SWIFT CSP 독립 평가 프레임워크(IAF)의 일부인 상위 수준 테스트 계획(HLTP) 지침은 CSCF 통제 준수 여부를 평가하기 위한 지침을 제공합니다. 이 질문은 SWIFT 보안 영역에서 하나의 구성 요소(예: SWIFT 커넥터, 미들웨어 서버 또는 백오피스 시스템)만 선택하는 것이 테스트의 대표 샘플인지 여부를 묻습니다.
* 1단계: SWIFT 보안 영역 이해
* SWIFT 보안 구역은 커넥터(예: SWIFT Alliance Gateway), 미들웨어 서버, 백오피스 시스템(CSCF v2024, Control 1.1 -SWIFT 환경 보호)을 포함하여 거래 처리에 필수적인 모든 SWIFT 관련 구성 요소를 포함하는 분리된 환경입니다. 이러한 구성 요소를 통칭하여 "SWIFT 풋프린트"를 형성합니다.
* 2단계: 샘플링에 대한 HLTP 지침
* HLTP는 평가자가 규정 준수 여부를 확인하기 위해 시스템의 "대표 샘플"을 테스트하도록 요구합니다.
그러나 지침에서는 모든 중요 구성 요소와 상호 작용이 평가되도록 하기 위해 샘플이 "SWIFT 환경의 전체 범위"를 포괄해야 한다고 강조합니다(IAF, 섹션 3).
- 평가 방법론). 하나의 구성 요소(예: 커넥터만)만 선택하면 다른 구성 요소(미들웨어 및 백오피스)는 무시되며, 다른 구성 요소에는 보안 구성이나 위험이 다를 수 있습니다.
* 3단계: 시나리오에 적용
* 이 경우 보안 영역은 세 가지 구성 요소로 구성됩니다. 그중 하나(예: 커넥터)만 테스트하는 것은 보안 영역의 1.1(환경 보호), 2.1(시스템 강화), 4.2(MFA)와 같은 통제 준수 여부를 종합적으로 보여주지 못합니다. HLTP는 단일 지점이 아닌 이러한 구성 요소의 다양성과 상호 의존성을 반영하는 샘플을 기대합니다.
* 결론: 아니요, 하나의 구성 요소만 선택하는 것은 HLTP 가이드라인에 따른 대표적인 샘플이 아닙니다. SWIFT 보안 영역의 전체 범위와 복잡성을 다루지 못하기 때문입니다.

이 질문은 등록된 공급업체를 떠나 독립적으로 평가를 계속 수행하는 SWIFT CSP 인증 평가자의 자격에 대한 질문입니다.
* 1단계: SWIFT CSP 평가자 인증 규칙
* SWIFT CSP 독립 평가 프레임워크(IAF)는 평가자가 CSP 평가 제공자 디렉토리(Directory of CSP Assessment Providers)에 등재된 SWIFT 승인 제공자로부터 인증을 받고 소속되어야 함을 명시하고 있습니다. 인증은 개인에게 적용되지만, 제공자의 인증을 통해 행사됩니다.
* 2단계: 서비스 제공자를 떠나는 것의 영향
* 평가자가 등록된 제공업체를 떠나면 공식 CSP 평가를 수행하는 데 필요한 조직적 지원을 잃게 됩니다. IAF는 "평가는 승인된 제공업체에 의해 수행되어야 한다"고 명시하고 있으며, SWIFT의 공식 재승인이나 다른 제공업체와의 제휴 없이는 인증 유효 기간 중에도 독립적으로 운영할 수 없습니다.

이 질문은 고객 보안 프로그램(CSP)에 따라 한 서비스 뷰로(SB)에서 다른 서비스 뷰로(SB)로 전환한 Swift 사용자의 의무에 대한 내용입니다.
1단계: 변경 사항에 대한 CSP 의무 이해
Swift 고객 보안 제어 프레임워크(CSCF) v2024 및 독립 평가 프레임워크는 Swift 사용자가 서비스 제공업체(예: 서비스 뷰로)의 변경 사항을 포함하여 인프라에 대한 정확하고 최신 정보를 유지하도록 요구합니다. 이러한 변경 사항은 규정 준수 및 아키텍처 유형에 영향을 미칠 수 있습니다.
2단계: 각 옵션 평가
* A. Swift WW의 SB 인증 사무소에 알리기 위해CSCF v2024 또는 Swift CSP 지침에는 구체적인 "SB 인증 사무소"가 언급되어 있지 않습니다. 알림은 일반적으로 전담 사무소가 아닌 증명 업데이트를 통해 처리됩니다. 결론: 틀렸습니다.
* B. 다음 인증 주기에 반영하기 위해. 변경 사항은 인증에 반영되어야 하지만, 변경 사항이 규정 준수에 영향을 미칠 경우 다음 주기(예: 매년)까지 이를 연기하는 것은 충분하지 않습니다. Swift CSP 규정 준수 지침은 중요한 변경 사항에 대한 적시 업데이트를 요구합니다. 결론: 틀림.
* C. 아키텍처 유형에 영향이 없는 경우 없음 아키텍처 유형(예: A2, A4)이 변경되지 않더라도 서비스 뷰로(Service Bureau)의 변경은 보안 제어, 공급업체 관리 또는 연결에 영향을 미칠 수 있습니다. Control 1.1: Swift 환경 보호에 따른 CSCF v2024는 아키텍처 유형에 관계없이 규정 준수에 영향을 미칠 수 있는 변경 사항을 사용자에게 보고하도록 요구합니다. 결론: 틀림.
* D. 3개월 이내에 이러한 변경 사항을 반영하는 업데이트된 증명서를 제출해야 합니다. Swift CSP 규정 준수 지침 및 독립 평가 프레임워크는 중요한 변경 사항(예: 서비스 부서 변경)을 3개월 이내에 업데이트된 증명서를 통해 보고하도록 규정하고 있습니다. 이를 통해 Swift는 잠재적인 규정 준수 영향을 파악하고 검토할 수 있습니다. 결론: 맞습니다.
3단계: 결론 및 검증
정답은 D입니다. CSCF v2024 및 Swift CSP 규정 준수 지침에 따라 서비스 기관의 변경 사항을 반영하기 위해 3개월 이내에 업데이트된 증명이 필요하기 때문입니다.
참고문헌
* Swift 고객 보안 제어 프레임워크(CSCF) v2024, 제어 1.1: Swift 환경 보호.
* 신속한 독립 평가 프레임워크, 섹션: 변경 보고.
* Swift CSP 규정 준수 지침, 섹션: 시기적절한 업데이트.

"평가자를 위한 독립 평가 절차 지침" 및 관련 문서의 적용을 받는 SWIFT CSP 평가자 자격증 프로그램은 평가자가 관련 전문 자격을 유지하도록 요구합니다. 다음 사항을 평가해 보겠습니다.
*옵션 A: 아니요, CSP 인증 평가자 자격증을 유지하려면 유효한 외부 사이버 보안 자격증이 필수입니다. 맞습니다. SWIFT CSP 평가자 자격증을 취득하려면 평가자가 최초 자격증 취득 및 지속적인 자격 유지를 위한 전제 조건으로 유효한 외부 사이버 보안 자격증(예: CISA, CISSP)을 보유해야 합니다.
"평가자를 위한 독립 평가 프로세스 지침"에서는 이 인증이 만료되면 갱신될 때까지 CSP 평가자 자격이 무효화되므로 평가자가 최신 전문 지식을 유지해야 한다고 명시하고 있습니다.
*옵션 B: 예, SWIFT CSP 평가자 인증이 여전히 유효한 경우
이는 잘못된 정보입니다. CSP 평가자 자격증의 유효성은 활성 외부 사이버 보안 자격증 유지 여부에 달려 있습니다. "독립 평가 프레임워크"와 "필수 통제를 위한 평가 템플릿"은 평가 품질을 유지하기 위한 이러한 이중 요건을 강조합니다.
정답 요약:
유효한 외부 사이버보안 인증은 필수이며, 인증이 만료되면 평가자(A)의 자격이 박탈됩니다.
SWIFT 고객 보안 프로그램 문서 참조:
*평가자를 위한 독립적인 평가 프로세스 지침: 활성 외부 인증이 필요합니다.
*독립적 평가 프레임워크: 평가자 적격성을 전문 자격과 연결합니다.
*CSP_controls_matrix_and_high_test_plan_2025: 평가자 자격을 검증합니다.

Swift 고객 보안 프로그램(CSP)은 고객 보안 제어 프레임워크(CSCF) 문서에서 Swift 사용자가 Swift 네트워크에 연결하는 방식을 분류하기 위해 특정 아키텍처 유형을 정의합니다. 이러한 아키텍처 유형은 사용자의 연결 및 인프라 설정에 따라 적용 가능한 보안 제어를 결정하는 데 도움이 됩니다. 이 질문과 관련된 아키텍처 유형(A1, A2, A3, A4)은 CSCF v2024(및 CSCF v2023과 같은 이전 버전)에 명시되어 있습니다. 이 버전은 최신 릴리스로 대체되지 않는 한 2025년 3월 6일 기준 최신 프레임워크입니다.
1단계: 시나리오 이해
이 질문은 Swift 사용자가 FTP 서버(Secure File Transfer Protocol)를 사용하여 외부에 노출된 연결을 통해 서비스 제공업체 또는 그룹 허브에 연결한다는 것을 명시합니다. 이는 사용자의 Swift 환경이 완전히 자체 관리되는 로컬 설정이 아닌, 제3자(서비스 제공업체) 또는 중앙 집중식 엔터티(그룹 허브)에 의해 관리될 수 있는 외부 연결을 포함하고 있음을 의미합니다.
2단계: Swift 아키텍처 유형 정의
Swift 고객 보안 제어 프레임워크(CSCF) 및 지원 문서(예: Swift 고객 보안 프로그램 - 아키텍처 유형 설명)에 따르면 아키텍처 유형은 다음과 같이 분류됩니다.
* A1: 메시징 인터페이스 전용(로컬 배포)
* 사용자는 서비스 제공자나 허브에 대한 외부 연결 없이 로컬 Swift 메시징 인터페이스(예: Alliance Access/Entry)를 운영합니다.
* Swift에 대한 연결은 직접적이며 로컬에서 관리됩니다.
* A2: 연결 서비스(외부 연결)를 통한 메시징 인터페이스
* 사용자는 로컬 Swift 메시징 인터페이스를 운영하지만 외부에서 제공하는 연결 서비스(예: 서비스 제공자 또는 타사 연결)를 통해 Swift에 연결합니다.
* 연결 지점은 서비스 제공자에게 외부로 노출됩니다.
* A3: 호스팅 메시징 인터페이스
* Swift 메시징 인터페이스 자체는 서비스 제공자가 외부에서 호스팅하고, 사용자는 원격으로(예: 브라우저나 클라이언트 애플리케이션을 통해) 액세스합니다.
* 사용자 사이트에 로컬 메시징 인터페이스가 없습니다.
* A4: 그룹 허브 또는 공유 연결
* 사용자는 모회사, 계열사 또는 제3자 공급업체가 운영하는 그룹 허브 또는 공유 인프라를 통해 Swift에 연결합니다.
* 여기에는 여러 엔터티에서 공유되는 중앙 집중식 메시징 및 연결 서비스가 포함될 수 있습니다.
3단계: 아키텍처 유형에 대한 시나리오 분석
* sFTP 서버 사용: sFTP 서버 사용은 Swift 환경에서 외부 당사자(예: 서비스 제공업체 또는 허브)와 결제 메시지 또는 파일을 교환하는 데 일반적으로 사용되는 파일 전송 메커니즘을 의미합니다. 이는 연결성이 사용자의 로컬 환경을 벗어나는 상황에 적합합니다.
* 외부 노출 연결: "외부 노출 연결"이라는 문구는 Swift 사용자의 인프라가 외부 엔터티(서비스 공급자 또는 그룹 허브)와 인터페이스되어 완전히 독립적인 설정이 불가능하다는 것을 나타냅니다.
* 서비스 제공자 또는 그룹 허브:
* 서비스 제공자는 일반적으로 연결 또는 호스팅 서비스를 관리하는 제3자 기관을 의미하며, 이는 A2(외부 연결) 또는 A3(호스팅 인터페이스)와 일치할 수 있습니다.
* A그룹 허브는 기업 그룹이나 컨소시엄 내의 공유 인프라를 의미하며 A4를 가리킵니다.
4단계: 아키텍처 유형과 일치
* A1: 해당 없음. A1은 외부 연결에 의존하지 않는 완전한 로컬 배포를 요구합니다. 외부에 노출된 sFTP 연결은 이러한 요구 사항과 상충됩니다.
* A2: 적용됩니다. Swift 사용자가 로컬 메시징 인터페이스(예: Alliance Access)를 유지하고 sFTP 서버를 사용하여 서비스 제공업체의 외부 인프라에 연결하는 경우, 이는 A2에 해당합니다. "외부 노출 연결"은 외부 연결 서비스에 의존해야 한다는 A2의 요구 사항과 일치합니다.
* A3: 가능성은 낮지만, 명확히 설명하면 가능합니다. A3는 완전히 호스팅된 메시징 인터페이스(예: 로컬 Alliance 소프트웨어 없음)를 포함합니다. 질문에 메시징 인터페이스가 외부 호스팅된다는 명시적인 언급은 없으며, 연결을 위해 sFTP 서버가 사용된다는 것만 명시되어 있습니다. 호스팅된 인터페이스에 대한 증거가 없으므로 A3는 적합하지 않습니다.
* A4: 그룹 허브가 관련된 경우 적용됩니다. sFTP 서버가 중앙 집중식 그룹 허브(예: 기업 그룹 내 공유 Swift 인프라)에 연결되는 경우, 이는 A4와 일치합니다. 질문의 "그룹 허브" 참조가 이러한 가능성을 뒷받침합니다.
5단계: 결론 및 검증
CSCF v2024 아키텍처 정의 및 Swift CSP 아키텍처 유형 설명 지침에 따라:
* A2는 sFTP 서버와 외부 노출 연결이 연결을 위해 서비스 제공자에 대한 의존성을 시사하고, 달리 지정하지 않는 한 로컬 메시징 인터페이스가 가정되므로 확인되었습니다.
* "그룹 허브" 시나리오가 활성화되어 공유 연결 인프라를 나타내는 경우에도 A4가 적용됩니다.
* 이 질문은 "해당되는 모든 항목을 선택하세요"라는 질문이며, "서비스 제공업체 또는 그룹 허브"를 명시하고 있으므로 상황에 따라 A2와 A4 모두 유효합니다. 그러나 sFTP 및 외부 연결 세부 정보를 기준으로 A2가 가장 보편적으로 적용 가능하며, 그룹 허브의 경우에는 A4가 추가로 적합합니다.
참고문헌
* Swift 고객 보안 제어 프레임워크(CSCF) v2024, 섹션: 아키텍처 유형.
* Swift 고객 보안 프로그램 - 아키텍처 유형에 대한 설명은 Swift 공식 문서 포털(swift.com)을 통해 제공됩니다.
* Swift CSP FAQ, 연결 및 호스팅 시나리오를 명확히 설명합니다.