금융사의 IT 보안 정책에 관해서 영국의 카뱅이자 토스인 몬조(Monzo)의 문서를 한번 참고해보시면 좋겠어요. 영국에서 몬조만큼 편하고 간단하고 심리스한 금융서비스를 찾기 어려운 것 같아요. 한편

금융사의 IT 보안 정책에 관해서 영국의 카뱅이자 토스인 몬조(Monzo)의 문서를 한번 참고해보시면 좋겠어요. 영국에서 몬조만큼 편하고 간단하고 심리스한 금융서비스를 찾기 어려운 것 같아요. 한편으로는 이럴 수록 보안 걱정이 많이 되더라고요. 근데 몬조가 보안 기술에 관해 블로그에 자세히 설명을 해두었습니다. 우선 몬조는 AWS에 인프라를 올렸고요. 쿠버네티스(Kubernetes)를 초창기부터 적용해서, 2만 개 이상의 워크로드로 유연하게 확장했다고 해요. 위협 모델링(STRIDE 모델)을 기반으로 하며 이 세션을 정기적으로 수행한다고 합니다. 몬조는 뿐만 아니라 ‘디폴트 시스템을 신뢰하지 않는다’, ‘자동화를 생활화한다’, ‘백시큐리티는 ‘policy as code’ 정책을 기반으로 수행한다’, ‘로그화와 그 활용을 생활화한다’, ‘백업을 철저하게 한다’ 등의 보안 설계 디자인 원칙까지 하나하나 아주 자세히 풀어냈어요. 막연히 금융회사들이 기술에는 좀 약하고, 적어도 그들의 기술에 관해 홍보를 할만큼 관심이 없을 것이라고 생각했는데요. 몬조는 금융회사로서는 굉장히 자세하게, 어떤 툴과 모델링, 원칙, 정책을 사용하는지 공개해두네요. 인상깊습니다.