EU 은행 업계는 DORA 규정 준수에 대비하고 있을까요?

2025년 1월, 유럽의 금융 기관은 디지털 운영 복원력 법(DORA)이라는 중대한 시험에 직면하게 됩니다.  

DORA는 ICT 리스크 및 복원력 규칙을 하나의 통합된 프레임워크로 결합합니다. 하지만 금융 조직은 준비가 되어 있을까요?

많은 사람들이 시간에 쫓기며 경쟁하고 있습니다. 촉박한 일정과 진화하는 표준으로 인해 준비가 더욱 어려워지고 있습니다.

일루미오의 산업 솔루션 마케팅 수석 디렉터인 라구 난다쿠마라는 "은행은 더 일찍 명확한 기술 표준이 있었다면 혜택을 받았을 것"이라고 설명합니다. 이 표준은 2022년 초와 2024년 중반 두 차례에 걸쳐 적용될 예정입니다. 1월 17일 마감일이 12개월도 채 남지 않았습니다."

DORA의 포장 풀기

DORA는 마감일까지 무엇을 요구하나요? 시스템만 보호하는 것이 아닙니다. 중단 중에도 중요한 서비스를 계속 실행하는 데 중점을 둡니다.

금융 기관은 DORA의 기준을 충족해야 합니다:

• 정기적으로 ICT 시스템 테스트

• 타사 제공업체를 통한 위험 관리

• 어떤 상황에서도 필수 서비스 운영 유지 보장

"DORA는 인시던트의 영향을 줄이겠다는 분명한 목표를 가지고 있습니다. 접근 방식은? 침해가 발생할 것이라고 가정합니다." - 라구 난다쿠마라

DORA 규정 준수의 6가지 주요 과제

1. 촉박한 일정, 진화하는 표준

규제 기술 표준(RTS)이라고 하는 DORA의 요구 사항을 설명하는 규칙이 늦게 공개되었습니다. 첫 번째 버전은 2024년 1월에, 두 번째 버전은 7월에 출시되었습니다. 준비 기간이 1년도 채 남지 않은 상황에서 요구 사항을 충족하는 것은 시간과의 싸움이 되었습니다.

2. 타사 제공업체 관리

하이퍼스케일러 및 관리형 서비스 제공업체(MSP)와 같은 타사 제공업체는 금융 서비스의 핵심입니다. 하지만 여기에 문제가 있습니다. 벤더가 DORA의 범위에 속하는지는 누가 결정할까요? " 금융 기관이나 규제 당국이 결정하나요?" 라구에게 묻습니다.

소규모 MSP의 경우 장애물은 훨씬 더 높습니다. 규정 준수는 재무 프로세스에서의 역할에 따라 달라집니다. 명확한 규칙이 없으면 무엇이 필요한지 알기 어렵습니다. 이 문제를 해결하려면 두 가지가 필요합니다:

• 보다 명확한 가이드라인

• 공급업체와의 협업 강화

3. 거버넌스 및 리더십 조정

DORA는 운영 복원력을 리더십 의제의 최우선 순위에 두고 있습니다. 보드는 필수입니다:

• 명확한 ICT 위험 한도 설정

• 주요 인시던트 모니터링

• 적절한 리소스가 준비되어 있는지 확인

하지만 많은 조직이 이러한 목표를 달성할 수 있는 구조와 인식이 부족합니다.

4. 테스트 및 꾸준한 개선

테스트는 DORA 규정 준수에서 핵심적인 역할을 합니다. 조직은 반드시 그래야 합니다:

• ICT 시스템에 대해 매년 복원력 테스트 실행

• 3년마다 고급 침투 테스트 실시

"테스트는 부족한 부분을 파악하고 개선 계획을 수립하여 성숙도를 높이는 데 도움이 됩니다. 하지만 이러한 테스트는 리소스가 많이 필요하고 여러 부서와 공급업체 간의 팀워크가 필요합니다. - 라구 난다쿠마라

5. 탄력적인 문화 구축

DORA는 체크박스에 체크하는 것이 아닙니다. 준비 상태를 유지하는 것이 중요합니다. 리더십은 필수입니다:

• 운영 복원력챔피언

• 부서 간 팀워크 증진

문화적 변화는 장기적인 성공을 위해 매우 중요할 수 있습니다.

6. 기술 격차: 점점 커지는 압박감

400만 명으로 추산되는 전 세계 사이버 보안 인력 격차는 DORA의 과제를 더욱 악화시키고 있습니다. 강력한 규정 준수 프로그램은 이러한 부담을 덜어줄 수 있습니다. 작업을 간소화하는 동시에 더 광범위한 운영상의 이점을 제공합니다.

"DORA의 새로운 의무는 보안 운영, 정책 및 감사 팀에 부담을 가중시킵니다." - 라구 난다쿠마라

DORA와 제로 트러스트는 어떻게 일치하나요?

DORA에서 제로 트러스트에 대해 언급하나요? 직접적으로는 아닙니다. 하지만 최소 권한 액세스 및 지속적인 모니터링과 같은 핵심 아이디어는 밀접하게 일치합니다.

"절대 신뢰하지 않고 항상 확인한다"는 제로 트러스트의 철학은 모든 사용자, 디바이스, 애플리케이션 및 워크로드가 액세스하기 전에 인증을 받도록 하여 위험을 줄입니다.

오늘날의 가장 큰 사이버 위험에 어떻게 도움이 될까요?

• 랜섬웨어를 차단합니다: 랜섬웨어가 네트워크를 통해 확산될 수 있는 범위를 제한하여 랜섬웨어 공격의 영향을 줄이세요.

• 클라우드를 보호합니다: 동적 정책으로 하이브리드 멀티 클라우드를 보호합니다.

• 타사 리스크를 관리합니다: 중요한 시스템에 대한 공급업체의 액세스를 제한하세요. 공급업체의 중요 시스템에 대한 액세스 권한을 제어하세요.

1월 17일까지 카운트다운

시간이 촉박합니다. 테스트, 타사 감독, 복원력 계획은 선택 사항이 아닙니다. 이를 위해서는 선제적인 전략과 회복탄력성을 향한 문화적 전환이 필요합니다.  

라구는 "EU는 완벽이 아닌 진전을 원합니다. 그들은 조직이 요구 사항을 어떻게 해석하고 무엇을 달성했는지 보고 싶어 합니다."

DORA 규정 준수에 대해 자세히 알고 싶으신가요? 무료 전자책을 다운로드하세요, DORA 규정 준수를 위한 전략: 마이크로세분화의 핵심 역할. 마이크로세그멘테이션으로 조직의 보안을 개선하는 방법을 알아보세요.