위해 디지털 운영 복원력 법(Digital Operational Resilience Act, DORA) — 강좌

디지털 운영 복원력이란 무엇인가? 

디지털 운영 복원력은 금융 업체가 운영의 무결성과 신뢰성을 확립, 보증, 검토할 수 있는 능력입니다. 이는 ICT 써드파티 서비스 제공자를 통해 직접 또는 간접적으로 금융 업체가 사용하는 네트워크와 정보 시스템의 보안을 유지하고, 운영 중단 시에도 금융 서비스를 계속하여 제공하고 품질을 지원하는 데 필요한 모든 ICT 관련 역량을 보장하는 것으로 이루어집니다.¹

금융 부문이 디지털 기술에 크게 의존함에 따라 새로운 사이버 위협은 계속해서 등장하고 있습니다. 이에 대응하기 위해 유럽연합은 금융 부문의 디지털 운영 복원력을 강화하기 위해 디지털 운영 복원력 법(Digital Operational Resilience Act, DORA)을 도입했습니다. 

DORA란 무엇인가? 

DORA는 금융 부문 업체들이 모든 유형의 ICT 관련 사고, 리스크, 위협에 대처, 대응, 복구할 수 있도록 요구하는 규정입니다. 이는 유럽의회와 유럽연합 이사회에서 2022년 12월 14일에 규정(EU) 2022/2554로 제정하였으며, ICT 리스크 관리와 관련된 규정을 통일시키고 간소화하여 EU 전체에 일관성과 통일성을 보장하는 것을 목표로 합니다. DORA는 금융 업체가 운영 규모, 리스크 프로필, 복잡성을 고려하는 비례성 원칙을 준수하도록 의무화합니다.

DORA는 5가지의 주요 영역에서 금융 업체가 준수해야 할 요구사항을 제시합니다:

1. ICT 리스크 관리: 금융 업체는 ICT 리스크를 효과적으로 식별하고 분류하며 줄이기 위해 효과적인 ICT 리스크 관리 프레임워크를 수립하고 유지해야 합니다.
2. 사고 관리(Incident management): 금융 업체는 주요 ICT 관련 사고를 규제 기관에 보고하기 위해 효과적인 사고 관리와 통일된 프레임워크를 수립하여 새로운 위협에 대한 이해도를 높이고 통합된 대응을 가능하게 해야 합니다.
3. 디지털 운영 복원력 테스트: 금융 업체는 ICT 중단에 대처할 수 있는 역량을 평가하기 위해 정기적인 테스트를 수행해야 합니다. 여기에는 취약성 평가와 침투 테스트가 포함되며, 기업의 규모와 리스크 프로필에 알맞는 요구사항이 적용됩니다.
4. 써드파티 리스크 관리: 클라우드 서비스를 포함한 제3자 서비스 제공자에 대한 의존도가 높아짐에 따라 DORA는 공급망에서 ICT 리스크를 관리하기 위한 규칙을 제시하여 금융 업체가 중요한 제3자 제공자의 복원력을 감독할 수 있도록 합니다.
5. 정보와 인텔리전스 공유: DORA는 금융 업체들이 사이버 위협 인텔리전스 및 기타 관련 정보를 공유하여 ICT 위협에 대한 집단적 이해와 방어 메커니즘을 강화하도록 장려합니다.

DORA가 중요한 이유 

2025년 1월 17일부터 금융 업체는 DORA 요구사항을 준수해야 합니다. DORA를 준수하지 않을 경우 엄중한 처벌을 받을 수 있으며, 이는 EU가 디지털 운영 복원력의 중요성을 얼마나 심각하게 생각하는지 보여줍니다. 구체적인 처벌은 규정 미준수의 성격과 심각성에 따라 달라질 수 있으나, 이러한 처벌은 규정 위반을 억제하고, 위반의 심각성에 상응하는 처벌을 내리고자 합니다.

조직은 진화하는 기술과 위협에 대응하여 디지털 운영 복원력 전략을 조정하고 업데이트해야 합니다. 이 지속적인 프로세스에는 경영진부터 실무자, 외부 파트너 및 규제 기관에 이르기까지 조직의 모든 수준에서 협업이 필요합니다.

강좌를 수강하려면?

PECB Certified DORA Lead Manager 강좌를 통해 DORA 요구사항을 기반으로 ICT 리스크 관리 프레임워크를 수립, 실행 및 관리하는 데 필요한 지식을 습득하고 기술을 향상시킬 수 있습니다. PECB 전문가들이 자격인증 과정에 걸쳐 여러분을 안내하고 지원하여 값진 경험을 제공합니다.