Fiserv 시스템 관리자는 PCI, SOX-Cobit, CIS 보안 벤치마크를 준수하도록 서버를 구성하는 데 많은 시간을 할애했으며, 규정 준수 데이터를 검색하기 위해 서버에 개별적으로 로그인해야 했습니다.

Fiserv는 IBM® Power Systems 자산 전체에 IBM® PowerSC Standard Edition(PowerSC)을 도입하여 서버 구성을 간소화하고 실시간 규정 준수 및 보고 기능을 활용하고 있습니다.

Fiserv의 사명은 고객사가 세상을 움직이는 방식으로 돈과 정보를 이동할 수 있도록 돕는 것입니다. 이 회사는 결제, 서비스 처리, 고객 및 채널 관리, 리스크 및 규정 준수, 인사이트 및 최적화를 위한 솔루션을 제공하는 금융 서비스 기술 전문 기업입니다.

금융 거래를 관리하려면 반드시 민감한 데이터를 교환, 저장 및 처리해야 합니다. Fiserv는 고객사와 감사관에게 데이터를 책임감 있게 관리한다는 사실을 지속적으로 증명해야 하며, 고객의 신뢰를 얻는 것이 최우선 과제 중 하나입니다.

따라서 회사의 IT 팀은 보안을 매우 중요하게 생각합니다. IT 시스템은 매년 여러 차례의 복잡한 내부 및 외부 감사를 거치며 수많은 산업 및 규제 표준을 충족할 것으로 기대됩니다. 그러나 지속적인 규정 준수를 보장하기 위해서는 정기적인 감사만으로는 부족하므로 회사에서는 또한 각 서버가 항상 올바른 구성을 유지하도록 연중무휴 24시간 시스템을 모니터링해야 합니다.

Fiserv는 시스템 구성의 기준으로 인터넷 보안 센터(CIS, Center for Internet Security) 벤치마크로 알려진 모범 사례 보안 프레임워크를 사용합니다. 각 서버는 벤치마크에 정의된 표준에 따라 필수 설정과 최소 전체 점수 기준을 모두 충족해야 합니다.

Fiserv의 IBM® Power Systems Engineer인 Zach Floen은 이렇게 설명합니다. "보안 측면에서 보자면 서버의 이상적인 구성은 서버를 완전히 잠가서 다른 시스템과 데이터를 전혀 교환할 수 없게 하는 것입니다. 하지만 서버가 통신할 수 없다면 유용한 작업을 수행할 수 없습니다."

Fiserv는 이미 서버의 보안 구성을 모니터링하고 있었지만 서버 영역 전반에 걸쳐 보다 통합된 엔드 투 엔드 규정 준수 관리를 모색했습니다. 예를 들어, 회사의 엔지니어가 새 서버를 설치해야 하는 경우 규정 준수 기준을 통과하도록 구성을 “강화”하기 위해 체크리스트를 검토하는 데 4~5시간을 수동으로 소비해야 했습니다.

마찬가지로 팀에서는 유지 관리 및 업그레이드를 수행하는 동안 서버 구성을 임시로 변경해야 하는 경우가 많았습니다. 엔지니어는 이러한 변경 사항을 수동으로 구현한 다음 유지 관리 작업이 완료되면 서버를 원래 설정으로 복원해야 했습니다. Fiserv는 설정의 적절한 복원을 잊어버리는 위험을 완화하기 위한 전략을 마련해 두기는 했지만, 중앙에서 그리고 자동으로 구성 변경을 제어하여 인적 오류의 가능성을 제거할 방법을 찾고자 했습니다.

마지막으로, 이 팀은 규정 준수 보고 프로세스를 간소화하고 관리자가 다수의 서버에서 수동으로 규정 준수 보고서를 검색해야 하는 등 시간이 많이 소요되는 작업을 제거하고자 했습니다.

Fiserv 서버 아키텍처의 상당 부분은 핵심 금융 시스템과 데이터베이스를 지원하기 위해 IBM AIX 운영 체제를 실행하는 IBM Power System 서버로 구성되어 있습니다. 이 회사는 새로운 규정 준수 관리 플랫폼에 대한 옵션을 검토하기 시작하면서 IBM이 맞춤형 솔루션, 즉 IBM PowerSC를 제공한다는 사실을 알게 되었습니다. "IBM PowerSC는 규정 준수 관리를 위한 매우 강력하고 유능한 도구로 빠르게 진화하고 있습니다."라고 Zach Floen은 말합니다. "이 솔루션은 우리가 가진 기존 도구에는 없는 기능을 제공하며 기존 AIX Enterprise 라이선스의 일부로 포함되어 있어 추가 비용에 대해 걱정할 필요가 없습니다." 그 당시 Fiserv는 서로 다른 서버 그룹을 단일 프라이빗 클라우드 환경으로 통합하여 IBM AIX 환경을 합리화할 준비를 하고 있었습니다. 이 이니셔티브는 회사의 기존 규정 준수 도구를 PowerSC로 전환할 수 있는 완벽한 기회를 제공했습니다.

Fiserv가 AIX 자산 전반에 걸쳐 PowerSC 소프트웨어를 출시함에 따라 팀은 솔루션의 규정 준수 자동화 기능을 활용하기 위해 노력하고 있습니다.

예를 들어, PowerSC는 각 서버에서 실행이 허용된 프로그램 목록을 모니터링하고 승인되지 않은 프로그램이 실행되면 관리자에게 알립니다. 유지 관리 세션 중에 서버 그룹에 대해 이 기능을 끄고 일정 시간이 지나면 자동으로 다시 켜지도록 설정할 수 있습니다. 따라서 엔지니어는 더 이상 유지 관리 중에 구성을 수동으로 변경할 필요가 없으므로 실수로 시스템을 노출시키는 위험이 크게 줄어듭니다.

또한 PowerSC는 PCI-DSS, HIPAA 및 GDPR과 같은 업계 및 규제 표준을 지원하는 사전 구축된 보안 프로필을 제공합니다. 관리자는 각각의 새 시스템에 대한 보안 체크리스트를 확인하는 데 여러 시간을 낭비하는 대신 클릭 한 번으로 서버에 프로필을 적용할 수 있습니다.

Zach Floen은 이렇게 말합니다. "우리는 IBM과 협력하여 즉시 CIS 벤치마크를 완벽하게 준수하는 보안 프로필을 구축하기 위해 노력하고 있습니다. 프로필을 마련하면 최신 가상화된 AIX 플랫폼에서 시스템을 설정할 때 수동 구성에 소요되는 시간을 줄일 수 있습니다.”

Zach Floen은 프로필이 구성 문제를 신속하게 해결하는 데도 도움이 된다면서 이렇게 설명합니다. "서버를 모니터링하고 서버 설정에 문제가 있는 시점을 파악할 수 있었지만 이러한 문제를 해결하려면 여전히 개별 머신에 로그인해야 했습니다. PowerSC를 사용하면 관리 인터페이스에서 버튼을 클릭하기만 하면 프로필이 즉시 올바른 상태로 재설정됩니다.”

Fiserv는 서버 규정 준수 감독 프로세스에서 상당한 시간을 단축시켰고 앞으로 더 많은 시간을 단축시킬 수 있을 것으로 기대하고 있습니다. 현재 각 서버에서 규정 준수 정보를 검색하는 것은 수동적이고 시간이 많이 소요되는 프로세스입니다. PowerSC를 사용하면 팀은 몇 초 만에 보고서를 자동으로 생성할 수 있습니다.

Zach Floen은 이렇게 결론을 내립니다. "Fiserv에게 규정 준수 이상으로 중요한 것은 고객의 신뢰 확보이며, 이를 위해서는 안전한 환경이 필요합니다."

Fiserv는 2017년 기준 약 24,000명의 직원과 57억 달러의 연매출을 기록한 세계 최고의 금융 서비스 기술 기업 중 하나입니다. 이 회사의 솔루션은 전 세계 80여 개국 12,000개 이상의 고객사를 지원하고 있으며 수백만 명의 소비자와 기업이 빠르고 편리하게 자금을 이동하고 관리할 수 있도록 돕고 있습니다.