topics 디지털 운영 복원력 법 디지털 운영 복원력 법(DORA)이란 무엇인가요?
IBM의 DORA 솔루션 살펴보기 고객 및 직원 경험 업데이트 구독하기
구름 픽토그램, 파이 차트, 그래프 픽토그램이 콜라주된 일러스트
DORA란 무엇인가요?

디지털 운영 복원력 법(DORA)은 EU 금융 부문을 위한 구속력 있는 포괄적인 정보 통신 기술(ICT) 위험 관리 프레임워크를 만드는 유럽연합(EU) 규정입니다.

DORA는 금융 기관과 주요 제3자 기술 서비스 제공업체가 2025년 1월 17일까지 ICT 시스템에서 구현해야 하는 기술 표준을 수립합니다.

데이터 리더를 위한 데이터 거버넌스

조직 전반의 표준과 데이터 리니지 기능을 통해 데이터 거버넌스 및 개인정보 보호를 대규모로 적용하는 방법을 알아보세요.

관련 내용

가이드를 통한 인재 혁신

DORA의 목적

DORA는 금융 서비스 부문의 ICT 위험 관리를 포괄적으로 다루고 개별 EU 회원국에 이미 존재하는 ICT 위험 관리 규정을 조화시킨다는 두 가지 주요 목표를 가지고 있습니다.

DORA 이전에 EU의 금융 기관에 대한 위험 관리 규정은 주로 기업이 운영 위험을 감당할 수 있는 충분한 자본을 확보하는 데 중점을 두었습니다. 일부 EU 규제 당국이 ICT 및 보안 위험 관리에 대한 가이드라인을 발표했지만(ibm.com 외부 링크), 이러한 가이드라인이 모든 금융 기관에 동일하게 적용되는 것은 아니며 특정 기술 표준이 아닌 일반적인 원칙에 의존하는 경우가 많습니다. EU 수준의 ICT 위험 관리 규칙이 없는 경우 EU 회원국은 자체 요구 사항을 발표했습니다. 이러한 패치워크 방식의 규정은 금융 기관이 탐색하기 어려운 것으로 입증되었습니다.

DORA를 통해 EU는 금융 부문의 ICT 위험을 관리하고 완화하기 위한 보편적인 프레임워크를 구축하는 것을 목표로 합니다. DORA는 EU 전역의 위험 관리 규정을 조화시킴으로써 서로 다른 EU 국가의 상이한 규정 간에 발생할 수 있는 격차, 중복 및 충돌을 제거하고자 합니다. 공유된 규칙을 사용하면 모든 금융 기관이 동일한 표준을 준수하도록 함으로써 전체 EU 금융 시스템의 복원력을 개선하는 동시에 금융 기관이 규정을 더 쉽게 준수하게 할 수 있습니다.

DORA의 적용 범위

DORA는 EU의 모든 금융 기관에 적용됩니다. 여기에는 은행, 투자회사, 신용 기관과 같은 전통적인 금융 기관과 암호 자산 서비스 제공자, 크라우드 펀딩 플랫폼과 같은 비전통적인 기관이 포함됩니다.

특히 DORA는 일반적으로 금융 규제에서 제외되는 일부 기업에도 적용됩니다. 예를 들어, 클라우드 서비스 제공업체 및 데이터 센터와 같이 금융 회사에 ICT 시스템 및 서비스를 제공하는 제3자 서비스 제공업체는 DORA 요건을 준수해야합니다. DORA는 신용 평가 서비스 및 데이터 분석 제공업체와 같은 주요 제3자 정보 서비스를 제공하는 회사에도 적용됩니다.

DORA 현황

DORA는 법률 도입을 담당하는 EU 행정부 기관인 유럽 위원회가 2020년 9월에 처음 제안했습니다. 이는 암호 자산을 규제하고 EU의 전반적인 디지털 금융 전략을 강화하기 위한 이니셔티브를 포함하는 대규모 디지털 금융 패키지의 일부입니다. 유럽 연합 이사회와 유럽 의회(EU 법률 승인을 담당하는 입법 기관)는 2022년 11월에 DORA를 공식적으로 채택했습니다. 금융 기관 및 제3자 ICT 서비스 제공업체는 2025년 1월 17일까지 시행이 시작되기 전에 DORA를 준수해야 합니다.  

EU가 공식적으로 DORA를 채택했지만 유럽 감독 당국(ESA)에서는 주요 세부 사항을 아직 정리하고 있습니다. ESA는 유럽 은행 감독청(EBA), 유럽 증권 감독청, 유럽 보험 및 직업 연금 감독위원회 등 EU 금융 시스템을 감독하는 규제 기관입니다.

ESA는 규제 기술 표준(RTS) 초안을 작성하고 해당 기관이 구현해야 하는 기술 표준(ITS) 구현을 담당합니다. 이 표준은 2024년에 최종 확정될 것으로 예상합니다. 유럽 연합 집행위원회는 ICT 제공업체에 대한 감독 프레임워크를 개발 중이며, 이 프레임워크도 2024년에 마무리될 것으로 예상됩니다.

DORA 시행

표준이 확정되고 2025년 1월 기한이 도래하면 각 EU 회원국의 지정된 규제 기관("관할 당국")에서 시행하게 됩니다. 관할 당국은 금융 기관에 특정 보안 조치를 취하고 취약점을 해결하도록 요청할 수 있습니다. 또한 규정을 준수하지 않는 기업에 대해 행정적 처벌(경우에 따라 형사 처벌)을 부과할 수도 있습니다. 각 회원국은 자체적으로 처벌을 결정합니다.

유럽위원회에서 "중요하다"고 판단한 ICT 제공업체는 ESA의 책임 감독관이 직접 감독합니다. 관할 당국과 마찬가지로 책임 감독관은 보안 조치 및 교정을 요청하고 규정을 준수하지 않는 ICT 제공업체를 처벌할 수 있습니다. DORA를 통해 책임 감독관은 ICT 제공업체에 이전 사업연도의 전 세계 일일 평균 매출액의 1%에 해당하는 벌금을 부과할 수 있습니다. 제공업체는 규정을 준수할 때까지 최대 6개월 동안 매일 벌금이 부과될 수 있습니다. 

DORA 요구 사항

DORA는 다음 네 가지 영역에 걸쳐 금융 기관 및 ICT 제공업체에 대한 기술 요구 사항을 설정합니다.

  • ICT 리스크 관리 및 거버넌스
  • 인시던트 대응 및 보고
  • 디지털 운영 복원력 테스트
  • 서드파티 위험 관리

정보 공유는 권장되지만 필수는 아닙니다.

요구 사항은 비례적으로 시행될 것입니다. 이는 소규모 기업은 대규모 금융 기관과 동일한 기준을 따르지 않는다는 것을 의미합니다. 각 도메인에 대한 RTS 및 ITS는 아직 개발 중이지만 기존 DORA 법률은 일반적인 요구 사항에 대한 인사이트를 제공합니다.

ICT 리스크 관리 및 거버넌스

 

DORA는 법인의 관리 기관이 ICT 관리를 책임지도록 하고 있습니다. 이사회 구성원, 경영진 및 기타 고위 관리자는 적절한 위험 관리 전략을 정의하고 실행을 적극적으로 지원하며 ICT 위험 환경에 대한 최신 지식을 유지해야 합니다. 관리자는 기업의 규정 준수 실패에 대해 책임져야 할 수도 있습니다.

대상 기업은 포괄적인 ICT 위험 관리 프레임워크를 개발해야 합니다. 기업은 ICT 시스템을 매핑해야 합니다. 중요한 자산과 기능을 식별하고 분류합니다. 자산, 시스템, 프로세스 및 공급자 간의 종속성을 문서화합니다. 기업은 ICT 시스템에 대한 지속적인 위험 평가를 수행하고, 사이버 위협을 문서화 및 분류하고, 확인된 위험을 완화하기 위한 단계를 문서화해야 합니다.

위험 평가 프로세스의 일환으로 기업은 비즈니스 영향 분석을 수행하여 특정 시나리오와 심각한 중단이 비즈니스에 어떤 영향을 미칠 수 있는지 평가해야 합니다. 기업은 이러한 분석 결과를 사용하여 위험 허용 수준을 설정하고 ICT 인프라 설계를 알려야 합니다. 또한 기업은 확장 탐지 및 대응 시스템, 보안 정보 및 이벤트 관리(SIEM) 소프트웨어, 보안 오케스트레이션, 자동화 및 대응(SOAR) 도구와 같은 기술적 제어와 함께 ID 및 액세스 관리 정책, 패치 관리 등 적절한 사이버 보안 보호 조치를 구현해야 합니다.

또한 기업은 ICT 서비스 장애, 자연재해, 사이버 공격 등 다양한 사이버 위험 시나리오에 대비한 비즈니스 연속성 및 재해 복구 계획을 수립해야 합니다. 이러한 계획에는 데이터 백업 및 복구 조치, 시스템 복원 프로세스, 영향을 받는 고객, 파트너 및 당국과의 통신 계획이 포함되어야 합니다. 

기업의 위험 관리 프레임워크의 필수 요소를 지정하는 RTS가 곧 출시될 예정입니다. 전문가들은 ICT 및 보안 위험 관리에 대한 기존 EBA 가이드라인과 유사할 것으로 보고 있습니다.

인시던트 대응 및 보고

 

대상 기관은 ICT 관련 사고를 모니터링, 관리, 기록, 분류 및 보고하기 위한 시스템을 구축해야 합니다. 인시던트의 심각도에 따라 기업은 규제 기관과 영향을 받는 고객 및 파트너 모두에게 보고해야 할 수 있습니다. 기관은 중대한 인시던트에 대해 당국에 알리는 초기 보고서, 인시던트 해결 진행 상황에 대한 중간 보고서, 인시던트의 근본 원인을 분석하는 최종 보고서 등 세 가지 종류의 보고서를 제출해야 합니다. 

인시던트를 분류하는 방법, 보고해야 하는 인시던트, 보고 일정에 대한 규칙이 곧 발표될 예정입니다. ESA는 또한 중앙 허브와 공통 보고서 템플릿을 구축하여 보고를 간소화하는 방법을 모색하고 있습니다.

디지털 운영 복원력 테스트

 

기업은 보호 강도를 평가하고 취약점을 식별하기 위해 ICT 시스템을 정기적으로 테스트해야 합니다. 이러한 테스트 결과와 발견된 약점을 해결하기 위한 계획은 관련 관할 당국에 보고되고 검증됩니다.

기업은 1년에 한 번씩 취약성 평가 및 시나리오 기반 테스트와 같은 기본 테스트를 수행해야 합니다. 금융 시스템에서 중요한 역할을 하는 것으로 판단되는 금융 기관도 3년마다 위협 기반 침투 테스트(TLPT)를 받아야 합니다. 기업의 주요 ICT 제공업체도 이러한 침투 테스트에 참여해야 합니다. TLPT를 수행하는 방법에 대한 기술 표준은 곧 발표될 예정이지만, 위협 인텔리전스 기반 윤리적 레드팀을 위한 TIBER-EU 프레임워크(ibm.com 외부 링크)와 일치할 가능성이 높습니다.

서드파티 위험 관리

 

DORA의 독특한 측면 중 하나는 금융 기관뿐만 아니라 금융 부문에 서비스를 제공하는 ICT 제공업체에도 적용된다는 점입니다. 

금융 회사가 ICT 제3자 리스크 관리에 활발한 역할을 할 것이라 기대하고 있습니다. 중요한 기능을 아웃소싱할 때 금융 기관은 무엇보다도 접근성, 무결성 및 보안에 대한 출구 전략, 감사 및 성과 목표에 관한 구체적인 계약 사항을 협상해야 합니다. 기업은 이러한 요구 사항을 충족할 수 없는 ICT 제공업체와 계약을 맺을 수 없습니다. 관할 당국은 이를 준수하지 않는 계약을 중단하거나 종료할 수 있는 권한을 갖습니다. 유럽 위원회는 기업 및 ICT 제공업체가 계약이 DORA를 준수하도록 보장하는 데 사용할 수 있는 표준화된 계약 조항의 초안을 작성할 가능성을 모색하고 있습니다. 

금융 기관은 또한 타사 ICT 종속성을 매핑해야 하며, 중요한 기능이 단일 제공업체 또는 소수의 제공업체 그룹에 지나치게 집중되지 않도록 해야 합니다. 

주요 ICT 제3자 서비스 제공업체는 관련 ESA의 직접적인 감독을 받게 됩니다. 유럽연합 집행위원회는 어떤 제공자가 중요한지 결정하기 위한 기준을 계속 개발하고 있습니다. 표준을 충족하는 기업에는 ESA 중 한 명이 리드 오버바이저로 지정됩니다. 책임 감독관은 중요 제공업체에 DORA 요건을 시행하는 것 외에도 제공업체가 DORA를 준수하지 않는 금융회사 또는 기타 ICT 제공업체와 계약을 체결하는 것을 금지할 수 있는 권한을 갖게 됩니다.

정보 공유

 

금융 기관은 내부 및 외부 ICT 관련 인시던트로부터 학습할 수 있는 프로세스를 수립해야 합니다. 이를 위해 DORA는 기업이 자발적인 위협 인텔리전스 공유 협약에 참여하도록 권장합니다. 이러한 방식으로 공유되는 모든 정보는 관련 가이드라인에 따라 보호되어야 합니다. 예를 들어 개인 식별 정보는 여전히 일반 데이터 보호 규정의 고려 대상입니다. 

관련 솔루션
IBM Security QRadar Suite

연결되고 현대화된 보안 제품군으로 공격에 대응하세요. QRadar 포트폴리오는 엔터프라이즈급 AI가 내장되어 있으며 공통 사용자 인터페이스, 공유 인사이트, 연결된 워크플로우를 통해 엔드포인트 보안, 로그 관리, SIEM 및 SOAR를 위한 통합 제품을 제공합니다.

QRadar 제품군 살펴보기
IBM X-Force 인시던트 대응 팀

지속적인 위협 헌팅, 실시간 모니터링, 심층적인 위협 분석을 통해 사이버 보안 태세를 강화하세요. 대기 중인 인시던트 대응팀은 대응 시간을 크게 단축하고 사이버 공격의 영향을 줄이며 더 빠른 복구를 촉진하여 바쁜 IT 부서에 중요한 지원 역할을 합니다.

X-Force 인시던트 대응 살펴보기
IT 인프라 솔루션

IT 인프라의 모든 기능을 활용하세요. 최신 IBM 서버, 스토리지 및 소프트웨어를 사용하면 안전한 하이브리드 클라우드와 신뢰할 수 있는 AI 자동화 및 인사이트를 통해 온프레미스 및 클라우드에서 현대화하고 확장할 수 있도록 지원합니다.

토목 인프라 솔루션 살펴보기

자동화 솔루션

영향력이 큰 자동화를 통해 IT 시스템의 사전 대응력을 높이고 프로세스의 효율성을 개선하며 직원의 생산성을 향상하는 데 도움이 되는 방법을 알아보세요.

자동화 솔루션 살펴보기

IBM Cloud for Financial Services

보안 및 규정 준수 요구 사항을 해결하면서 혁신을 가속화하세요. IBM Cloud for Financial Services는 고객이 가장 민감한 워크로드에 대해서도 위험을 완화하고 클라우드 도입을 가속화할 수 있도록 설계되었습니다. 

IBM Cloud for Financial Services 살펴보기

리소스 더 많은 협업을 통한 디지털 복원력 구축

DORA는 점점 더 디지털화되는 EU 금융 서비스 환경에서 위험과 탄력성의 진화하는 특성을 인식하고 있습니다.

디지털 혁신의 가치 실현

속도와 규모에 맞게 혁신적인 변화를 제공하기 위해 고안된 모든 노력과 마찬가지로 DORA를 구현하려면 특히 이사회와 경영진 수준에서 일관된 집중과 참여가 필요합니다.

효율성과 지속가능성의 균형

미래를 내다보는 최고 공급망 책임자는 현재에만 집중하는 동료들과 차별화될 수 있습니다.

다음 단계 안내

통합 거버넌스, 위험 및 규정 준수(GRC) 접근 방식으로 사이버 보안 성숙도를 높이는 거버넌스 구조를 구축합니다. IBM Active Governance Services(AGS)는 주요 사이버 보안 및 조직 데이터 포인트를 중앙 집중식 솔루션으로 통합하여 인력, 프로세스 및 기술 전반에 걸쳐 핵심 기능을 제공합니다.

GRC 서비스 살펴보기