 법인은 적절한 조치를 취함으로써 AML(Anti-Money Laundering)과 CFT(Combating the Financing of Terrorism)에 대해 적극적인 자세를 취해야 합니다.
연방 금융 감독 기관 BAIT("금융 기관의 IT에 대한 감독 요건"으로 번역되는 Bankaufsichtliche Anforderungen an die IT), BaFin은 독일의 금융 규제 당국입니다. BaFin은 독일 금융 부문이 적절하고 안전하게 기능할 수 있도록 금융 부문을 감독합니다. BaFin의 대표인 마크 브랜슨(Mark Branson)은
“BaFin은 혁신을 지원하고 혁신에 강력히 동참하고자 합니다. 한 가지 분명해야 합니다. 원칙적으로 혁신은 고객에게 도움이 될 때만 업계를 발전시키는 것이지 그 반대가 되어서는 안 됩니다."라고 설명하며 "BaFin은 공정한 프레임워크 조건을 보장하고 혁신적인 비즈니스 모델이 지속 가능하도록 기여합니다."라고 덧붙였습니다.
BaFin이란 누구일까요?
BaFin은 독일 내 금융 부문의 안전과 보호를 감독하는 규제 기관으로, 이 부문에는 은행과 보험 공급업체가 포함되어 있습니다. 이 기능의 일환으로 BaFin은 사기 및 무단 금융 거래를 방지하는 데 주력합니다. 또한 BaFin은 금융 범죄와 관련된 리스크를 방어하는 데 중요한 규제 역할을 합니다.
BaFin은 독일 전체 금융 시장을 포괄하는 2002년 금융 서비스 및 통합법을 감독하기 위해 2002년 5월 1일에 설립되었습니다. 이 독일은행법 (Gesetz über das Kreditwesen)은 BaFin이 규제 통제를 시행하는 데 사용하는 법적 통제와 권한을 제공합니다.
BaFin은 다음과 같은 기존 3개 기관의 합병을 통해 설립되었습니다.
- 금융감독실
- 증권감독실
- 보험감독실
BaFin 규정은 은행, 증권 및 증권 거래소, 보험에 적용됩니다. 또한 BaFin은 암호화폐 자산과 관련된 자금 세탁 리스크를 방어하기 위해 고안된 독일 암호화폐 자산 이전 규정(Kryptowertetransferverordnung - KryptoWTransferV)에 따라 암호화폐 자산 분야에서 활동하는 기업을 감독합니다.
BaFin은 AML(Anti-Money Laundering) 관행을 장려하고 시행하는 데 도움을 주기 위해 전담 “자금 세탁 방지 부서"를 운영하고 있습니다. 자금 세탁 방지 부서는 독일 자금세탁법(Geldwäschegesetz, GwG) 50조에 따른 관할 감독 기관입니다. 자금 세탁 방지 부서는 GwG에 따라 모든 기관, 회사, 서비스 공급업체, 개인의 자금 세탁을 방지하기 위해 사용하는 활동을 감독합니다.
금융 기관이 BaFin 컴플라이언스를 준수하도록 Akamai가 지원하는 방법
Akamai는 은행과 기타 금융 기관이 고객 데이터를 보호하고 컴플라이언스를 달성할 수 있도록 지원합니다. Akamai의 보안 솔루션은 랜섬웨어, DDoS 공격, 기타 유출을 방지하는 데 필요한 인텔리전스와 엔드투엔드 보호 기능을 제공합니다. Akamai는 보안 팀이 기존의 네트워크 세그멘테이션 방식에서 벗어나 보안 투자의 효과와 ROI를 극대화할 수 있도록 지원합니다. 이 플랫폼은 자동화와 사람의 전문 지식을 결합해 시스템이 위협을 받고 있지 않을 때 어떤 모습인지 학습할 수 있습니다. 이렇게 하면 시스템이 위협을 받고 있는 경우 이를 탐지하고 보호하는 방법을 알 수 있습니다.
Akamai에서는 다음을 제공합니다.
- IT 환경에 대한 포괄적인 커버리지로 제로 트러스트 보안을 적용하는 글로벌 보안 플랫폼
- 자산, 접속, 네트워크 흐름에 대한 심층적인 가시성
- 보안 정책의 세분화된 적용
이 플랫폼에는 DDoS와 DNS 공격에 대한 능동적인 방어 기능이 포함되어 있어 중요한 자산과 리소스를 보호하는 동시에 고객과 사용자의 원활한 접속을 유지합니다.
BaFin은 기업에 어떤 영향을 줄까요?
BaFin은 심각한 리스크와 사이버 위협에 주목합니다. BaFin은 매년 감시 중인 가장 심각한 리스크에 대한 보고서를 발행합니다. 최신 보고서에 따르면 랜섬웨어와 DDoS 공격은 금융 부문의 심각한 리스크로 지목되고 있습니다. 보고서는 "금융 부문의 기업들은 사이버 공격으로 인해 금전적 손실과 상당한 평판 손상의 리스크에 직면해 있다"고 지적합니다. 다음 기관은 BaFin을 준수해야 합니다.
은행 및 금융 기관
BAIT는 금융 기관(FI)의 IT에 대한 감독 요건을 자세히 설명합니다. 금융 부문은 피싱, 데이터 유출, 금융 절도, 랜섬웨어 공격, DDoS 같은 기타 사이버 공격을 비롯한 다양한 공격 유형을 사용하는 사이버 범죄자들의 표적이 되고 있습니다. 이 FS-ISAC의 보고서에 따르면 금융 기관을 표적으로 삼는 DDoS(Distributed Denial-of-Service) 공격이 2022년에 22% 증가한 것으로 나타났습니다. 은행과 FI도 데이터를 노리는 사이버 공격의 리스크에 노출되어 있으며, 금융 서비스는 가장 많이 유출 공격을 받는 분야 중 하나입니다. BAIT는 업데이트되어2021년에 금융 부문에 대한 데이터 위협을 반영했습니다.
BaFin은 금융 부문에서 사기와 자금 세탁을 유발하는 분야에서 모범 사례를 시행하기 위해 고안되었습니다. BAIT 요건은 FI가 해당 부문을 표적으로 삼는 사이버 공격에 대해 안정적으로 대응할 수 있도록 보장합니다. 제로 트러스트 보안 모델을 사용해 제공되는 사용자 접속 관리와 최소 접속 권한은 이러한 요구사항에 매우 중요합니다. BAIT는 최소 리스크 관리 요건을 충족하는 MaRisk와도 관련이 있습니다.
보험 부문
VAIT(Versicherungaufsichtliche Anforderungen an Die IT)에는 필수 접속 권한 관리 시행을 포함해 보험 부문의 IT 운영에 대한 BaFin의 감독 요건이 자세히 설명되어 있습니다. 금융 부문과 마찬가지로 보험도 다양한 사이버 위협의 리스크에 노출되어 있습니다. 2022년 PwC 글로벌 경제 범죄 및 사기 설문 조사에 따르면 보험회사의 3분의 2가 2021년에 사기나 금융 범죄 공격을 받은 것으로 나타났습니다.
보험회사는 BaFin과 VAIT의 요구 사항을 준수함으로써 중요 자산을 보호하고 DDoS 공격을 방지할 수 있습니다. 제로 트러스트 보안 접근 방식은 보험회사가 BaFin을 준수할 수 있도록 보장하는 프레임워크와 툴을 제공합니다.
BaFin 컴플라이언스를 위한 Akamai 솔루션
Akamai는 금융 부문의 중요 자산 보호를 보장하는 포괄적인 제로 트러스트 보안 솔루션을 제공합니다. 이 솔루션을 통해 금융 부문은 랜섬웨어가 중요한 시스템과 데이터로 확산되는 것을 차단해 사이버 공격으로 인한 심각한 비즈니스 중단을 방지할 수 있습니다. Akamai의 선도적인 보안 솔루션은 Akamai를 사용하는 고객사로부터 전체 디지털 인프라에서 민감한 데이터를 보호하는 데 업계 최고의 솔루션으로 인정받고 있습니다. Akamai의 세계적 정상급 솔루션은 BaFin의 규제 요건과 BAIT와 VAIT가 규정한 보안 조치를 충족하는 데 필요한 보안 제어 기능을 제공합니다. Akamai는 확장된 인프라 전반에서 IT 환경, 중요 자산, 접속 요구 사항, 네트워크 흐름에 대한 심층적인 가시성을 제공합니다. Akamai 보안 솔루션 제품군을 함께 사용하면 현재는 물론 미래에 금융 부문의 새로운 위협을 반영하기 위해 규제가 업데이트됐을 때 BaFin을 준수할 수 있는 툴을 확보할 수 있습니다.
BaFin AML/CFT(Combating the Financing of Terrorism) 정책
BaFin은 FATF(Financial Action Task Force)의 “40개 권고안”을 이행하는 업무를 담당합니다. 오랫동안 지속되어 온 이러한 권장 사항은 기술 변화와 진화하는 사이버 위협 환경을 반영해 정기적으로 업데이트됩니다. FATF 권고안은 금융 범죄를 해결하기 위한 프레임워크를 제공합니다. 기업은 AML/CFT에 대해 리스크 기반 접근 방식을 취합니다. 권장 사항에 대한 다음 예에서 BaFin이 AML/CFT 규정을 준수하기 위해 요구하는 조치의 종류에 대한 인사이트를 확보할 수 있습니다.
- 리스크 기반 AML/CFT 체계 구축
- KYC/CDD(Know Your Customer/Customer Due Diligence) 조치 개발 및 배포
- 고객 스크리닝을 사용해 PEP(Politically Exposed Person), 사기꾼, 감시 목록에 있는 기타 인물 확인
- 내부 AML/CFT 프로그램을 감독할 책임자 지정
BaFin 컴플라이언스 및 EU의 AMLD(Anti-Money Laundering Directive)
독일은 EU(European Union)의 회원국이기 때문에 BaFin은 금융 부문에서 EU 규정을 준수하는지도 감독해야 합니다. 제6차 AMLD(6AMLD)은 EU의 최신 자금세탁방지 지침 개정안입니다. EU의 일반적인 경우와 마찬가지로 AMLD는 독일을 포함한 EU 전체에서 AML을 간소화하기 위해 고안되었습니다.
규정 미준수 시 BaFin의 처벌
BaFin은 사법 기관입니다. 따라서 BaFin은 규정을 준수하지 않고 요건을 위반하는 모든 대상 법인에 법적 조치를 취할 수 있습니다. 다음과 같은 이유로 2021년에 Deutsche Bank에 866만 유로의 벌금이 부과된 사례가 있습니다.
"피감독 기여자로서 Deutsche Bank AG는 때때로 관리자에게 제공하는 모든 입력 데이터의 무결성과 신뢰성을 보장하는 효과적인 예방 시스템, 컨트롤, 정책을 갖추지 않았습니다.”
자주 묻는 질문(FAQ)
BaFin은 독일의 연방 금융 감독 기관입니다. 은행, 금융 서비스 기관, 보험 사업, 증권 거래를 감독합니다.
예, BaFin은 독일 연방 재무부의 감독을 받는 연방 기관입니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.