DORA 시행, 금융권 사이버 보안 강화의 새로운 전환점

브로드컴의 글로벌 개인정보보호책임자이자 유럽·중동 및 아프리카 대관 총괄인 일리어스 챈트조스는 내년부터 시행되는 유럽연합(EU)의 '디지털 업무 회복 탄력성 법'(DORA)에 대해 설명했다. DORA는 금융산업을 대상으로 정보통신기술(ICT)에 대한 리스크 관리 및 보안 체계를 강화하기 위한 법안으로, 기존의 규제와는 다른 방식으로 접근하고 있다.

DORA는 은행, 보험사, 투자회사 등 금융기관은 물론 이들에게 서비스를 제공하는 제3자 서비스 업체에도 동일하게 적용된다. 이 법안은 다양한 회복 탄력성 관련 규정, 즉 ICT 리스크 관리, 사고 보고, 그리고 운영 복원력 테스트 등을 요구하는 것이 특징이다. 챈트조스는 DORA의 핵심은 이제 금융기관이 사이버 공격으로부터 보호하기 위해 단독으로 대응하는 것이 아니라, 서비스 공급업체와의 협력도 포함된다는 점이라고 강조했다.

챈트조스는 DORA와 개인정보보호법(GDPR)의 차이를 설명하며, DORA가 사이버 보안 및 리스크 관리에 중점을 둠으로써 금융권에 특별히 적용된 법안임을 분명히 했다. DORA는 금융기관이 사이버 공격에 대한 대비를 위해 감사 및 침투 테스트를 수행하도록 요구하며, 사이버 침해 발생 시 24시간 이내에 이를 보고하도록 규정한다. 반면 GDPR은 개인 데이터 침해에 대해 72시간 이내 보고를 요구하고 있어, DORA의 준수 사항이 훨씬 더 엄격하다는 점이 특징이다.

DORA의 시행이 금융권의 사이버 공격에 대한 규제가 강화될 것이라는 점에서 챈트조스는 조속한 준비가 필요하다고 촉구했다. 특히, 규제를 실용적으로 집행하기 위해 필수 서비스 이해와 보호에 집중해야 한다고 덧붙였다. 그는 규제가 소규모 금융기관에 미치는 영향에 대해서도 언급하면서, 이들 기관이 리스크 관리 프레임워크를 간소화할 수 있을 것으로 보며, 비용 부담이 증가할 것이라 예상했다.

또한 DORA 시행에 따라 보안 책임에 대한 관점도 변화할 가능성이 높다. 챈트조스는 금융 서비스 기관의 ICT 제공 업체에 대한 감독과 투명성의 수준이 달라질 것이며, 이는 정기 감사 및 공급망 정보 공시에 대한 새로운 요구 사항으로 이어질 수 있다고 말했다. 이렇게 되면 추가 비용이 발생하는 등의 변화가 예상된다.

DORA 시행을 기회로 삼아 금융기관은 강력한 보안 구조를 구축하고 더 많은 데이터 통제권을 가질 수 있는 기회를 만들어야 한다고 챈트조스는 강조했다. 그는 또한 ICT 공급업체가 DORA 규제 준수에 드는 비용을 적절하게 조정하여 진입장벽을 낮춰야 한다고 경고했다. 그렇게 해야만 디지털 주권의 약화를 방지할 수 있을 것이라고 말했다.

마지막으로, 브로드컴은 DORA를 비롯한 금융 보안 규제가 증가할 것으로 전망하며, 이에 대한 지속 가능한 전략이 필요하다고 강조했다. 챈트조스는 DORA 준수를 위한 프로세스와 도구를 구축하고 재사용 가능한 리소스를 지속적으로 고민하는 것이 중요하다고 덧붙였다.

│

이 포스트는 피시아(PHYSIA) 사에서 운영하는 게임메이커.KR 게임 개발 뉴스 블로그에서 작성되었으며, 공공의 이익에 기여하는 목적을 제외한 다른 용도의 무단 배포 및 수정을 금합니다. 참조 - 피시아(PHYSIA), 게임메이커.KR, 게임투비즈(GameToBiz), 게임S/W에이전시, 저널CTL코리아