디지털 운영 복원력 법이란 무엇인가요?
디지털 운영 복원력 법은 유럽연합 전역의 약 22,000개 조직에 해당하는 20가지 유형의 금융 기관 및 ICT 제3자 서비스 제공업체에 적용되는 금융 부문의 운영 복원력과 관련된 규칙을 통합합니다.
DORA는 은행, 보험사, 투자 회사 등 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다. 새로운 규정은 금융 기관과 주요 ICT 공급업체가 해당 부문의 디지털 운영 복원력 수준을 개선하기 위해 계약적, 조직적, 기술적 조치를 이행할 것을 요구합니다.
DORA는 2023년 1월 16일에 발효되어 2025년 1월 17일부터 27개 EU 회원국 전체에 적용될 예정입니다.
규정 | 현재 시행 중
DORA는 금융 서비스 디지털 운영 복원력의 각기 다른 측면을 해결하도록 설계된 5가지 핵심 축을 중심으로 구성되어 있습니다.
- ICT 리스크 관리 및 거버넌스: DORA는 경영진과 이사회 구성원이 디지털 운영 복원력을 효과적으로 제공하기 위해 ICT 위험 관리 프레임워크를 정의, 구현 및 유지 관리할 책임을 갖도록 합니다. DORA는 금융 기관이 ICT 위험을 효과적이고 신중하게 관리할 수 있는 내부 거버넌스 및 통제 프레임워크를 마련할 것을 의무화하고 있습니다.
- 인시던트 보고: 금융 서비스 조직은 공격을 평가하고 고객과 운영에 미치는 영향을 완화하며 당국에 보고하기 위해 ICT 관련 사고를 모니터링, 관리, 기록, 분류 및 보고하는 시스템을 구축해야 합니다.
- 디지털 운영 복원력 테스트: 금융 기관은 매년 종합적인 디지털 운영 복원력 테스트 프로그램을 구현하고 수행해야 합니다. 또한 DORA는 해당되는 경우 금융 기관이 디지털 운영 복원력 테스트에 ICT 제3자 제공업체의 참여를 보장해야 한다고 명시하고 있습니다.
- ICT 제3자 위험: DORA의 주요 강조점 중 하나는 ICT 제3자 리스크와 리스크 완화를 위한 역할입니다. 금융 기관은 여러 클라우드 제공업체와 같이 EU 외부에 있는 외부 ICT 제공업체에 크게 의존합니다. 따라서 금융 기관은 ICT 제3자 리스크를 ICT 리스크 관리 프레임워크의 필수 구성 요소로 포함시켜야 합니다.
- 정보 공유: DORA는 또한 업계의 디지털 운영 복원력을 강화하기 위해 사이버 위협 정보 및 인텔리전스에 대한 자발적인 정보 공유를 장려합니다.
DORA는 은행, 신용 기관, 결제 기관, 전자 화폐 기관, 투자 회사, 암호화 자산 서비스 제공업체 등 광범위한 금융 서비스 제공업체에 적용됩니다. 중요한 것은 DORA가 금융 기관에 제공되는 중요한 ICT 서비스를 정의한다는 점입니다. 조직이 금융 기관에 중요한 ICT 서비스를 제공하는 경우, DORA 프레임워크에 따라 직접적인 규제 감독을 받게 됩니다. 예를 들어 클라우드 플랫폼과 데이터 분석 서비스는 EU 외부에 기반을 두고 있더라도 여기에 포함됩니다.
DORA는 EU 규정으로, 2025년 1월 17일부터 EU에서 적용되는 법입니다. EU 지침과 달리 DORA는 각 EU 회원국의 국내 법률로 번역할 필요가 없습니다. DORA를 준수하지 않으면 엄격한 처벌을 받게 됩니다.
- DORA를 위반하는 금융 법인은 전 세계 연간 총매출액의 최대 2% 또는 개인의 경우 최대 100만 유로의 과태료가 부과될 수 있습니다. 과태료 금액은 위반의 심각성과 당국에 대한 금융사의 협조 여부에 따라 달라집니다.
- 유럽 감독 당국이 '중대'로 지정한 타사 ICT 서비스 제공업체는 DORA 미준수 시 최대 500만 유로의 과태료 또는 개인의 경우 최대 50만 유로의 과태료 처분을 받을 수 있습니다. ESA는 이러한 과태료를 부과할 수 있는 권한을 갖습니다.
탈레스가 DORA 규정 준수를 지원하는 방법
탈레스의 솔루션은 규정 준수를 간소화하고 보안을 자동화하여 보안 및 규정 준수 팀의 부담을 줄여 금융 기관과 타사 ICT 제공업체가 DORA를 준수할 수 있도록 지원합니다. 규정 8, 9, 10, 11, 19, 28조에 따른 필수 사이버보안 위험 관리 요건을 충족하도록 지원하며, ICT 위험 관리 및 거버넌스, 사고 보고, ICT 제3자 위험 관리 등을 다룹니다.
탈레스는 애플리케이션 보안, 데이터 보안, 신원 및 액세스 관리라는 사이버보안의 세 가지 핵심 영역에서 포괄적인 사이버 보안 솔루션을 제공합니다.
NIS2 규정 준수 솔루션
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 당사의 제품군에는 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격에 대한 보호, API 보안, 안전한 콘텐츠 전송 네트워크(CDN), 런타임 애플리케이션 자가 보호(RASP)가 포함됩니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 당사 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내·외부 사용자의 액세스를 제한하여, 적절한 사용자가 적시에 적절한 리소스에 대한 액세스 권한을 받을 수 있도록 지원합니다.
백서
탈레스 데이터 보호 온디맨드를 통한 디지털 운영 복원력 보장
데이터 보호 온디맨드(DPOD)를 통한 키 관리, 암호화 및 HSM을 활용하여 DORA 규정 준수를 달성하도록 돕는 종합 가이드입니다.
주요 DORA 요건 준수
탈레스의 지원 방식:
- 모든 공개, 비공개, 섀도 API에 대한 잠재적 위험을 발견하고 분류합니다.
- 온프레미스 및 클라우드에서 위험에 처한 정형 및 비정형 중요 데이터를 식별합니다.
- 규정 준수 현황을 파악하고, 부족한 부분을 문서화하며, 완전한 규정 준수를 위한 경로를 제공합니다.
탈레스의 지원 방식:
- 웹 애플리케이션 방화벽으로 사이버 위협을 탐지하고 예방하여, 원활하게 운영하고 안심할 수 있는 환경을 보장합니다.
- 합법적인 트래픽은 계속 허용하면서, DDoS 공격과 악성 봇으로부터 중요한 네트워크 자산을 보호합니다.
- 클라우드 및 온프레미스 시스템 전반의 정형 및 비정형 데이터에 대한 데이터 활동을 모니터링합니다.
탈레스의 지원 방식:
- 가장 광범위한 하드웨어 및 소프트웨어 수단과 폼 팩터를 통해 다중 인증(MFA)을 사용합니다.
- 데이터/애플리케이션의 민감도에 따라 적응형 인증 정책을 구축 및 배포합니다.
탈레스의 지원 방식:
- FIPS 140-2 레벨 3 환경에서 암호키를 보호합니다.
- 클라우드 및 온프레미스 환경에서 키 관리를 간소화합니다.
탈레스의 지원 방식:
- 생산 변경 사항을 자동으로 조정합니다.
- 취약성을 평가하고 위험을 완화합니다.
- 데이터 계층 스키마의 변경 사항을 감지합니다.
- 생산 수준 변경에 대한 승인 프로세스
탈레스의 지원 방식:
- 웹 애플리케이션 방화벽으로 사이버 위협을 탐지하고 예방하여, 원활하게 운영하고 안심할 수 있는 환경을 보장합니다.
- 합법적인 트래픽은 계속 허용하면서 DDoS 공격과 악성 봇으로부터 ICT 네트워크 성능과 무결성을 보호합니다.
탈레스의 지원 방식:
- 클라우드 및 온프레미스 시스템 전반의 정형 및 비정형 데이터에 대한 데이터 활동을 모니터링합니다.
- 모든 시스템에 대한 모든 액세스 이벤트에 대한 감사 추적 및 보고서를 생성하고, 로그를 외부 SIEM 시스템으로 스트리밍합니다.
탈레스의 지원 방식:
- 1년 분량의 보존 기록을 즉시 액세스하여 상세 검색 및 조사할 수 있습니다. 감사 데이터는 자동으로 보관되지만 쿼리 및 보고 목적으로 몇 초 안에 액세스할 수 있습니다.
탈레스의 지원 방식:
- 클라우드 호스팅 데이터를 보호하는 암호키에 대한 온프레미스 제어를 유지하여 제3자로 인한 위험을 줄입니다.
- 클라우드 제공업체 관리자와 조직 간의 역할을 완전히 분리하고 중요한 데이터에 대한 액세스를 제한하세요.
- 원치 않는 활동으로 인해 공급망 활동이 중단되는 것을 감지 및 방지할 수 있도록 이상 징후를 모니터링하고 경고합니다.
- 공급업체, 파트너 또는 제3자 사용자와의 관계 관리를 활성화하고, 액세스 권한을 명확하게 위임합니다.
- 관계 기반의 세분화된 권한 부여를 사용하여 권한을 최소화합니다.
관련 자료
Other key data protection and security regulations
PCI HSM
MANDATE | ACTIVE NOW
The PCI HSM specification defines a set of logical and physical security compliance standards for HSMs specifically for the payments industry. PCI HSM Compliance certification depends on meeting those standards.
DORA
REGULATION | ACTIVE NOW
DORA aims to strengthen the IT security of financial entities to make sure the financial sector in Europe is resilient in the face of the growing volume and severity of cyber-attacks.
Data Breach Notification Laws
REGULATION | ACTIVE NOW
Data breach notification requirements following loss of personal information have been enacted by nations around the globe. They vary by jurisdiction but almost universally include a “safe harbor” clause.
GLBA
REGULATION | ACTIVE NOW
The Gramm-Leach-Bliley Act (GLBA)--also known as the Financial Services Modernization Act of 1999--requires financial institutions to explain their information-sharing practices to their customers and to safeguard sensitive data.