2023년 1월 16일에 제정되어 2025년 1월 17일부터 시행될 DORA는 금융 기관이 사소한 장애, 또는 사이버 공격과 같은 심각한 상황에서도 회복 탄력성, 즉 레질리언스를 확보하는 것을 골자로 하는 EU의 새로운 규정입니다. 이 규제 프레임워크에 따라 각 기업은 모든 유형의 데이터, 통신, 기술 관련 장애와 위협을 견디고 이에 대응하며 그로부터 복구할 수 있음을 입증해야 합니다. 여기에는 보호, 탐지, 차단, 복구, 수리 기능 등에 관한 규정이 포함됩니다.
이 법은 은행, 보험사, 투자 회사 등 20여 가지 유형의 금융 기관, 그리고 이들의 외부 협력업체에 적용됩니다. 아울러 모든 정보 통신 기술(ICT) 전문 서비스 제공업체에도 적용됩니다. GDPR이 개인 정보 보호 관련 규제를 다룬다면, DORA의 취지는 금융 서비스 부문의 사이버 레질리언스, ICT 리스크 관리, 사이버 리스크 관리를 통합하고 업그레이드하는 것입니다.
DORA의 엄격한 요건과 체계적인 접근 방식은 금융 업계가 복잡한 디지털 리스크 및 사이버 보안 위협으로부터 스스로를 보호하면서 EU 전역에서 안정적이고 탄력적이며 안전한 금융 환경을 보장하는 데 도움이 될 것입니다. 이러한 요건을 기업의 프레임워크에 통합함으로써 현재의 디지털 과제에 대비하고 미래의 기술 발전에 적응할 수 있는 기반을 구축할 수 있습니다.
ICT 리스크 관리는 전혀 새로운 개념이 아닙니다. 그러나 DORA의 포괄적인 요건에 따라, 금융 기관은 기존 프랙티스와 프레임워크를 철저히, 종합적으로 재정비해야 합니다. 다른 한편으로, 이 법은 ICT 리스크 관리 프랙티스의 포괄적인 재정비만 요구하는 것이 아니라 회사의 디지털 운영 레질리언스를 위한 전략을 수립하고 승인하는 중추적인 역할을 맡은 금융 기관의 내부 관리 기구의 책임도 강화합니다. 아울러 이 전략은 명확하게 정의된 ICT 중단 리스크 허용 범위, 핵심 성능 지표(KPI), 그리고 DORA의 강화된 ICT 보안 표준에 부합하는 리스크 메트릭이 뒷받침되어야 합니다.
DORA에 따르면, 중대한 비즈니스 장애가 발생할 경우 해당 금융 기관은 다음과 같은 목적으로 엄격한 비즈니스 영향 분석을 수행해야 합니다.
금융 기관은 이러한 선제적 접근 방식으로 각종 장애를 처리할 만반의 준비를 갖추고, 만일의 피해나 다운타임을 최소화하면서 중단 없이 운영을 지속할 수 있습니다.
DORA는 다음과 같은 정책을 포함한 사이버 보안 보호 조치를 의무화합니다.
이러한 사이버 보안 보호 조치를 비롯한 다양한 내용의 사이버 레질리언스 베스트 프랙티스는 금융 기관이 사이버 인시던트 발생에 대비하여 다운타임과 사이버 공격의 영향을 최소화하도록 지원합니다.
DORA는 무엇보다 투명성과 책임성을 강조하며, 각 기업 내에 ICT 관련 인시던트를 관리하고 보고하는 전담 담당자를 지정하는 등 강력한 커뮤니케이션 전략 수립을 의무화합니다. 이처럼 명확한 커뮤니케이션 라인이 있어야 시의적절한 리포트 및 대응이 이루어집니다. 즉, ICT 문제가 기업의 운영에 미치는 잠재적 영향이 줄어듭니다.
게다가 기업의 ICT 자산, 프로세스, 시스템 간의 상호 연결에 대한 깊은 이해가 중요합니다. DORA는 금융 기관과 제공업체가 이러한 구성 요소에 대한 포괄적인 매핑을 작성하여 중요 취약점을 식별하고 사고 또는 침해 발생 시 전반적인 운영 레질리언스를 강화하도록 요구합니다. 복구 플레이북과 탁상 훈련을 개발하는 베스트 프랙티스를 통해 모든 부서의 프로세스를 명확히 하며, 이때 비즈니스 레질리언스를 강화하기 위한 상호 연결 매핑을 기반으로 합니다.
아울러 '핵심' ICT 서비스 제공업체와의 협력도 필요합니다. 이들 역시 변화에 대비하고 새로운 규제 환경 하에서 금융 기관을 지원하는 각자의 역할을 이해해야 합니다.
DORA는 은행과 금융 기관에 국한되지 않습니다. 기술 관리자, 결제 서비스 제공업체 등 주요 공급업체와 벤더를 비롯해 EU 금융 부문 전체를 대상으로 합니다.
DORA 규정의 영향을 받는 주요 산업 및 기관은 다음과 같습니다.
DORA 제2조 3항은 다음과 같이 그 규모나 중요성이 제한적인 특정 당사자를 면제 대상으로 규정합니다.
회원국은 재량에 따라 특정 국가 신용 기관이나 투자 기관을 면제할 수도 있습니다.
DORA는 EU 금융 산업에서 디지털 시스템의 증가하는 복잡성 및 연결성에 대응하기 위해 정밀한 프레임워크를 제시하는 매우 중요하고 포괄적인 규제 이니셔티브입니다. 모든 회원국에게 적용할 통일된 표준을 설정함으로써 은행, 보험사, 투자 회사, 결제 서비스 제공업체 등 금융 부문의 모든 당사자가 ICT 시스템 및 서비스와 관련된 리스크를 제대로 관리하고 완화할 수 있게 합니다.
DORA의 주요 중점 분야는 사이버 보안 조치를 강화하는 것입니다. 금융 기관은 광범위한 사이버 위협을 예방, 탐지하고 대응하는 강력한 사이버 보안 정책 및 제어 기능을 구현해야 합니다. 여기에는 사이버 방어 체계를 상시 모니터링하고 테스트하는 것은 물론 신속한 복구 및 대응 메커니즘을 통해 잠재적인 사이버 인시던트의 영향을 최소화하는 것이 포함됩니다.
데이터 보호 역시 DORA에서 특히 면밀하게 다루는 분야로, 금융 기관이 데이터 무결성, 기밀성, 가용성을 보장하는 통합적인 데이터 거버넌스 프레임워크를 구축하도록 규정합니다. 여기에는 무단 액세스, 데이터 유출 및 손실의 위험으로부터 중요 고객 및 금융 데이터를 보호하기 위한 제로 트러스트 보안 조치를 구현하여 금융 업계의 디지털 운영에 대한 신뢰를 강화하는 것이 포함됩니다.
정확한 건물 사양을 제시하는 청사진, 또는 즉흥 연주의 여지가 거의 없는 악보와 같이 DORA는 컴플라이언스를 위한 구체적인 지침, 기준, 템플릿을 포함하는 규범적 성격을 가집니다. 이처럼 세세한 접근 방식은 규제 당국이 직접 관리 감독하고 시행하는 역할을 수행할 것이라는 의도를 나타냅니다.
DORA는 금융 업계 전반의 레질리언스 프랙티스를 표준화하는 데 머무르지 않습니다. 또한 금융 기관이 디지털 환경에서 직면하는 여러 과제에 계속 잘 대비하게 하여 궁극적으로 금융 시장의 안정성을 보장하고 넓게는 경제 환경을 보호합니다. 그 본질은 ICT 및 사이버 보안의 다양한 영역과 측면을 다루는 5가지 핵심 요소로 요약할 수 있습니다.
DORA의 5가지 주요 '운영 레질리언스 핵심 요소'는 다음과 같습니다:
그럼 각 요소 및 이들의 기능을 더 자세히 살펴보겠습니다.
요소 1: ICT 리스크 관리
DORA에 따른 ICT 리스크 관리에는 이전 표준보다 훨씬 더 광범위한 원칙과 요건이 포함되며, 정기적인 리스크 평가, 철저한 식별, 잘 정의된 리스크 완화 전략, 상시 모니터링을 의무화하는 공식적인 ICT 리스크 관리 프레임워크를 마련합니다. 그 엄격함과 범위가 저마다 다른 DORA 이전의 프랙티스와 달리, DORA는 EU 전체에 통일된 표준을 설정함으로써 모든 금융 기관이 하나의 일관된 방식으로 ICT 리스크를 관리하게 합니다. 예를 들어, 은행은 이제 주기적으로 사이버 보안 방어 시스템을 테스트하고, 새로운 위협에 따라 리스크 완화 전략을 업데이트하며, 사이버 보안 보호 조치를 구현해야 합니다. IAM(Identity and Access Management), 이상 징후 탐지, 악성 코드 검사, 위협 대응, Data Insights, SIEM, SOAR 및 패치 관리에 관한 정책을 포함합니다. 기관 대부분은 거버넌스 체계, 정책, 리스크 평가, 통제 및 매핑 활동을 검토하여 DORA의 구체적인 요건에 부합하는지 확인해야 합니다.
DORA는 특정 당사자의 관리 주체에게 ICT 관리에 대한 책임이 있음을 명확히 규정합니다. 여기에는 이사회 구성원, 임원 및 고위 관리자가 포함됩니다. 이들은 리스크 관리 전략을 수립하고 실행해야 합니다. 이를 준수하지 않으면 개인적 책임이 야기될 수 있습니다.
요소 2: ICT 관련 인시던트 보고
DORA는 기업이 중요한 사이버 인시던트를 감지, 관리하고 정식으로 통지하는 하나의 일관된 프로세스를 구축하도록 규정합니다. 통일된 보고 요건을 도입하여 ICT 관련 인시던트 보고를 간소화합니다. 즉, 기업은 중요한 사이버 인시던트를 탐지, 관리하고 정식으로 통지하는 일관된 프로세스를 구축해야 합니다. 이렇게 하면 모든 금융 기관이 일관된 방식으로 인시던트를 보고할 수 있어 데이터 수집과 관리 감독이 더욱 원활하게 수행됩니다. GDPR보다 폭넓게 데이터 유출과 ICT 인시던트를 모두 포괄합니다.
이전에는 보고 기준이 관할 지역마다 달라 효율성이 저하되고 규제 지식의 격차가 벌어지곤 했지만, DORA 체제에서는 모든 기업이 표준화된 규약을 준수해야 합니다. 예를 들어, 데이터 유출이 발생한 결제 서비스 제공업체는 이제 특정 프로토콜에 따라 규제 기관에 인시던트를 보고해야 하며, 이를 통해 업계 전반에서 시기적절하고 일관된 대응이 수행될 수 있습니다.
요소 3: 디지털 운영 레질리언스 테스트
구체성이나 통일된 기준이 부족했던 이전의 요건에서 한 단계 더 발전하여 이제는 금융 기관이 기본 및 고급 레질리언스 테스트를 모두 수행해야 합니다. 여기에는 디지털 시스템의 잠재적 취약점을 파악하고 해결하기 위한 정기적인 취약점 평가 및 침투 테스트가 포함됩니다. 일례로 한 증권 회사는 연례 고급 시나리오 기반 테스트를 실시하여 정교한 사이버 공격을 시뮬레이션하는데, 대응 전략을 더 잘 이해하고 개선하는 데 그 목적이 있습니다.
요소 4: ICT 타사 리스크
이 핵심 요소에서는 외부 서비스 제공업체와 관련된 리스크를 모니터링하고 관리하기 위한 원칙 기반 규칙을 도입합니다. 이는 타사 리스크를 체계적으로 다루지 않았던 이전 표준보다 더 포괄적입니다. DORA에 따르면, 금융 기관은 엄격한 관리 감독 프레임워크를 구현하고 구체적인 계약 조항에 따라 타사의 DORA 표준 준수를 보장해야 합니다. 예를 들어, 외부 클라우드 서비스 제공업체를 이용하는 은행은 이제 해당 제공업체가 DORA의 운영 레질리언스 요건을 충족함을 확인하고 정기적으로 이 상태를 점검해야 합니다.
DORA에서는 당사자들이 타사 서비스 제공업체에 대한 철저한 평가를 수행하고, 종속성을 규명하며, 명확한 출구 전략 마련하는 등 보안과 무결성을 보장할 것을 요구합니다. 클라우드 컴퓨팅 환경에서 다시 온프레미스로, 또는 다른 클라우드 제공업체로 데이터, 애플리케이션, 서비스를 이전하는 방법에 관한 유의미한 계획을 수립해야 합니다. 주목할 점으로는 각 당사자는 제공업체가 DORA를 준수하지 않는 기업과 계약을 체결하지 못하게 할 권한이 있습니다.
요소 5: 정보 공유
이 요소는 표준 절차와의 큰 변화를 보여주는 데, 금융 기관 간에 사이버 위협에 관한 정보와 인텔리전스를 자발적으로 교환하는 것을 장려합니다. 비교적 체계적이지 않고 고립적이던 이전의 프랙티스와 달리, 이러한 협업 방식은 지정된 채널을 통한 공유를 촉진하면서 집단 차원의 디지털 레질리언스를 강화합니다. 일례로, 이제 금융 기관은 (DORA에서 '신뢰할 수 있는 금융 기관 커뮤니티'라고 부르는) 공유 플랫폼에 참여하여 사이버 위협 지표에 관해 보고하고 논의함으로써 업계 전체가 만일의 사이버 사고에 보다 잘 대비하게 할 수 있습니다.
DORA의 엄격한 표준을 준수하는 기업은 다음과 같은 이점을 누릴 수 있습니다.
DORA에 대한 컴플라이언스는 EU 금융 시장 내에서 그리고 규제 기관과의 관계에서 더 원활한 운영과 소통을 증진하는 단일 통합 접근 방식을 준수하겠다는 약속이기도 합니다.
DORA가 매우 지대한 영향을 미칠 것임은 분명하며, 따라서 금융 기관의 현재 ICT 시스템과 거버넌스에 대한 포괄적인 점검이 필요합니다. 이러한 전환에 대비하여 각 기관은 강력한 리스크 관리 프레임워크, 면밀한 인시던트 보고 절차, 엄격한 레질리언스 테스트를 개발하는 등 ICT 리스크를 관리하기 위한 엄격한 조치를 채택해야 합니다. 이렇듯 급격한 전환에서 효과를 거두려면 초기의 변화 못지않게 상시 개선 및 적응을 위한 기업 차원의 지속적인 노력이 필요합니다.
기업이 사이버 보안 조치와 운영 레질리언스를 강화하면 당연히 더 안전한 금융 환경을 추구하는 DORA의 목표에 부합하게 됩니다.
유럽은행감독원(EBA), 유럽보험직장연금감독원(EIOPA), 유럽증권시장감독원(ESMA)으로 구성된 유럽금융감독원(ESA)이 이러한 전환 과정에서 핵심적인 역할을 수행하여 EU 전역의 금융 기관이 DORA 기준을 일관되게 적용하도록 할 것입니다. ESA는 기준 이행을 관장하고 가이드라인을 제공하며 컴플라이언스를 모니터링하면서 EU 금융 시스템의 무결성과 레질리언스를 유지하도록 지원합니다. 이를 위해 금융 업계가 필수 표준을 충족하고 디지털 레질리언스 원칙을 운영의 기본으로 수립하도록 감독합니다.
금융 기관에서 컴플라이언스를 보장하기 위해서는 이 새로운 요건을 일상 업무 환경에 통합할 계획을 세워야 합니다.
레질리언스 문화를 조성하고 ESA 및 기타 규제 기관과 열린 소통 관계를 유지하는 금융 기관은 계속 민첩성을 발휘하여 컴플라이언스를 달성할 수 있습니다. 이를 상시 프로세스로 통합함으로써 진화하는 규정과 베스트 프랙티스에 보조를 맞출 뿐만 아니라 DORA의 프레임워크 내에서 영향력, 관리 감독, 컴플라이언스를 연계하면서 시너지 효과를 누릴 수 있습니다.
DORA를 준수하려는 기업의 최대 과제는 다음과 같은 엄격한 새로운 규정을 충족하려면 기존 ICT 프레임워크를 대대적으로 정비해야 한다는 것입니다.
많은 기업, 특히 소규모 기업에서는 이러한 요구 사항을 해결하기 위한 리소스 부담이 클 수 있으며, 결국 재정 및 운영에서 상당한 조정이 수반되곤 합니다.
기업은 향후 24개월 내에 가장 중요한 요소를 우선으로 처리하고 점차 레질리언스 조치를 확대하는 단계적 컴플라이언스 접근 방식을 통해 이러한 문제를 해결해야 합니다. 교육 및 개발에 투자하면 모든 직원이 새로운 요건을 이해할 수 있게 됩니다. 아울러 사이버 보안 및 컴플라이언스 전문가와 협력하여 맞춤형 전략과 솔루션을 개발하는 등 외부 전문가의 도움을 받는 것이 좋을 수도 있습니다. 전략적인 단계별 접근 방식을 채택한 기업은 DORA 요건을 효과적으로 충족하면서 운영에서 컴플라이언스와 레질리언스를 확보할 수 있습니다.
DORA는 2025년 1월 17일부터 시행됩니다. 모든 대상 금융 기관은 그때까지 ICT 타사 서비스 제공업체와의 계약 정보를 수록한 통합 레지스터를 마련해야 합니다. 이러한 레지스터를 통해 다음을 수행할 수 있습니다.
금융 기관에서 ICT 타사 서비스 제공업체 정보를 수록한 DORA 레지스터를 준비하고 제출하는 데 도움을 주기 위해 ESA와 기타 관련 당국은 2024년에 다음과 같은 일정으로 최대한 예행 연습을 실시할 예정입니다.
베리타스는 금융 업계의 데이터 보안 요건을 다년간 지원해온 경험을 바탕으로 DORA의 새롭고 엄격한 보안 요건을 충족할 역량을 갖추었습니다. 안전하고 신뢰할 수 있으며 확장 가능한 소프트웨어 및 하드웨어 시스템을 제공하여 비즈니스 크리티컬 시스템을 효율적으로 운영하고 금융 기관의 컴플라이언스를 유지할 수 있도록 지원합니다.
DORA 컴플라이언스를 비롯해 베리타스와 함께 누릴 수 있는 이점에 관해 자세히 알아보려면 온라인으로 문의하십시오.