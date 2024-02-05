디지털 운영 복원력 법(DORA)은 디지털 시대에 금융 부문의 운영 탄력성을 강화하려는 유럽연합(EU)의 노력에 중요한 이정표가 됩니다. 금융 서비스의 정보통신기술(ICT) 리스크 관리를 포괄적으로 다루기 위해 고안된 DORA는 EU 회원국 간 기존 규제를 조화시키는 것을 목표로 합니다. 이 법은 적용 대상인 모든 금융 기관이 필요한 디지털 운영 복원력을 갖추도록 의무화하며, 각 조직에 맞는 맞춤형 접근 방식을 강조합니다.
금융 기관은 DORA에 효과적으로 대응하려면 데이터, 운영, 위험 관리, 자동화, AI의 네 가지 주요 영역에서 기본 역량을 갖추는 데 집중하는 것이 좋습니다. 이러한 분야의 기술을 전략적으로 결합함으로써 조직은 보안을 내재화하고, 위험 완화를 추진하고, 지속적인 모니터링을 가능하게 하고, 적응형 비즈니스 연속성을 보장하고, 상호 운용성을 촉진하고, 거버넌스를 간소화하는 역량을 강화할 수 있습니다.
금융 기관의 경제 환경이 어려운 상황이지만, DORA 준수는 단순히 비용이 많이 드는 의무가 아닙니다. 오히려 규정 준수에 드는 비용을 더 높은 비즈니스 성과를 달성하기 위한 전략적 투자로 전환할 수 있는 기회를 제공합니다. 이러한 사고방식을 수용하면 기관은 디지털 운영 복원력에 대한 투자를 통해 규정 준수와 장기적인 디지털 비즈니스 가치를 모두 추구할 수 있습니다.
컨피덴셜 컴퓨팅과 데이터 암호화는 완전한 데이터 프라이버시 보장을 달성하는 데 중요한 역할을 합니다. 또 데이터가 사용 중이거나 메모리에 있을 때에도 보호하며, 데이터에 접근하지 않고 인프라를 관리하는 시스템 및 클라우드 관리자에게까지 이러한 보호를 확장합니다.
DORA에서도 이 점은 RTS(규제 기술 표준)의 공개 협의를 위해 마련된 조항에서 강조되고 있습니다(1, ibm.com 외부 링크). 6조에서는 암호화 및 암호화 제어에 초점을 맞추고 있으며, 7조에서는 암호화 키 관리를 다루고 있습니다.
RTS 6조에 따르면 데이터 암호화는 저장, 전송, 사용 중인 데이터를 포함한 전체 데이터 라이프사이클에 걸쳐 필수적으로 적용되어야 합니다. 이는 DORA에서 의무화한 완전한 데이터 프라이버시를 달성하려면 암호화에 대한 포괄적인 접근 방식이 필요하며, 민감한 정보가 존재하는 모든 단계에서 보호되어야 한다는 개념과 잘 부합합니다.
또한 RTS 6조는 내부 및 외부의 모든 네트워크 트래픽을 암호화해야 할 필요성을 강조합니다. 이 요구 사항은 안전하고 암호화된 통신 채널이 가장 중요하다는 개념을 강조하며, 원문에서 언급했듯이 하드웨어에서 솔루션에 이르기까지 강력하고 상호 연결된 신뢰 사슬의 필요성과도 맞닿아 있습니다.
RTS 7조는 암호화 키 관리에 대해 자세히 설명하며 암호화 키의 수명 주기 관리가 중요함을 강조합니다. 이는 컨피덴셜 컴퓨팅을 가능하게 하는 기술 구성 요소가 서로 연결된 신뢰 사슬을 형성해야 한다는 개념과 부합합니다. 금융 기관은 신뢰할 수 있는 실행 환경의 불변성과 인증을 보장함으로써 7조에 명시된 DORA 규제 요구 사항을 충족할 수 있습니다.
결론적으로 원문에 명시된 컨피덴셜 컴퓨팅 및 암호화의 원칙은 RTS에 명시된 구체적인 요구 사항과 맞닿아 있습니다. 이러한 규제 표준을 준수하면 DORA를 준수할 수 있을 뿐만 아니라 암호화 및 효과적인 키 관리 관행을 통해 민감한 금융 데이터를 보호할 수 있는 강력한 프레임워크를 구축할 수 있습니다.
완벽한 데이터 프라이버시 보장을 달성하기 위한 핵심 요소는 컨피덴셜 컴퓨팅과 암호화입니다. 컨피덴셜 컴퓨팅을 가능하게 하는 기술 구성 요소들은 하드웨어에서 솔루션까지 상호 연결된 신뢰 사슬을 형성해야 하며, 불변적이고 인증된 신뢰할 수 있는 실행 환경을 갖춘 컨피덴셜 컴퓨팅 솔루션을 제공합니다.
데이터 프라이버시, 주권, 디지털 복원력으로 이어지는 완전한 데이터 보안을 위해서는 전체 데이터 라이프사이클 및 스택에 걸쳐 엔드투엔드 보호가 필요합니다. 컨피덴셜 컴퓨팅은 클라우드 제공업체가 신뢰, 가시성, 제어가 아닌 기술적 증명, 데이터 암호화, 런타임 격리를 기반으로 데이터에 액세스할 수 있도록 보장합니다.
기술적 검증은 데이터에 대한 무단 액세스를 방지하는 데 매우 중요하며, 이는 클라우드 관리자, 공급업체, 소프트웨어 제공업체, 사이트 안정성 엔지니어가 사용 중인 데이터에 액세스할 수 없음을 의미합니다. 또한 법적 요청 시 클라우드 서비스 제공업체(CSP)가 데이터를 공개할 수 없도록 하여, 법률 및 법 집행 기관에 관계없이 데이터 보호 위반을 예방합니다.
기술 보증을 통한 데이터 보호는 데이터 주권과 디지털 복원력을 강화합니다. 즉, 실제 데이터에 대한 완전한 제어권은 클라우드 제공업체가 아닌 클라우드 사용자에게 있습니다. 금융 기관은 컨피덴셜 컴퓨팅 및 암호화를 활용하여 DORA의 엄격한 요구 사항에 대응하고, 최고 수준의 기술적 검증을 확보하며 변화하는 환경에서 디지털 운영을 안전하게 보호할 수 있습니다.
결론적으로 DORA는 단순한 규정 준수 업무가 아니라 금융 기관이 디지털 운영 복원력에 전략적으로 투자할 수 있는 기회입니다. 조직은 컨피덴셜 컴퓨팅과 암호화를 전략에 통합함으로써, 끊임없이 진화하는 디지털 환경에서 데이터 프라이버시, 보안, 제어를 확보하며 자신 있게 디지털 혁신을 이끌어갈 수 있습니다.
