기사

디지털 운영 복원력 법(DORA)

ComplianceSecurity
소요 시간: 7 분

DORA의 정의 및 범위

DORA는 2022년에 통과된 유럽 연합(EU)의 디지털 운영 복원력 법(Digital Operational Resilience Act)을 의미하며, 사이버 위협으로부터 EU 금융 부문을 보호하려는 목적으로 위험 관리 프레임워크를 제공합니다. DORA는 EU 금융 기관에서 정보 통신 기술(ICT)을 보호하기 위해 취해야 하는 단계를 규정합니다.

디지털 운영 복원력 법(DORA)의 범위는 광범위합니다. DORA는 금융 기관과 해당 서비스 제공자가 ICT 시스템에 구현해야 하는 특정 기술 표준을 규정합니다. 이러한 표준은 EU 조직뿐만 아니라 EU에서 운영하는 모든 금융 기관과 서드파티서비스 제공업체에 적용됩니다.

역사적 맥락과 입법 여정

디지털 운영 복원력 법(DORA)이 등장하게 된 주된 동인은 유럽 연합 집행위원회가 ICT 사용의 규모와 금융 기관의 ICT 의존도를 깨달았다는 데 있습니다. 사이버 공격이 확대되고 사이버 위험이 폭발적으로 증가함에 따라 집행위원회는 금융 부문의 ICT 시스템을 강화하고 운영 회복력을 보장하여 이 시스템을 보호하도록 사이버 보안 모범 사례를 입법화하고자 했습니다. 또 다른 목표는 EU 전역에서 나타난 이질적인 위험 관리 규칙을 조화시키는 것이었습니다.

디지털 시대에 금융 기관에 대한 DORA의 중요성

디지털 운영 복원력 법(DORA)이 2025년 1월에 본격적으로 시행되면 금융 기관은 엄격한 데이터 관리 요구 사항을 직시하게 될 것입니다. 이는 ICT 시스템뿐만 아니라 인접 시스템 및 프로세스에도 지대한 영향을 미치게 됩니다.

또한 이러한 요구 사항은 개별 금융 기관의 범위를 훨씬 넘어서 확대됩니다. 모든 서드파티 공급업체가 규정을 준수하는 것으로 평가 및 인증받아야 하므로 규정 준수 요구 사항의 규모는 광범위할 것입니다.

DORA의 핵심 프레임워크: 다섯 가지 핵심 요소 설명

디지털 운영 복원력 법(DORA)은 5개의 핵심 원칙 또는 요소를 기반으로 합니다. 이러한 요소는 함께 디지털 운영 복원력의 핵심 측면을 다룹니다.

1. ICT 위험 관리 요구 사항

디지털 운영 복원력 법(DORA)에서는 금융 기관이 위험 관리 프로그램을 개발하고 구현하도록 요구합니다. 이러한 프로그램은 국제 표준을 기반으로 하는 위험 관리 프레임워크를 따라야 하며, 디지털 복원력 전략, 경영진을 비롯한 모든 직원의 사이버 보안 교육, 정기 감사를 포함해야 합니다. 기업은 ICT 자산을 보호하기 위한 보안 제어와 공격이나 재해 발생 시 이를 복구하기 위한 계획을 마련해야 합니다.

2. ICT 관련 인시던트 보고

사이버 보안 인시던트를 신속하고 효율적으로 탐지하고 대응하는 능력은 디지털 운영 복원력 법(DORA)의 기본 목표입니다. 규정을 통해 금융 기관은 ICT 시스템을 위태롭게 하는 사이버 보안 인시던트를 탐지, 대응, 복구하기 위한 포괄적인 시스템과 프로세스를 갖추고, 중요한 문제에 관해 근본 원인 보고서를 작성해야 합니다.

DORA에서는 금융 기관이 인시던트 탐지 후 1개월 이내에 ICT 인시던트 보고서를 제출하도록 요구합니다. DORA의 일환으로 중앙 EU 허브는 ICT 관련 인시던트에 관한 데이터를 수집하며, 이 정보를 국가 주무 당국(NCA)이 현지에서 수집하지는 않습니다.

3. 디지털 운영 복원력 테스트

디지털 운영 복원력 법(DORA)에서는 기업이 ITC 시스템에 대한 정기적인 테스트를 수행하도록 요구합니다. 테스트에는 취약성을 식별하고 이에 대한 우선순위를 지정하며 개선을 지시하도록 절차, 도구, 방법론에 대한 평가가 포함되어야 합니다.

DORA에서는 3년마다 위협 주도 침투 테스트(TLPT)와 함께 연 1회 공식 테스트를 요구합니다. 테스트 부담을 줄이고자 DORA 테스트 프레임워크는 TIBER-EU 프레임워크를 모델로 삼습니다. 이 프레임워크는 유럽 중앙은행이 개발한 자발적 테스트 가이드라인으로, 금융 기관이 사이버 복원력을 테스트하는 방법을 자세히 설명합니다.

4. 서비스 제공업체를 포함한 서드파티 위험 관리

서드파티 서비스 제공업체에서 비롯되는 사이버 위험을 처리하고자 디지털 운영 복원력 법(DORA)에서는 금융 기관이 서드파티 종속성을 매핑하고 이러한 파트너로 인한 모든 위험을 평가할 책임이 있음을 규정합니다. 여기에는 사이버 복원력에 영향을 미치거나, 데이터 침해를 초래하거나, 공급망 공격에 노출될 수 있는 위험이 포함됩니다. 금융 기관은 위험 태세 평가를 실시하고 모든 ICT 파트너 및 공급업체에 대한 연례 보고서를 제출해야 합니다.

5. 금융 기관 간 정보 공유

EU 금융 기관에 영향을 주는 위험 및 위협 환경에 대한 가시성을 높이고 사이버 위협 방어에 대한 협업을 촉진하기 위한 일환으로, 디지털 운영 복원력 법(DORA)은 정보 공유를 장려합니다. 금융 기관 간 정보 공유는 사이버 위협에 대한 인식을 증진하고 해당 부문 전반의 사이버 위험을 완화하기 위한 대응 전략을 개선하는 데 목표를 두고 있습니다.

디지털 운영 복원력 법(DORA)은 EU에서 금융 서비스를 제공하는 모든 기업에 적용됩니다(기업의 위치에 구애받지 않음). 이 규정은 주로 금융 산업에 중점을 두고 있지만, 금융 부문의 서드파티 공급업체와 서비스 제공업체에도 영향을 줍니다.

준수해야 하는 기관의 종합 목록

제2조, ‘범위’에 따르면 디지털 운영 복원력 법(DORA)이 규정을 준수할 것을 요구하는 금융 기관 유형은 다음과 같습니다.

  • 계좌 정보 서비스 제공자
  • 중요한 벤치마크 관리자
  • 중앙 거래당사자
  • 중앙 예탁기관
  • 신용 기관
  • 신용 평가사
  • 크라우드펀딩 서비스 제공업체
  • 암호 자산 시장에 대한 유럽의회 및 이사회 규정에 따라 허가된 암호 자산 서비스 제공업체
  • 데이터 보고 서비스 제공업체
  • 전자 화폐 기관(지침 2009/110/EC에 따라 면제된 전자 화폐 기관 포함)
  • ICT 서드파티 서비스 제공업체
  • 퇴직 연금 제공 기관
  • 보험 및 재보험 회사
  • 보험 중개인, 재보험 중개인, 보조 보험 중개인
  • 투자 회사
  • 관리 회사
  • 대체 투자 펀드 관리자
  • 결제 기관(지침(EU) 2015/2366에 따라 면제된 결제 기관 포함)
  • 증권화 저장소
  • 거래 정보 저장소
  • 거래 시설

DORA에 따른 규정 준수 의무 이해

  • 공급업체를 평가하는 규제 기관 및 금융 기관의 감사 액세스
  • 금융 기관 간 사이버 위협 인텔리전스 공유
  • DORA의 중앙 집중식 EU 허브에서 정보를 공유하기 위한 인시던트 보고 프로세스
  • 모든 서드파티 ICT 서비스 제공업체를 매핑하고 위험 태세를 평가
  • ICT 인시던트에 대한 회고적 분석
  • 해당 정책 및 프로그램이 포함된 위험 관리 및 거버넌스 프레임워크
  • 일반 테스트에 대한 보고 및 침투 테스트 보고를 포함한 보안 테스트 프로그램

집행 시 유럽 감독 기관의 역할

금융 기관의 경우 디지털 운영 복원력 법(DORA)은 규제 기관, 즉 각 EU 회원국의 관할 당국에서 시행합니다. 해당 기관은 규정을 준수하지 못한 기업에 행정 및 형사 처벌을 부과할 권한이 있습니다. 각 EU 회원국에서는 구체적인 처벌을 결정합니다.

유럽 연합 집행위원회에서 중요하다고 간주하는 ICT 서비스 제공업체는 다음 3곳의 유럽 감독 당국(ESA)에서 감독합니다.

  1. 유럽 은행 당국(EBA)
  2. 유럽 증권시장 감독청(ESMA)
  3. 유럽 보험연금 감독청(EIOPA)

디지털 운영 복원력 법(DORA)에 관한 ICT 서비스 제공업체의 감독은 ESA에서 임명한 수석 감독관이 담당합니다. 이 수석 감독관은 유럽 네트워크 및 정보보호원(ENISA), 기타 EU 관할 당국 등 다른 기관에서 지원을 받습니다.

수석 감독관은 규정을 준수하지 않은 ICT 서비스 제공업체에 연간 수익의 최대 1%까지 벌금을 부과할 수 있습니다. ICT 서비스 제공업체는 규정 준수를 달성할 때까지 최대 6개월 동안 매일 벌금을 받게 될 수 있습니다.

기업의 DORA 운영

많은 규정과 마찬가지로 디지털 운영 복원력 법(DORA)을 운용하려면 기존 시스템과 프로세스를 조정하고 보강해야 하는 경우가 많습니다. 대부분의 기업에서 떠안고 있는 가장 큰 부담은 서드파티 ICT 서비스 제공업체를 평가하고 모니터링해야 한다는 요구 사항입니다. DORA를 효과적으로 운영화하는 방법을 간략하게 정리하면 다음과 같습니다.

DORA 규정 준수를 달성하기 위한 단계

금융 기관이 디지털 운영 복원력 법(DORA)을 준수하도록 돕기 위한 일반적인 단계는 다음과 같습니다.

  • 적용 범위를 결정합니다.
    디지털 운영 복원력 법(DORA) 제2조에 명시된 DORA를 준수해야 하는 기관 목록을 검토하여 DORA 규정이 기업에 적용되는지 확인합니다.
  • 규정 준수 요구 사항을 파악합니다.
    디지털 운영 복원력 법(DORA)에서 제시하는 요구 사항을 충족하려면 기업에 무엇이 필요한지 확인합니다.
  • 사이버 위험 평가를 수행합니다.
    기업과 서드파티 ICT 서비스 제공업체의 시스템 및 프로세스가 디지털 운영 복원력 법(DORA)의 요구 사항과 어떻게 일치하는지 평가하고, 격차를 문서화합니다.
  • 기업 전체의 팀을 참여시킵니다.
    IT 그룹에 국한하지 않고 전체 팀을 포괄하여 모든 사이버 위험과 격차를 파악합니다. 이렇게 하면 규정 준수 전략을 포괄적으로 수행하여 다른 그룹의 요구 사항도 충족시킬 수 있습니다.
  • 운영 복원력 전략을 개발합니다.
    복원력 전략이 마련되어 있다면 검토를 통해 디지털 운영 복원력 법(DORA)의 요구 사항을 충족하는지 확인하고 그에 따라 수정합니다. 아직 전략이 개발되지 않은 경우 ICT 시스템에 영향을 미치는 보안 사고 발생 시 비즈니스 연속성을 보장하고 사이버 위협, 데이터 침해, 기타 문제나 중단에 대응하기 위한 포괄적인 전략을 수립합니다.
  • Define responsibilities.
    According to the Digital Operational Resilience Act, the board of directors and executive team are responsible for managing ICT risk and ensuring operational resilience. It is critical that functions be delegated and overseen by leadership. Key areas to focus on include:
    • 데이터 보안을 보장하기 위한 보안 정책
    • ICT 관련 기능과 시스템의 관리 및 거버넌스
    • 디지털 운영 복원력 전략과 관련 시스템 및 프로그램의 검토
    • ICT 서비스 제공업체 평가
    • 운영 복원력 활동을 지원하기 위한 예산
  • 서드파티 ICT 서비스 제공업체를 파악하고 평가합니다.
    모든 서드파티 ICT 서비스 제공업체를 매핑하고 디지털 운영 복원력 법(DORA) 기준을 바탕으로 사이버 위험과 사이버 복원력을 평가하기 위한 계획을 수립합니다. 지속적으로 모니터링하고 정기적으로 테스트하기 위한 프로세스를 구현합니다.
  • 시스템 및 프로세스를 테스트합니다.
    디지털 운영 복원력 테스트를 정기적으로 수행하여 규정 준수를 확인하고 결함이나 최적화 영역을 식별합니다. 위협 주도 침투 테스트(TLPT)도 승인된 프레임워크(예: TIBER-EU 및 CBEST 인텔리전스 주도 테스트)를 사용하여 최소 3년마다 수행해야 합니다.
  • 인시던트 대응 계획을 수립합니다.
    기술적 대응과 통신 프로토콜을 모두 포함하는 포괄적인 인시던트 대응 계획을 개발하면 신속하고 효과적으로 인시던트에 대응할 준비를 갖출 수 있습니다. 각 기능에 역할을 할당하고 해당 역할을 연습합니다. 또한 인시던트 대응 계획은 정기적으로 테스트하고 검토해야 합니다.
  • 교육 프로그램을 구축합니다.
    직원 교육 프로그램을 만들어 디지털 운영 복원력과 이를 유지 관리하는 데 있어 개인의 역할에 대한 인식을 조성하고 강화합니다. 사이버 보안의 중요성과 사이버 위험을 최소화하기 위한 단계에 중점을 둡니다.
  • ICT 시스템을 모니터링합니다.
    사이버 위험과 사이버 위협을 사전에 파악할 수 있도록 도구를 사용하여 ICT 시스템 모니터링을 자동화합니다.

ICT 위험 관리 프레임워크 구현

다음은 디지털 운영 복원력 법(DORA)에서 요구하는 ICT 위험 관리 프레임워크를 구현하는 기본 단계입니다. 기업마다 고유한 요구 사항과 하위 단계가 있지만, 해당 단계에서는 관련 내용에 관한 전반적인 개요를 제공합니다.

  1. 준비하려면 ICT 위험 관리에 대한 모든 요구 사항은 물론 모든 영역에 관련된 기관 및 개인을 파악합니다.
  2. ICT 시스템을 분류하고 기능, 수집된 데이터, 다른 시스템과의 관계, 사용자 액세스를 자세히 설명합니다.
  3. 기술적, 운영적, 물리적 보호와 디지털 복원력을 포함하는 보안 제어 등 ICT 시스템에 대한 보안 제어를 선택 및 구현합니다.
  4. ICT 보안 제어의 정확성과 효과를 평가하여 격차나 취약성을 파악합니다.
  5. 가급적 신속히 위협과 사이버 위험을 식별하고 대응하도록 ICT 시스템을 지속적으로 모니터링하기 위한 프로세스를 구현합니다.

인시던트 보고 및 복원력 테스트를 위한 모범 사례

인시던트 보고 및 복원력 테스트는 디지털 운영 복원력 법(DORA)을 이루는 핵심 요소입니다. 다음은 이러한 중요 기능을 용이하게 하는 모범 사례입니다.

인시던트 보고 모범 사례는 인시던트가 무엇인지 정의하고 인시던트 범주를 설정하는 것에서부터 시작합니다. 인시던트가 발생하면 다음 사항을 종합 보고서에 기록해야 합니다.

  • 인시던트에 관한 일반적인 정보(발생 시기, 발생한 일에 대한 요약)
  • 인시던트 연표 및 대응 전략
  • 인시던트가 발생한 설정 또는 환경
  • 영향을 받은 사람, 기업, 시스템과 피해
  • 인시던트를 탐지하고 해결하는 데 관여한 목격자와 팀, 그리고 이들이 목격한 것과 수행한 일
  • 물리적 인시던트의 경우 지원하는 시각 자료
  • 즉각적인 대응 전략 및 계획된 개선 전략

사이버 복원력 계획의 효과를 보장하려면 이를 테스트하는 것이 중요합니다. 사이버 복원력 테스트를 수행할 때 다음과 같은 몇 가지 사항을 고려해야 합니다.

  • 복구 시간과 같은 사이버 복원력 지표 정의
  • 디지털 운영 복원력 지표에 대한 기준 설정
  • 사이버 공격 또는 시스템 중단 시뮬레이션
  • 디지털 운영 복원력 및 인시던트 대응 계획, 사이버 복원력 및 사이버 보안 모범 사례에 대한 직원의 지식, 그리고 이들의 역할에 관한 테스트
  • 디지털 운영 복원력 전략 및 관련 계획을 업데이트하고 개선하기 위해 테스트 결과 사용

서드파티 및 ICT 관련 위험 관리

디지털 운영 복원력 법(DORA) 요구 사항을 충족하려면 서드파티 서비스 제공업체의 ICT 위험 관리를 평가할 때 다음 사항을 고려해야 합니다.

잠재적인 ICT 서비스 제공업체를 평가하는 경우 먼저 제공되는 서비스의 중요도를 확인합니다. 평가의 심도는 이에 상응해야 합니다.

ICT 서비스 제공업체를 선택한 후에는 계약에 디지털 운영 복원력 및 사이버 보안에 대한 최소 요구 사항을 포함합니다. 아울러 이러한 요구 사항을 준수하는지 모니터링하고 테스트하기 위한 프로세스 및 지표를 마련해야 합니다.

모든 ICT 서비스 제공업체에 대한 비즈니스 연속성 및 복구 계획이 모두 마련되어 있는지 확인합니다. 여기에는 모든 중요 데이터의 백업이 포함되어야 합니다.

디지털 운영 복원력 법(DORA)은 EU와 해외에서 모두 금융 서비스 산업의 전반적인 운영과 보안을 크게 개선할 것으로 예상됩니다.

이는 서드파티 ICT 서비스 제공업체의 요구 사항과 EU에서 운영되는 모든 기업에 대한 이 규정의 영향력 때문입니다.

디지털 위협의 상황에서도 운영 복원력 강화

디지털 운영 복원력 법(DORA)에서 의무화한 특정 사이버 보안 요구 사항이 만들어진 이유는 ICT 시스템에 영향을 미치는 사이버 공격 또는 기타 인시던트가 발생할 경우에도 비즈니스 연속성을 보장하기 위함입니다. 이 규정으로 사이버 모범 사례가 법률로 성문화되어 광범위한 금융 서비스 생태계에 적용됩니다.

조화로운 유럽 금융 생태계를 조성하는 데 있어 DORA가 기여하는 역할

디지털 운영 복원력 법(DORA)이 등장하게 된 주요 동인은 EU 전역의 표준을 조화시키기 위함이었습니다. DORA는 통합된 규제 환경을 조성하여 규정 준수를 간소화하고 금융 기관과 서드파티 ICT 서비스 제공업체가 동일하게 높은 수준의 복원력과 사이버 보안을 제공할 수 있도록 지원합니다.

향후 발생할 수 있는 문제와 고려 사항

많은 기업에서 디지털 운영 복원력 법(DORA)의 규정 준수 요구 사항을 충족하기 위한 프로세스와 시스템을 효과적으로 구현하는 데 어려움을 겪을 것입니다. 일반적으로 언급되는 문제는 다음과 같습니다.

  • 운영 복원력에 대한 명확한 정의
  • 보고 및 정보 공유를 위한 프로세스 및 인프라
  • 디지털 복원력에 영향을 미치는 사이버 위험의 전체 범위를 평가하고 파악하는 것에 관한 제한

결론: 지속 가능한 성공을 위한 디지털 운영 복원력 수용하기

디지털 운영 복원력 법(DORA)의 규정 준수 요구 사항을 준수함으로써 기업은 처벌을 피할 수 있을 뿐만 아니라, 지속 가능한 사이버 복원력 및 사이버 보안에 대한 모델을 제공할 수도 있습니다.

DORA의 주요 사항 요약

디지털 운영 복원력 법(DORA)의 다섯 가지 핵심 요소를 이해하는 것은 규정 준수를 보장하고 모든 시스템과 운영이 최적의 성능을 발휘하는 데 가장 중요합니다. DORA의 적용 여부와 관계없이 모든 금융 기관은 다섯 가지 핵심 요소에서 제시하는 지침을 통해 이점을 누릴 수 있습니다.

  1. ICT 위험 관리 요구 사항
  2. ICT 관련 인시던트 보고
  3. 디지털 운영 복원력 테스트
  4. 서비스 제공업체를 포함한 서드파티 위험 관리
  5. 금융 기관 간 정보 공유

DORA 요구 사항에 대한 선제적 참여의 중요성

빠르게 진화하는 기술 생태계와 위협 환경에서 기업은 항상 경계하는 자세를 취해야 합니다. 시간을 들여 디지털 운영 복원력과 사이버 보안 방어에 도움이 되는 최신 솔루션에 대해 꾸준히 숙지하세요. 아울러 내부 및 외부 소스에서 위협 인텔리전스를 모니터링하여 사이버 방어와 디지털 운영 복원력 전략 및 전술을 파악하세요.

금융 분야의 복원력 있는 디지털 미래 대비에 대한 최종 고찰

디지털 운영 복원력 법(DORA)은 금융 기관이 보안 및 복원력 태세를 평가하고 강화할 수 있는 계기가 됩니다. 서드 파티 ICT 서비스 제공업체에 대한 요구 사항으로 인해 이러한 계기는 광범위한 비즈니스 커뮤니티까지 확장됩니다. 이에 따라 조직은 디지털 운영 복원력을 한층 높이기 위해 더 철저히 대비하게 되므로 광범위한 이점이 있을 것으로 기대됩니다.

관련 자료

Office workers

아이덴티티 거버넌스(IGA)란?

IGA는 비즈니스의 성장을 방해하는 보안 문제를 어떻게 해결 할 수 있는지 확인해보세요.

더 알아보기

세일포인트 아이덴티티 보안 클라우드

세일포인트의 대표적인 통합 클라우드 솔루션으로 중요한 데이터와 애플리케이션에 올바른 액세스를 제공해 보세요.

더 알아보기

아이덴티티 보안의 다섯 가지 단계

SailPoint와 Accenture의 새로운 인사이트: 2024년 아이덴티티 보안의 핵심 요소

지금 읽기

시작하기

세일포인트 아이덴티티 보안 클라우드를 어떻게 활용할 수 있는지 알아보세요

세일포인트 솔루션이 어떻게 오늘날의 기업이 생산성과 혁신을 저해하지 않고 리소스에 안전하게 액세스할 수 있도록 지원하는지 알아보세요.

데모 신청문의하기