클라우드 컴퓨팅이 필요하신가요? 지금 시작해보세요

DORA(Digital Operational Resilience Act)란 무엇일까요?

DORA는 금융 서비스 부문에 영향을 미치는 EU 의 규정입니다. DORA는 EU 금융 서비스와 명시적으로 관련되어 있으며 사이버 보안의 안정성 유지에 중점을 두고 있습니다.

DORA는 2023년 1월 16일에 발효되어 2025년 1월 17일부터 적용됩니다.

EU(European Union)의 파비오 파네타(Fabio Panetta)는 사이버 위협 환경에 대해 "위협이 점점 더 복잡해지고 있습니다. 최근 공격은 운영 수준에서 지속적인 경계와 규제 및 감독 프레임워크의 지속적인 재평가를 통해 업데이트가 필요한지 여부를 확인하는 작업을 요합니다."라고 설명했습니다. DORA 규정은 금융 부문 전반의 사이버 보안 가이드라인을 조율하고 변화하는 위협 환경을 고려하도록 고안되었습니다.

금융 서비스의 DORA와 사이버 안정성

DORA는 데이터 프라이버시 규정을 조율하는 GDPR과 마찬가지로 금융 서비스의 ICT 리스크 관리와 사이버 리스크 관리를 통합 및 업그레이드합니다.

DORA의 목표는 업계의 디지털 전환으로 인해 발생하는 리스크를 방어하고 금융 서비스 생태계의 사이버 안정성을 촉진해 은행, 금융 부문, 금융 시스템이 사이버 보안 인시던트를 예방하고, 대응하고, 복구할 수 있도록 지원하는 것입니다. 이를 위해 금융 기관의 비즈니스 프로세스를 지원하는 네트워크 및 정보 시스템의 보안에 관한 통일된 요구사항을 규정하고 있습니다. 여기에는 ICT 리스크 관리, 주요 ICT 관련 사고 보고, 디지털 운영 안정성 테스트, 정보 공유, ICT 써드파티 서비스 사용과 관련된 조치 및 요구사항이 포함됩니다.

DORA는 21개 범주의 범위에 따라 EU에서 금융 활동을 운영하는 금융 기관에 적용되는 입법 조치입니다. DORA의 영향을 받는 금융 부문에서 활동하는 기업에는 다음과 같은 기업이 포함됩니다.

  • 신용 기관
  • 결제 기관
  • 전자화폐기관 
  • 투자회사
  • 암호화 자산 서비스 사업자 
  • 대체투자펀드
  • 보험 관리자 
  • ICT 써드파티 서비스 사업자

Akamai 솔루션이 기업을 지원하는 방법

Akamai 플랫폼의 제로 트러스트 요소는 자산, 접속 제어, 네트워크 흐름에 대한 심층적인 가시성을 제공하고 보안 정책을 세분화해 시행합니다. 자산, 접속, 네트워크 흐름에 대한 Akamai의 가시성은 ICT 써드파티 리스크 관리로 확장되는 제로 트러스트 보안 전략의 초석입니다. 또한 Akamai의 위협 탐지 팀을 통해 가장 교묘한 위협을 탐지하고 정보 유출 시 측면 이동도 제한할 수 있습니다.

Akamai 글로벌 플랫폼은 기업이 기존 위협과 새로운 위협을 탐지 및 방어하고 변화하는 보안 환경에 적응할 수 있도록 지원합니다.

DORA는 기업에 어떤 영향을 줄까요?

DORA 요구사항은 ICT 시스템의 사이버 안정성에 초점을 맞추고 있습니다. DORA 벤치마크에 포함된 항목은 다음과 같습니다.

  • 독립적인 당사자가 매년 안정성 및 취약점 테스트를 수행해야 합니다. 정기적인 위협 주도 모의 침투 테스트도 필수 요건입니다.
  • DORA는 리스크에 기반한 포괄적인 보호 조치를 요구합니다. DORA 보안 조치에는 네트워크와 인프라 관리에 대한 리스크 기반의 접근 방식 취하기, 취약점과 관련하여 패치와 업데이트 같은 적절하고 포괄적인 정책 구축, 강력한 인증 메커니즘 사용, ICT 시스템 리소스와 데이터에 대한 물리적 및 가상 접속 제한 등이 포함됩니다.
  • ICT 관련 인시던트를 탐지, 관리 및 통지하며, 조기 경고 지표를 알림으로 설정’하는 절차가 필요합니다.
  • 사이버 보안 인시던트는 중요한 ICT 기반 인시던트를 모니터링 및 기술하고 DORA 당국에 보고하는 프로세스를 통해 원활한 보고가 가능합니다.
  • 관리와 보안 책임에 관한 DORA 요건은 정보 공유를 위한 필수 사이버 보안 관리와 대응을 다룹니다.

DORA와 금융 서비스

IMF(International Monetary Fund)는 자체 조사에서 금융 부문이 취약한 방어 수단으로 인해 리스크에 노출됐다는 사실이 밝혀지자, 금융 부문에 긴급히 안전 장치를 사용할 것을 촉구했습니다. Bank of England는 하반기 시스템 리스크 설문조사 에서 응답자의 74%가 사이버 공격을 금융 부문의 가장 큰 리스크로 여기고 있다는 사실을 확인하며 이에 동의했습니다.

금융 기관과 ICT 공급업체 같은 관련 공급업체가 리스크를 관리하는 방법을 이해하려면 DORA와 같은 프레임워크 및 가이드가 필수적입니다. 2022 Verizon Data Breach Investigation Report (DBIR)의리서치에 따르면 데이터 유출, DDoS, 랜섬웨어 등 금융 부문에서 가장 심각한 사이버 위협이 발생한 것으로 나타났습니다. 이 보고서는 도난당한 인증정보가 대부분의 사이버 공격이 성공하는 데 필수적인 요소라고 지적했습니다. 상품선물거래위원회는 최근 130개 글로벌 금융 기관을 대상으로 실시한 2022년 설문조사에서 이들 기관 중 74%가 전년도에 한 번 이상의 랜섬웨어 공격 인시던트를 경험했다고 밝혔습니다.

DORA와 ICT 공급업체

DORA의 핵심 측면은 써드파티 리스크 관리입니다. Verizon 2022년 DBIR에 따르면 금융 부문은 공급망 공격에서 두 번째로 인기 있는 표적이었습니다. DORA 컴플라이언스는 이러한 상황을 바꾸고 공급업체와 금융 기관에 대한 사이버 공격을 방지하기 위해 시작되었습니다. ENISA(European Union Agency for Cybersecurity)는 공격자들이 데이터와 금융 자산을 훔치기 위해 공급망을 표적으로 삼는 등 공급망 공격의 정교함과 규모가 증가했다고 보고했습니다. DORA는 EBA(European Banking Authority)의 아웃소싱 가이드라인 같은 기존 프레임워크를 사용해 요구사항을 조정합니다.

유럽 감독 당국에 의해 ‘중요’하다고 지정된 모든 ICT 공급업체는 지정된 수석 감독관의 직접적인 감독 하에 엄격한 룰이 포함된 감독 프레임워크를 적용받습니다.

제로 트러스트 솔루션은 ICT 공급업체를 포함하여 확장된 공급업체 네트워크 전반에 대한 가시성을 제공합니다. 최소 권한과 민감한 영역 및 데이터에 대한 선제적 제어 같은 보안 조치를 시행하면 랜섬웨어에 의한 데이터 유출과 감염을 방지할 수 있습니다.

Akamai 솔루션

Akamai는 금융 부문의 운영 안정성 확보에 도움이 될 수 있는 특정 요구사항을 충족하는 포괄적인 솔루션 제품군을 제공합니다. Akamai의 선도적인 보안 솔루션은 중요 자산을 보호하기 위해 Akamai를 사용하는 고객들로부터 동급 최고의 솔루션으로 인정받고 있습니다. Akama의 보안 포트폴리오는 포인트 솔루션 모음에서 포괄적이고 강력한 제로 트러스트 플랫폼으로 성장했습니다. Akamai의 세계적 수준의 솔루션은 ICT 사업자의 리스크 관리, 중요 자산 보호 등 엄격한 요구사항을 충족하는 데 필요한 제어 기능을 제공합니다. Akamai의 제로 트러스트 보안은 자산 종류, 트래픽 종류(남북, 동서), 레거시 디바이스에 관계없이  모든 종류의 IT 환경을 포괄적으로 보호하는 데 필요한 보안을 제공합니다. Akamai는 전체 인프라에서 IT 환경, 중요 자산, 접속 요구사항, 네트워크 흐름에 대한 심층적인 가시성을 제공합니다.

DORA와 ESA

DORA는 EIOPA(European Insurance and Occupational Pensions Authority), 유럽은행감독청, 유럽증권시장감독청(ESA(European Supervisory Authorities))의 이전 작업을 기반으로 구축되었습니다. DORA가 중요한 이유는 전체 금융 및 보험 가치 사슬에 걸쳐 디지털 혁신이 이뤄지고 있기 때문입니다. DORA의 규제 요건은 새로운 리스크를 관리하고, 사이버 공격을 방지할 수 있도록 올바른 종류의 조치와 안전장치를 마련하기 위해 필요합니다.

DORA에 따른 인시던트 보고

대상 기관의 사이버 보안 인시던트 보고는 DORA의 중요한 요소입니다. 적용 대상 기관은 중요한 ICT 기반 인시던트를 모니터링 및 기술하고, DORA 당국에 보고하는 프로세스를 마련해야 합니다.

중요 ICT 공급업체에 대한 보고 룰은 매우 엄격하며, 당국에 최초 보고 후 인시던트 해결 진행 상황에 대한 중간 보고와 근본 원인 분석이 수행된 후 최종 보고를 시행하는 것이 포함됩니다. 인시던트 분류, 의무 보고 대상 인시던트, 보고 기한에 관한 가이드라인은 현재 ESA에서 개발 중입니다.

DORA 격차 분석

DORA는 2025년 1월 17일부터 적용되므로 그전까지 금융 기관과 주요 써드파티 ICT 서비스 공급업체는 법안 준수를 준비해야 합니다. 적용 대상 기업은 DORA 법규 준수를 준비하기 위해 기존에 배포된 조치가 일부 또는 모든 해당 요구사항을 충족하는지 확인하는 격차 분석을 수행해야 합니다.

자주 묻는 질문(FAQ)

DORA(Digital Operational Resilience Act)는 사이버 보안의 안정성 유지에 초점을 맞춰 명시적으로 금융 서비스 부문에 적용되는 유럽 연합의 새로운 규정입니다.

DORA(Digital Operational Resilience Act)는 정부 기관이 아닙니다. 은행, 거래소, 기타 금융 시장 인프라가 준수해야 하는 운영 안정성과 관련된 조치에 대한 표준을 설정하기 위한 최신 EU 규정입니다.

고객이 Akamai를 선택하는 이유

Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업으로, 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층 방어 기능을 제공한다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공한다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰한다.

Akamai 보안 솔루션 둘러보기