BT와 일루미오: DORA 규정 준수 간소화

유럽 금융 기관에 대한 사이버 공격은 2023년에 두 배로 증가했는데, 이는 이 분야의 위험이 얼마나 커지고 있는지를 극명하게 보여줍니다. 이러한 급증은 디지털 운영 복원력 법(DORA)이 금융회사가 위협을 방어하고 신속하게 복구하는 데 중요한 역할을 한다는 점을 분명히 보여줍니다.

최근 웨비나에서 일루미오의 산업 솔루션 마케팅 수석 디렉터인 라구 난다쿠마라와 BT의 수석 컨설팅 전문가인 저스틴 크레이곤은 ICT 위험 관리와 DORA의 1월 마감일( 17, 2025)에 대비하는 방법에 대한 전문 지식을 공유했습니다.

선도적인 금융 서비스

"은행 업계는 항상 보안의 최전선에 서 있습니다. 저스틴은 " NIS2와 DORA 같은 법안이 변화를 주도하고 방어를 강화하고 있다"고 말합니다.

하지만 사고방식은 변화하고 있습니다. 기업들은 보안 침해가 발생할 수 있음을 인정하고 있습니다. 지금이 중요합니다: "공격자가 침입했을 때 가장 보호해야 할 것은 무엇인가요?" 피해를 제한하려면 중요 자산의 우선순위를 정하는 것이 중요합니다.

"전통적인 경계 방어의 시대는 지났습니다. 경계가 바뀌었고 더 이상 단순한 거품으로 그릴 수 있는 것이 아닙니다." - 저스틴 크레이곤, BT

최근의 공격은 복원력의 필요성을 입증합니다.

세계 최대 규모의 은행도 예외는 아닙니다. ICBC는 2023년 11월과 2024년 10월 두 차례에 걸쳐 피해를 입었습니다. 저스틴은 "언젠가는 맞을 겁니다."라고 말합니다. 목표는 모든 공격을 막는 것이 아니라 공격이 발생했을 때 피해를 제어하는 것입니다.

라구는 금융 서비스 산업은 서로 연결되어 있기 때문에 한 조직에서 유출이 발생하면 전 세계에 영향을 미칠 수 있다고 덧붙입니다. "한 조직이 영향을 받으면 파급 효과가 발생하여 국경을 넘어 확산되고 시장이 혼란에 빠질 수 있습니다. DORA는 이를 방지하기 위해 설계되었습니다."

예방에서 회복탄력성까지

기업은 공격이 불가피하다는 사실을 인정하고 그에 따라 계획을 세워야 합니다.

"ICBC의 사례에서 알 수 있듯이 한 번 공격당했다고 해서 다시는 공격 대상이 되지 않는다는 보장은 없습니다."라고 Raghu는 말합니다.

이제 변화는 회복탄력성으로 향하고 있습니다. "예방만으로는 더 이상 충분하지 않습니다."라고 저스틴은 강조합니다. 기업에는 탄탄한 사고 대응 계획이 필요합니다. 신속한 복구는 공격 자체를 막는 것만큼이나 중요합니다.

DORA 규정 준수를 위한 5가지 요소

DORA를 준수하기 위해 조직은 다음 5가지 핵심 영역에 집중해야 합니다:

• 위험 관리: 저스틴은 "어떤 상황에도 대비하는 것이 중요합니다."라고 말합니다. 명확한 위기 계획은 필수입니다.

• 인시던트 관리: 공격이 발생하면 이를 신속하게 차단하여 중요 시스템에 대한 피해를 제한합니다.

• 복원력 테스트: "안전하기만 바라지 말고 시스템을 테스트하세요."라고 Justin은 조언합니다. 정기적인 테스트는 공격자보다 먼저 취약점을 발견합니다.

• 운영 복원력: 비즈니스의 가장 중요한 부분을 보호하세요. "모든 것을 막을 수는 없지만 피해를 최소화할 수는 있습니다."라고 저스틴은 말합니다.

• 인시던트 보고: 민감한 정보를 보호하면서 인시던트에 대한 투명성을 확보하세요.  

DORA가 피해를 제한하는 방법

저스틴은 "DORA는 기술적 수정과 정책을 통해 침해 피해를 제한하는 데 도움이 됩니다."라고 설명합니다. 기업이 기술 표준과 모범 사례를 채택하도록 유도하여 공격의 영향을 줄입니다.

"잠수함의 격벽 문을 닫아 물이 퍼지는 것을 막는 것과 같습니다." 목표는 공격을 억제하고 측면 이동을 차단하며 공급망 문제가 귀사와 고객에게 영향을 미치는 것을 방지하는 것입니다. ‍

중요한 일의 우선순위 정하기

DORA는 비례성을 강조합니다. "모든 것을 보호할 수는 없습니다."라고 라구는 말합니다. DORA를 통해 기업은 자원을 지나치게 분산하는 대신 중요한 일에 우선순위를 둘 수 있습니다.

저스틴도 동의합니다: "합격과 불합격이 결정되는 다른 프레임워크와는 다릅니다. 우선순위를 정하는 것입니다. 중요한 기능이 어디에 있는지 알아야 합니다." DORA는 기업이 리소스를 현명하게 사용할 수 있도록 지원합니다.

공급망 위험 관리

공급망 위험은 DORA가 다루는 또 다른 주요 관심사입니다. 비즈니스는 타사 제공업체에 의존하고 있으며, 이는 취약한 연결 고리가 될 수 있습니다. "공급업체가 타격을 입으면 여러분에게도 영향을 미칠 수 있습니다." 라고 저스틴은 경고합니다. 중요 공급업체에 대한 정기적인 점검과 관리가 필요합니다.

주요 위험은 단일 제공업체에 지나치게 의존하는 것입니다. "모든 달걀을 한 바구니에 담으면 문제가 생길 수 있습니다."라고 저스틴은 말합니다. 기업은 여러 공급업체를 사용하여 위험을 분산시켜야 합니다. ‍

방어 테스트

정기적인 테스트를 통해 회사 방어의 취약점을 파악할 수 있습니다. 저스틴은 "공격자가 이미 내부에 침투한 것처럼 가정하고 어디까지 침입할 수 있는지 확인해야 합니다." 라고 조언합니다. 이러한 테스트를 통해 잠재적인 취약점을 파악할 수 있습니다.

한 사례에서 BT의 침투 팀은 세분화가 제대로 이루어지지 않아 800대의 서버 중 400대를 침해했습니다. 정기적인 테스트는 인식을 높이고 방어력을 강화하여 측면 이동과 공격의 확산을 막는 데 도움이 됩니다.

최고 책임자의 책임

DORA는 복원력에 대한 책임이 IT 팀에만 있는 것이 아니라는 점을 분명히 합니다. DORA는 회복탄력성을 이사회 차원의 책임으로 삼고 있습니다.

"결국 이사회는 비즈니스를 계속 운영할 책임이 있습니다."라고 저스틴은 설명합니다.

이러한 하향식 접근 방식을 통해 전체 비즈니스 전략에 복원력을 통합할 수 있습니다. 이사회가 참여하면 복원력은 단순한 규정 준수 확인란이 아니라 운영의 중심이 됩니다.

DORA 규정 준수를 위한 핵심 사항

DORA의 요구 사항을 충족하려면 기업은 다음과 같이 해야 합니다:

• 가장 중요한 업무에 리소스를 집중하여 가장 중요한 기능을 보호하세요.

• 정기적으로 시스템을 테스트하여 취약점을 찾아 수정하세요.

• 타사 공급업체를 정기적으로 확인하여 공급망 위험을 관리하세요.

• 비즈니스 목표에 맞춰 복원력 계획에 이사회를 참여시키세요.

"사이버 공격은 발생 여부의 문제가 아니라 발생 시기의 문제입니다. 기업은 그 순간이 왔을 때 강하고 운영할 수 있도록 준비해야 합니다." - 라구 난다쿠마라, 일루미오

사이버 보안의 미래 설계

DORA는 금융 기관과 그 공급업체가 보안에 대해 생각하는 방식을 바꾸고 있습니다. DORA는 예방에만 초점을 맞추는 것이 아니라 회복력을 장려합니다. 금융 회사는 주요 시스템을 보호하고, 방어를 테스트하고, 공급망 위험을 관리함으로써 다음 사이버 위협에 대비할 수 있습니다.

시청하기 전체 온디맨드 웨비나 DORA가 금융 부문의 변화를 주도하는 방법에 대해 자세히 알아보세요.

DORA 규정 준수에 대해 더 자세히 알아보고 싶으신가요? DORA 규정 준수를 위한 전략 전자책을 다운로드하세요: 마이크로세분화의 핵심 역할. 마이크로세그멘테이션이 조직의 보안을 어떻게 획기적으로 변화시킬 수 있는지 알아보세요. 지금 무료로 다운로드하세요.