DORA 준비: 2명의 사이버 보안 규정 준수 전문가가 전하는 인사이트

유럽연합의 디지털 운영 복원력 법(DORA)은 2025년 1월에 금융 서비스 산업을 재편할 예정입니다. 사이버 보안 및 운영 복원력에 대한 새로운 기준을 제시합니다.

DORA로의 전환에는 어려움이 있지만, 조직이 운영을 강화하고 오늘날의 복잡한 위협 환경에 대비할 수 있는 방법도 제공합니다.

세그먼트에서 제로 트러스트 리더십 팟캐스트에서는 두 명의 보안 규정 준수 리더인 BT의 사이버 보안 담당 상무이사인 Tristan Morgan과 Evelyn Partners의 디지털 서비스 파트너인 Mark Hendry와 이야기를 나누며 DORA 규정 준수에 대한 인사이트를 공유했습니다.

트리스탄 모건과 마크 헨리 소개

트리스탄은 전 세계 글로벌 다국적 기업에 보안, 클라우드, 네트워크 서비스를 제공하는 BT에서 사이버 보안을 이끌고 있습니다. 영국 정부 및 기타 국가에서 사이버 보안을 담당한 경험을 바탕으로 복잡한 디지털 생태계를 보호하고 규정 준수를 보장하는 데 탄탄한 배경 지식을 쌓았습니다.  

에블린 파트너스에서 마크는 복잡한 사이버 보안 규정 준수 문제를 해결하도록 고객을 안내합니다. 그는 GDPR을 비롯한 디지털 규제 분야에서 폭넓은 경험을 쌓았으며 규제 변경 프로그램에 중점을 두고 있습니다. 그는 고객에게 디지털 트랜스포메이션을 탐색하고 DORA와 같은 새로운 규정에 적응하는 데 필요한 귀중한 인사이트를 제공합니다.

DORA: 뱅킹 사이버 복원력에 대한 총체적인 접근 방식

DORA는 은행 및 금융 업계가 운영과 사이버 보안 측면에서 복원력을 처리하는 방식에 큰 변화를 가져올 것입니다. 각 국가에 대한 별도의 규칙이 아닌, DORA는 사이버 복원력을 EU 전체에 걸친 조율된 노력으로 취급합니다.

트리스탄은 "DORA는 회복탄력성에 대한 논의를 한 단계 더 끌어올렸습니다."라고 설명합니다. "개별 국가 차원뿐만 아니라 더 넓은 지리적 수준에서 발생할 수 있는 영향을 인식하고 있습니다."

마크는 이번 조치가 "2008년 금융 위기 이후 금융 서비스에 대한 가장 큰 회복력 개입"이라고 언급했습니다. 2008년 이후에는 재정적 탄력성과 시스템에 현금을 보유하는 것이 중요했다고 Mark는 설명합니다. 이제 글로벌 경제는 점점 더 상호 연결되고 있으며, 사회는 은행 업계의 디지털 인프라에 크게 의존하고 있습니다.

EU의 금융 기관이 더욱 연결됨에 따라 사이버 위협으로 인한 위험과 이로 인해 발생할 수 있는 혼란이 빠르게 증가하고 있습니다. DORA는 통합된 전략을 장려하여 조직이 어디에 있든 중요한 운영을 보호할 수 있도록 지원함으로써 이러한 문제를 해결합니다.

트리스탄은 "사이버 보안과 복원력에 대한 해석이 서로 다르다면 조화가 이루어지지 않는 것이며, 모두 같은 방향으로 나아가는 것이 아닙니다."라고 말합니다. "보안은 매우 팀 스포츠이며, 조직 간에 정보를 공유해야 함께 더 잘할 수 있습니다."

DORA를 통해 EU의 금융 기관은 하나의 규칙을 따르게 됩니다. 이는 침해 및 랜섬웨어 공격에 대한 업계의 전반적인 방어력을 강화하는 데 도움이 됩니다. 또한 업계가 변화하고 성장함에 따라 기업이 규정을 쉽게 준수할 수 있도록 도와줍니다.

사이버 회복탄력성은 보안뿐 아니라 생존을 위한 것입니다.

회복탄력성은 DORA의 주요 초점입니다. 유출을 막는 것뿐만 아니라 유출이 발생하더라도 비즈니스를 계속 운영할 수 있도록 하는 것이 중요합니다.

최근의 금융 업계 사이버 공격은 사이버 공격이 얼마나 파괴적인지, 그리고 전체 업계는 물론 전 세계에 어떤 영향을 미칠 수 있는지를 보여주었습니다.

"회복탄력성이 가장 중요합니다."라고 트리스탄은 말합니다. "보안 침해가 발생하면 비즈니스가 중단될지 여부가 중요한 것이 아닙니다. 유출에도 불구하고 운영을 유지하는 것이 중요합니다."  

사이버 위협이 점점 더 많이 발생함에 따라 특히 은행을 비롯한 비즈니스는 원활한 운영을 유지하는 것이 중요합니다. 은행 부문에서 보안 침해가 발생하면 사람들의 삶과 일자리에 영향을 미칠 수 있습니다. 사이버 회복탄력성은 단순히 보안을 유지하는 것이 아니라 생존을 위한 것입니다.

제로 트러스트 전략을 사용하여 DORA 규정 준수 달성하기

DORA는 제로 트러스트에 대해 명시적으로 언급하지 않습니다. 하지만 제로 트러스트의 기본 원칙은 DORA의 목표와 밀접하게 맞닿아 있습니다.  

마크는 "DORA에서 '세분화' 또는 '위협을 억제하기 위한 네트워크 요소의 즉각적인 분리'와 같은 용어를 검색해 보면 제로 트러스트가 분명히 들어 있습니다."라고 말합니다.

트리스탄은 제로 트러스트 전략이 DORA 요구 사항을 충족하는 데 도움이 되는 네 가지 중요한 영역에 대해 설명했습니다:

• 식별 중요 자산 위협을 파악하세요: 네트워크 전반에 대한 가시성을 확보하여 가장 취약한 부분과 우선적으로 해결해야 할 부분을 파악할 수 있습니다.

• 공격에 선제적으로 대비하세요: 공격이 중요한 리소스와 데이터에 도달하기 전에 공격을 차단하는 보안 제어 기능을 구축하세요.

• 최소 권한: 제로 트러스트의 핵심 원칙인 최소 권한은 사용자, 앱, 서비스가 각자의 역할을 수행하는 데 필요한 최소한의 액세스 권한만 갖도록 보장합니다. 이렇게 하면 공격자가 네트워크를 통해 이동하려고 할 때 속도가 느려집니다.

• 빠르게 대응 및 복구 사고로부터 보호해야 합니다: 침해 사고가 발생하면 최대한 빨리 탐지, 억제, 대응할 수 있어야 합니다. 일루미오와 같은 제로 트러스트 솔루션은 탐지 플랫폼과 통합되어 이 프로세스를 자동화합니다.

DORA의 규칙은 제로 트러스트 모범 사례와 일치하여 미래 지향적인 접근 방식을 보여줍니다. 이러한 원칙을 규정 준수 규칙에 포함함으로써 DORA는 은행이 위협으로부터 보호하고 공격 중에도 운영을 계속할 수 있도록 지원합니다.

DORA 규정 준수에 뒤처지셨나요? 수행 방법은 다음과 같습니다.

금융 조직이 DORA 규정을 준수하려면 신중하고 전략적으로 프로세스에 접근해야 합니다. 트리스탄과 마크는 모두 사전 계획이 필수적이라고 강조했습니다.  

어느새 1월이 다가오고 있습니다. 조직이 이미 뒤처져 있다고 걱정되는 경우, 생각되는 권장 사항을 표시하세요:

• 공격이 발생하면 가장 큰 피해를 입을 수 있는 부분

• 지금 우선순위를 정해야 하는 것

• 내년 계획에 반영할 수 있는 사항

조직은 영향력이 큰 영역에 먼저 집중해야 합니다. 단기적인 해결책이 아닌 지속 가능한 보호를 제공하는 장기적인 규정 준수 계획을 수립하세요.

더 세그먼트를듣고, 구독하고, 리뷰하세요: 제로 트러스트 리더십 팟캐스트

자세히 알아보고 싶으신가요? 전체 에피소드는 웹사이트, Apple 팟캐스트, Spotify 또는 팟캐스트를 듣는 모든 곳에서 들을 수 있습니다. 에피소드 전문을 읽어보실 수도 있습니다.

무료 전자책을 다운로드하세요, Strategies for DORA Compliance: Key Role of Zero Trust Segmentation를 참조하여 DORA에 대해 알아야 할 모든 것을 알아보세요.