DORA는 조직이 다음과 같은 법률에서 제공하는 규제 프레임워크 내에서 유연한 운영 복원력을 구축하도록 권장합니다:
강력한 리스크 관리 관행 개발
내부 감사 및 자체 평가 실시
ICT 리스크를 최소화하기 위한 통제 구현
DORA는 각 기업이 각자의 상황에 맞게 적응할 수 있도록 하면서도 강력한 거버넌스를 촉진하는 것을 목표로 한다는 점에서 주목할 만합니다. 금융 업계의 기업들은 시스템 장애부터 사이버 공격에 이르기까지 다양한 형태의 디지털 장애에 효과적으로 대응하는 동시에 비즈니스 운영을 유지할 수 있는 준비가 되어 있어야 합니다.
금융 부문은 고도로 상호 연결된 디지털 환경에서 운영됩니다.
미션 크리티컬 시스템과 인프라에 대한 ICT 및 타사 서비스 제공업체에 대한 의존도가 높아지면서 디지털 공격 표면이 증가하여 금융 조직은 사이버 보안 위협에 훨씬 더 많이 노출되어 있습니다. 시스템을 손상 또는 중단시키고, 민감한 데이터를 변경 또는 유출하며, 기관의 평판을 파괴하는 사이버 공격은 전체 금융 시스템의 안정성을 위협합니다.
금융 분야에서 활동하는 조직은 DORA 컴플라이언스 요건을 고려하여 IT 위험 관리 및 운영 복원력 역량을 강화하는 것이 중요합니다. 효과적인 접근 방식에는 다음과 같은 ICT 관련 위험의 모든 측면이 포함됩니다:
금융 기관은 DORA의 요구 사항을 이행함으로써 사이버 위협으로부터 자신을 보호하고 비즈니스 연속성을 유지하며 고객과의 신뢰를 강화하는 데 한 걸음 더 나아갈 수 있습니다.
주요 초점은 잠재적으로 적대적인 디지털 환경에서 지속적인 운영을 보장하기 위한 운영 복원력에 있습니다. ICT 위협에 신속하게 대응하려면 금융 서비스 부문에서 활동하는 기업은 이 6가지 핵심 원칙에 따라 복원 계획의 우선순위를 정해야 합니다:
리스크 관리: 포괄적인 내부 거버넌스, 자체 평가, 위험을 식별하고 최소화하기 위한 통제를 포함한 ICT 위험 관리 프레임워크 구축.
정보 및 인텔리전스 공유: 금융 기관은 보안 커뮤니티 내에서 사이버 위협에 대한 정보를 보고하고 공유하는 프로세스를 마련하는 것이 좋습니다.
제3자 위험 관리: DORA는 조직이 공급망을 포괄하는 보안 조치를 구현할 것을 요구합니다.
비즈니스 연속성 계획: 금융 서비스는 보안 사고 발생 시에도 운영을 유지할 수 있도록 철저하고 충분한 테스트를 거친 연속성 계획을 수립해야 합니다.
인시던트 대응 및 위기 관리: 디지털 복원력의 핵심 구성 요소인 DORA는 ICT 사고를 분류, 관리 및 보고하기 위해 잘 개발된 사고 대응 계획의 존재를 의무화합니다.
지속적인 테스트 및 모니터링: DORA는 조직이 사이버 위협에 대한 복원력을 확보하기 위해 시스템에 대한 비정상적인 활동에 대한 정기적인 테스트 및 모니터링을 수행하도록 요구합니다.
다음 요소는 금융 기관과 서비스 제공업체가 완전한 DORA 컴플라이언스를 위해 노력할 때 준수해야 하는 핵심 요건을 나타냅니다:
조직은 ICT 위험을 최소화하기 위한 제어 기능을 구현해야 하며, 정기적인 테스트를 통해 서비스에 심각한 중단 없이 보안 사고를 견딜 수 있음을 보여주는 복원력을 입증할 수 있어야 합니다.
DORA는 조직의 기존 보안 상태와 잠재적 취약성을 파악하기 위한 철저한 자체 평가를 포함하여 건전한 ICT 위험 관리 프로세스를 수립할 것을 의무화합니다.
조직은 사이버 위협에 대한 복원력을 강화하기 위해 리소스를 할당해야 합니다. 여기에는 ICT 시스템 관리에 대한 전문 지식을 갖춘 숙련된 직원의 참여를 장려하는 것도 포함됩니다.
조직은 디지털 운영의 복원력을 보장하기 위해 취한 조치에 대해 자세히 설명하는 세부 문서를 추가로 준비해야 합니다. 여기에는 연속성 계획, ICT 관련 사고에 대응하기 위한 사고 대응 계획, 데이터 거버넌스 구조, 테스트 및 보고 활동이 포함됩니다.
타사 ICT 시스템과 관련하여 DORA가 도입하는 통제(예 클라우드 제공업체)는 조직이 계약을 분류 및 평가하고, 서비스 제공업체에 추가적인 규정 준수 보증을 요구하며, 새로운 요건을 충족하도록 보험 적용 범위를 업데이트하도록 권장합니다.
금융 기관은 개선이 필요한 영역을 파악하기 위해 갭 평가를 완료하여 준비를 시작해야 합니다. 갭 평가는 NIST CSF, ISO, ITIL, COBIT과 같은 IT 위험 관리 표준과 함께 ESA 가이드라인, NIS, CROE를 준수하는지 확인해야 합니다.
조직의 특성에 따라 HIPAA 컴플라이언스도 고려해야 할 사항일 수 있습니다.
궁극적으로 이 분석은 DORA 컴플라이언스에서 벗어나는 주요 영역을 파악하는 데 도움이 되며, 디지털 복원력 전략 수립에 정보를 제공할 것입니다.
갭 평가가 완료되면 조직은 이행 일정을 정의하고 컴플라이언스 요건을 충족하기 위한 리소스 할당 및 보안 시스템 구현 계획의 우선순위를 정하는 데 도움이 되는 로드맵을 작성해야 합니다.
DORA의 주요 특징 중 하나는 유럽 감독 당국(ESA)의 금융 기관에 대한 감독을 강화하는 것입니다. 이는 디지털 복원력을 보장하기 위한 더 강력한 제어로 이어질 것입니다.
금융 부문의 조직은 IT 위험 관리와 사이버 위협 탐지 및 보안 기능에 상당한 투자가 필요합니다. 또한, DORA와 유사한 사이버 보안 표준인 NIS2 지침은 광범위한 비즈니스 분야에 영향을 미칠 것입니다. 이러한 규정은 조직이 엄격한 요건을 준수하기 위해 시스템과 직원을 재구성하는 과정에서 비용 증가로 이어질 수 있습니다.
이러한 모든 문제를 고려할 때 DORA 요건을 준수하기 위해서는 사전 예방적인 접근 방식을 취하는 것이 중요합니다. DORA는 금융 부문 비즈니스에 대한 조사 강화와 엄격한 규제로 이어질 것이며, 이는 해당 기관의 비용 증가로 이어질 것입니다.
지금 시작하면 조직은 이 새로운 규제 환경을 더 잘 탐색하여 DORA 요건에 철저히 대비할 수 있습니다.
DORA는 2023년 1월에 발효되며, 조직은 2025년 1월까지 규정을 완전히 준수해야 하므로 조직은 즉시 컴플라이언스 준비 작업을 시작해야 합니다.
컴플라이언스 기한이 빠르게 다가옴에 따라 금융 업계의 보안 전문가들이 DORA 컴플라이언스를 준수하기 위해 어떤 조치를 취해야 하는지 이해하는 것이 점점 더 중요해지고 있습니다.
2025년 1월을 앞두고 주목해야 할 두 가지 주요 일정은 ESA의 인증 프로세스와 금융 기관의 준비 상태를 평가하는 프레임워크를 제공할 의무적인 위협 주도 침투 테스트(TLPT)의 시작입니다.
완전한 규정 준수 마감일이 다가옴에 따라 DORA의 복잡성을 헤쳐나가는 과정에서 조직은 규정 준수를 위한 사전 조치를 취해야 합니다.
신속한 사고 보고, 타사 위험 관리, 강화된 감사 요건에 대한 규정을 충족하려면 현재 준비 상태를 파악하고 컴플라이언스에서 벗어날 가능성이 있는 조직 내 영역을 식별하는 사전 조치를 취하는 것이 필수적입니다.
체크 포인트 NIS2/DORA 준비도 평가는 2025년 1월 마감일 이전에 조직이 DORA에 대비하여 컴플라이언스를 강화하거나 달성하는 데 도움이 될 수 있습니다.
체크 포인트 소프트웨어는 NIS2 및 DORA에 대비할 수 있도록 파트너와 함께 준비되어 있습니다. 함께 협력하면 조직 내 운영 탄력성 문화를 조성하여 사이버 위협과 규정 미준수 위험을 줄일 수 있습니다.
피드백