John: “요약하면 위험이란 가치 있는 것을 잃을 가능성이고 운영 위험은 특히 부적절하거나 잘못된 내부 절차, 인력, 시스템 또는 외부 사고로 초래되는 손실 위험을 말합니다.”

John: “운영 위험의 예로는 시스템 붕괴, 도난, 데이터 손실, 사람의 실수 등이 있습니다.”

John: “영향의 예로는 금전, 평판, 데이터 및 시스템 가용성 등이 있습니다.”

Abdullah: “저희에게 발생한 사이버 공격에 대해 말씀드리겠습니다. 이것은 우리의 다가오는 프로젝트의 중요성을 더 잘 이해하는 데 도움이 될 것입니다.”
Lee: “좋습니다.”

Abdullah: “몇 년 전 사이버 범죄자들은 수백만 명의 신규 고객이 우리가 제공하는 다양한 신용 카드 제품을 신청하는 데 사용하는 온라인 획득 포털을 표적으로 삼았습니다.

시스템 중 하나에서 고객의 신원을 검증하는 데 오류가 있어서 사기 계정 개설이 허용되었습니다. 우리의 사기 방지 및 탐지 도구는 이를 방지하거나 탐지할 만큼 충분히 강력하지 않았습니다.”

Lee: “그들은 우리를 다시 표적으로 삼고 싶었겠군요.”
Abdullah: “맞습니다. 그들은 그렇게 했습니다. 그런 다음 그들은 자동화된 “봇”을 사용하여 우리를 다시 표적으로 삼았습니다. 그러나 우리가 사기 방지 및 탐지 통제를 더욱 강화한 탓에 그들은 실패했습니다.”

Lee: “잘됐군요! 그렇다면 우리 프로젝트가 추가 자동화 제어를 사전에 구현하는 것입니까?”
Abdullah: “예. 시작하죠.”

Nancy는 Jayden에게 전신환 송금이 잘못된 통화로 송금되었으며 송금해야 할 금액보다 훨씬 많았다고 설명합니다. Jayden은 큰 충격을 받았습니다.

Jayden: “어떻게 된 건가요?”
Nancy: “계정을 설정할 때 통화 필드에 수동 오류가 있었던 것 같습니다 – 메이커/체커 절차 과정에서 무언가가 누락되었습니다. 금액은 몇 시간 내로 전액 회수되었으며 수정된 금액이 고객에게 전송되었습니다. 이를 아차사고 상황이라고 합니다.”

Jayden: “통제를 강화하기 위해 무엇이 필요한지 평가해야 할 것 같습니다.”

Jane이 등록된 모델과 AI 객체를 살펴보는 동안 특히 한 모델이 Erik의 관심을 끌었습니다. 목록에 없지만, 그의 팀이 현재 사용 중인 다른 모델과 유사한 것으로 보입니다.

Erik: “저희 팀에서 사용하는 모델 중 하나가 목록에 없는 것 같습니다. 이를 등록할 수 있도록 절차를 안내해 주시겠어요?”

Jane: “물론입니다. 검증되지 않은 모델 또는 AI 객체를 사용하는 것은 우리 정책에 위배됩니다. 우리 팀은 먼저 전체 검토를 수행하여 MRM에 제출되어 MRM에 의해 검증되지 않았는지 확인하고 다른 사례가 없는지도 확인할 것입니다. 검토 후 이것이 MRM에 제출되지 않고 MRM에 의해 검증되지 않은 것으로 판명되면 이것을 Model Risk Management에 제출하기 위한 다음 단계를 제공하겠습니다.”
Erik: “알겠습니다. 감사합니다.”