학습

DORA(The Digital Operational Resilience Act)의 이해

DORA(Digital Operational Resilience Act)가 등장했습니다. 이제는 조직이 규정 준수보다 앞서 나가야 할 때입니다. 이 가이드에서는 DORA의 정의, DORA가 중요한 이유, DORA 요구 사항을 충족하는 방법 등 DORA의 기본 사항을 자세히 설명합니다.

솔루션 요약 보기

DORA란 무엇입니까?

Digital Operational Resilience Act는 금융 기관과 정보통신기술(ICT) 파트너가 사이버 위험을 관리하는 방법을 목표로 하는 유럽 연합(EU) 규정입니다. 이 규정은 구속력 있는 감독 프레임워크를 만들고 EU 금융 엔터티와 해당 서비스 제공업체가 ICT 시스템에서 구현해야 하는 기술 표준을 규정하고 있습니다.

유럽 연합 집행위원회는 2020년 9월에 DORA를 제안했고, 2년 후에 유럽 의회에서 이를 통과시켰습니다. 마침내 2024년 1월 17일 EBA(European Banking Authority), ESMA(Securities and Market Authority), EIOPA(Insurance and Occupational Pensions Authority)가 최종 기술 표준을 발표했습니다. DORA는 같은 날 공식적으로 발효되었습니다.

EU 금융 엔터티와 ICT 서비스 제공업체는 2025년 1월 17일까지 DORA 요구 사항을 준수해야 합니다. 각 EU 회원국은 규정 준수를 강제할 책임이 있습니다. '관할 기관'이라고도 하는 지정된 규제 기관은 엔터티에 특정 보안 조치를 취하고 알려진 취약점을 해결하도록 요청할 수 있습니다. 

규정 미준수 시 처벌도 엄격합니다. 유럽 연합 집행위원회가 '중요'하다고 간주한 ICT 제공업체는 '선임 감독관'의 감독을 받게 됩니다. 이러한 조직은 규정을 준수하지 않는 제공업체에 이전 사업 연도 대비 전 세계 일일 평균 매출액의 최대 1%에 해당하는 벌금을 부과할 수 있습니다.

DORA 요구 사항이 귀하의 조직에 어떤 영향을 줍니까?

DORA는 유럽 연합에서 금융 서비스를 제공하는 조직에 가장 직접적으로 적용됩니다. 은행, 신용 조합, 투자 회사, 보험 회사, 기타 금융 기관이 여기에 포함됩니다. 그러나 해당 범위는 이뿐만이 아닙니다.

ICT 서비스 제공업체도 DORA 규정을 준수해야 합니다. 즉, EU 금융 부문에 ICT 시스템을 제공하는 모든 기술 회사도 DORA 규정을 준수해야 합니다. DORA에 따르면 EU 외부에 기반을 두고 있지만 여전히 EU 관할권 내에서 운영되는 모든 ICT 제공업체도 적용 대상입니다.

조직이 미국에 기반을 두고 있지만 오스트리아의 클라이언트에게 클라우드 서비스와 데이터 분석을 제공한다고 가정해 보겠습니다. 이 경우 이 회사는 효과적인 거버넌스를 촉진하기 위해 EU 내에 자회사를 설립해야 합니다.

PwC(PricewaterhouseCoopers)에 따르면 모두 합쳐 22,000개가 넘는 금융 회사와 ICT 서비스 사업체에 DORA가 적용됩니다. DORA는 규제 기술 표준으로서 많은 운영 요구 사항을 설정합니다. 나중에 더 자세히 다룰 것이지만 내용은 다음과 같습니다.

  • 적용되는 엔터티는 사이버 보안 위험 평가, 비즈니스 연속성 계획, 사고 대응 프로토콜을 통합한 포괄적인 디지털 운영 복원력 전략을 수립해야 합니다.
  • 엔터티는 디지털 운영에 영향을 미치는 중대한 사고가 발생할 경우 즉시 국가 당국에 보고해야 하며, 이를 통해 EU 전역에서 조율된 대응이 보장되어야 합니다.
  • 금융 기관은 제3자 ICT 제공업체와 관련된 위험을 관리하고 모니터링해야 합니다. 여기에는 실사를 실시하고 공급업체가 계약 요구 사항을 충족하는지 확인하는 것이 포함됩니다.
  • 조직에서는 운영 회복력 프레임워크를 정기적으로 테스트하여 취약점을 파악하고 해결해야 합니다.
  • 엔터티는 회복력을 감독하고 규정 준수를 보장할 책임을 지는 고위 경영진과 이사회를 갖춘 거버넌스 구조를 갖춰야 합니다.
  • DORA는 조직이 위협 정보와 모범 사례를 공유하도록 장려하여 전체적으로 운영 위험 관리를 강화합니다.

DORA가 왜 필요합니까?

금융 서비스 제공업체는 위험에 처해 있습니다. DORA는 다음 두 가지 방법으로 사이버 복원력을 강화하는 것이 목표입니다.

  1. 대규모 금융 기관의 ICT 위험 관리 문제 해결
  2. 위험 관리 규정을 하나의 응집력 있는 프레임워크로 조화

과거 EU 규정은 주로 금융 회사가 운영 위험과 중단을 감당할 수 있는 충분한 자본을 확보하는 데 중점을 두었습니다. 일부 규제 기관에서는 ICT 위험 관리에 대한 가이드라인을 발표했지만 모든 엔터티에 동일하게 적용되지는 않았습니다. 또한, 기술 표준이 아닌 일반적인 모범 사례를 기반으로 했습니다.

각 EU 회원국은 통합된 감독 프레임워크 없이 자체 요구 사항을 발표했습니다. 이로 인해 여러 규제가 미로처럼 복잡하고 단절되어, 여러 국가에 걸쳐 운영하는 기업은 쉽게 파악할 수 없었습니다.

DORA는 적용 대상인 모든 엔터티가 EU 내 운영 위치와 관계없이 단일 규제 기술 표준을 적용받도록 하여 이 문제를 해결합니다. DORA는 금융 부문의 위험 관리에서 조화를 이루어 혼란을 최소화하고 ICT 보안, 운영 위험 관리 및 비즈니스 연속성에 대한 기준을 높입니다.

사이버 복원력이란 무엇입니까?

DORA는 규제 대상 금융 엔터티의 '사이버 복원력'을 강화하도록 고안되었습니다. 이 용어는 데이터 유출, 사이버 공격 등의 중단 상황 속에서도 운영 무결성과 비즈니스 연속성을 유지하는 조직의 능력을 포괄합니다. 

소비자가 자금에 액세스하고 관리하는 방법에 있어 ICT 시스템이 핵심 역할을 하는 금융 부문에서는 연속성이 특히 중요합니다. ESMA에 따르면 금융 서비스는 일상적인 운영을 수행하기 위해 디지털 기술에 크게 의존하게 되었습니다. 이러한 의존성은 결과적으로 사이버 위험을 기하급수적으로 증가시켰습니다.

실제로 단 한 번의 ICT 사고가 일어나도 중요 인프라에 큰 파급 효과를 미칠 수 있습니다. 적절하게 관리하지 않으면 위험은 금융 서비스 제공을 방해할 수 있으며, 이는 다른 기관, 부문, 심지어 유럽 경제에도 영향을 미칠 수 있습니다.

서비스 거부 공격 중에 투자 은행의 제3자 거래 플랫폼이 오프라인 상태가 되는 시나리오를 상상해 보세요. 이는 최종 사용자 경험을 방해할 뿐만 아니라 시장에서 클라이언트가 많은 비용을 지출하게 될 수 있습니다.

지정학적 사건으로 인해 금융 서비스를 표적으로 삼고, 국가가 지원하는 공격자와 악성 핵티비스트가 나타나면서 문제가 복잡해졌습니다. 예를 들어, 러시아와 우크라이나의 전쟁에 영향받은 친러시아 사이버 범죄자가 2023년에 유럽 투자 은행의 네트워크 인프라를 공격하기도 했습니다. 다행히도 이 사고는 은행 웹사이트 가용성에 일시적인 영향만 미쳤습니다.

EU의 DORA(Digital Operational Resilience Act)에 대한 규정 준수 솔루션

금융 기관과 정보통신기술(ICT) 파트너에게 영향을 미치는 사이버 위험에 대한 EU 규정에 대해 살펴보고 Entrust가 어떻게 도움을 줄 수 있는지 알아보세요.

솔루션 요약 보기

DORA 규정 준수의 5가지 핵심 요소

DORA의 포괄적인 프레임워크는 5가지 핵심 요소로 구성됩니다. 각 요소는 사이버 복원력과 위험 관리의 다양한 측면을 다루지만, 모든 요소를 조합하여 금융 부문에서 강력하고 안전한 기반을 형성합니다.

1. ICT 위험 관리 및 거버넌스

제5조에 따라 관리 주체는 비즈니스 요구 사항, 규모, 복잡성에 상응하는 수준에서 사이버 위험을 완화하고 운영 복원력을 보장할 수 있는 '건전하고 포괄적이며 입증 사례가 많은' ICT 위험 관리 프레임워크를 구현할 책임이 있습니다. 이를 이행하지 못하는 리더는 규정 미준수에 대해 개인적으로 책임을 져야 할 수도 있습니다.

광범위하게는, 조직은 ICT 사고 이벤트 발생 시 비즈니스 연속성을 유지할 수 있는 시스템을 갖추어야 합니다. 위험 관리 프레임워크는 물리적 구성 요소와 디지털 인프라를 무단 액세스나 손상으로부터 보호하기 위한 전략, 정책, 절차, 도구를 포함해야 합니다.

또한 비즈니스에서는 다음을 수행해야 합니다.

  • ICT 시스템을 매핑하여 중요한 자산, 기능, 공급자 간의 종속성을 식별합니다.
  • ICT 시스템에 대한 정기적인 위험 평가를 수행하여 사이버 위협을 문서화, 분류, 계획합니다.
  • 비즈니스 영향 분석을 완료하여 심각한 중단이 운영에 미칠 수 있는 영향을 이해합니다.
  • IAM(ID 및 액세스 관리) 도구, 자동화된 위협 감지 시스템 등과 같은 적절한 사이버 보안 조치를 구현합니다.
  • 사이버 공격, 서비스 장애, 자연재해 등에 대한 비즈니스 연속성 및 재해 복구 계획을 수립합니다.
  • 사고 후 검토를 완료하여 과거 이벤트에서 시사점을 얻고 지속적인 개선을 추진합니다.

2. 사고 보고

제15조에서는 금융 엔터티가 ICT 관련 사고 관리 프로세스를 확립하고 구현하도록 요구합니다. 특히, 조직은 가능한 한 빨리 사고를 감지, 완화, 보고할 수 있도록 조기 경고 시스템을 마련해야 합니다. 또한 팀이 근본 원인을 식별하고 근절할 수 있도록 사고 발생 중 및 사후에 사고를 모니터링하는 프로세스를 확립해야 합니다.

또한 조직은 제16~20조에 따라 다음을 수행해야 합니다.

  • 다양한 영향 수준에 적용되는 기준을 사용하여 ICT 관련 사고를 분류합니다.
  • 감독 기관에 사고를 보고하기 위한 공통 템플릿 또는 절차를 마련합니다.
  • 중대한 사고의 경우 최종 사용자와 고객에게 지체 없이 알리고 그 결과를 완화하기 위해 사용 중인 모든 조치도 알립니다.
  • 영업일 종료까지 또는 다음 영업일 시작 후 4시간 이내에(사고가 전날 영업일 종료까지 2시간 이내에 발생한 경우) 이벤트를 보고합니다.

특히 DORA에서는 엔터티가 세 가지 보고서 유형을 제출하도록 요구합니다.

  1. 기관에 알리기 위한 최초 보고서
  2. 사고 해결을 위한 진행 상황을 커뮤니케이션하는 중간 보고서
  3. 사고의 근본 원인과 해결 방법을 분석한 최종 보고서

3. 디지털 운영 복원력 테스트

DORA는 복원력 테스트와 관련된 몇 가지 기본 요구 사항을 규정하고 있습니다. 조직은 테스트를 수행하여 ICT 관련 사고에 대한 준비 상태를 평가하고, 취약점을 감지하며, 시정 조치를 구현할 수 있습니다.

제21조에 따라 엔터티는 다음을 수행해야 합니다.

  • 규모, 비즈니스, 위험 프로필에 맞는 테스트 프로그램 구축
  • 다양한 평가, 테스트, 방법론, 도구 포함
  • ICT 위험이 변화하는 환경을 고려하여 위험 기반 접근 방식 준수
  • 독립적인 당사자가 테스트를 수행하는지 확인
  • 발견된 모든 문제와 취약점의 우선순위 지정, 분류, 완전 해결
  • 최소 1년에 1회 모든 중요 ICT 시스템 및 애플리케이션 테스트

또한 제23조에는 금융 엔터티가 최소 3년에 1회 위협 기반 침투 테스트를 실시해야 한다고 명시되어 있습니다. 이는 중요한 기능 및 서비스(서비스 제공업체에 아웃소싱된 기능 포함)를 지원하는 기본 ICT 프로세스와 같이 고수준 위험 노출을 해결하는 것을 목표로 합니다.

4. 제3자 위험 관리

DORA는 금융 회사가 계약 협상 시 적극적으로 제3자 위험 환경을 관리하고 운영 복원력을 염두에 둘 것을 기대합니다. 특히 DORA는 제3자 위험 관리와 관련하여 다음과 같은 규칙을 규정하고 있습니다.

  • 금융 엔터티는 제3자 ICT 서비스 제공업체와의 계약과 관련된 정보 등록을 유지해야 합니다.
  • 기업은 ICT 제공업체와 체결한 신규 계약의 수를 관할 기관에 최소 1년에 1회 보고해야 합니다.
  • 엔터티는 계약을 평가할 때 모든 관련 위험과 잠재적 이해상충을 식별하여 실사를 실시해야 합니다. 또한 접근성 및 보안을 위한 출구 전략, 감사, 성능 목표와 관련된 규정을 협상해야 합니다.
  • 금융 엔터티와 ICT 제3자 서비스 제공업체의 권리와 의무는 양측 모두 액세스할 수 있는 서면으로 할당 및 명시되어야 합니다. 
  • 주요 ICT 제공업체는 관련 감독 기관으로부터 직접 감독받습니다.

규정에 따르면 엔터티는 적절한 기술 표준을 충족하지 못하는 ICT 기업과 계약을 맺는 것이 금지됩니다. 관할 기관은 이를 준수하지 않는 계약을 중단시키거나 종료시킬 수도 있습니다.

5. 정보 공유

DORA는 엄격하게 시행되지는 않지만 다음과 같은 목적으로 신뢰할 수 있는 금융 엔터티 간의 협력을 장려합니다.

  • ICT 관련 위험에 대한 인식 제고
  • ICT 위협 벡터 확산 최소화
  • 방어 기술, 완화 전략, 위협 인텔리전스 공유

DORA와 NIS 2의 차이점

DORA는 사이버 복원력 및 디지털 보안과 관련된 여러 EU 지침 중 하나입니다. 개정된 NIS 2(네트워크 및 정보 시스템) 규정은 DORA 규정 준수와 크게 중복되므로 어떤 가이드라인을 따라야 할지 혼란스러울 수 있습니다.

2023년 9월 유럽 연합 집행위원회는 두 법안 간의 관계를 명확히 구분했습니다. 결정적으로 DORA는 부문별로 적용되며, 주로 금융 서비스 조직에 영향을 미칩니다. 반면, NIS 2는 에너지 및 운송과 같은 중요 인프라를 포괄하는 보다 광범위한 규제 프레임워크입니다.

NIS 지침의 제4(1)조 및 제4(2)조에 따라 NIS 2에 설명된 조항 대신 DORA의 조항이 적용됩니다. 이는 ICT 위험 관리, 사고 보고, 복원력 테스트에 관한 한, 금융 엔터티에는 DORA가 우선한다는 의미입니다.

DORA 규정 준수 준비

DORA는 위험 관리에 대해 높은 기준을 설정하므로 요구 사항을 충족하기 쉽지 않습니다. 다행히 규정 준수를 시작할 수 있는 다음과 같은 명확한 경로가 있습니다.

  1. 격차 분석 수행: 초기 격차 분석은 전체 회사 프로필을 종합적으로 평가하고, 사이버 성숙도 상태를 정의하며, 기존 위험 관리 프레임워크를 이해하는 작업을 포함합니다. 이 분석은 현재 프로세스와 절차 중 업데이트해야 하는 범위를 결정하는 데 도움이 됩니다.
  2. ICT 교육 의무화: 경영진을 포함하여 모든 직원을 대상으로 지속적인 교육 프로그램을 만드는 것이 가장 좋습니다. 리더는 DORA 미준수 시 책임을 집니다. 따라서 모두가 최신 ICT 보안 위협에 대해 항상 파악하고 경계해야 합니다.
  3. 제3자 계약 감사: 계약을 자세히 살펴보면 ICT 제공업체와의 종속성을 이해하는 데 도움이 될 수 있습니다. 결과적으로 이러한 연결을 보호하기 위한 보안 조치를 식별하고 우선순위를 지정할 수 있습니다. 클라우드 서비스 제공업체, 소프트웨어 공급업체, 기타 ICT 시스템을 포함한 모든 계약 목록을 작성합니다. 그런 다음 DORA 요구 사항에 부합하는 조항이 있는지 확인합니다.

Entrust를 통해 사이버 복원력 강화

DORA 규정 준수를 우연에 맡겨서는 안 됩니다. 금융 엔터티든 ICT 제공업체이든 Entrust의 포트폴리오는 방어력을 강화하고 중요 인프라를 보호에 필요한 모든 것을 담고 있습니다.

Entrust 솔루션은 다음을 포함합니다.

  • HSM(하드웨어 보안 모듈): nShield HSM은 데이터 암호화 및 보안 커뮤니케이션에 중요한 암호화 키를 생성, 관리, 보호하기 위한 안전한 환경을 제공하는 데 도움이 됩니다.
  • 클라우드 보안 태세 관리: Entrust CloudControl 보안 플랫폼은 단일 창에서 구성 및 규정 준수를 쉽게 식별, 해결, 보고할 수 있어 하이브리드 클라우드 환경을 보호하는 데 도움이 됩니다.
  • 키 관리: 키 관리는 데이터 및 금융 거래의 기밀성과 무결성을 보장하는 데 필수적입니다. Entrust KeyControl은 수명주기 전반에 걸쳐 암호화 자산을 관리하여 ICT 시스템에 대한 무단 액세스를 방지하는 데 도움이 됩니다.
  • ID 및 액세스 관리: Entrust Identity as a Service는 사용자 인증, 인가, 액세스 제어를 간소화하는 인텔리전스 플랫폼입니다. 보안 포털, 신원 증명 등을 통해 소비자와 연결하세요.
  • PKI(공개 키 인프라): Entrust PKI는 디지털 인증서를 사용하여 엔터티를 확인하고 데이터를 암호화하여 보안 커뮤니케이션 및 인증을 위한 프레임워크를 제공하는 데 도움이 됩니다.
섹션 살펴보기

섹션 살펴보기

회복력을 갖춘 보안 솔루션으로 DORA 규정 준수에 대비
규제 규정 준수 보장

시작할 준비가 되셨습니까? DORA 규정 준수를 단순화하려면 지금 Entrust 팀에 문의하세요.

영업 담당자에게 문의하기