블로그

EU의 디지털 운영 회복력 법(DORA) 규정 준수 이해 금융 서비스

채드 데이비스 썸네일
채드 데이비스
2024년 6월 7일 게시

디지털 운영 회복력 법(DORA)은 유럽연합(EU) 내 금융 서비스 산업의 핵심 입법안으로 주목받고 있습니다. 이는 단순히 규제 환경에 추가되는 또 다른 약어가 아니라 디지털 영역에서 사이버 보안과 운영 회복력을 강화하기 위한 근본적인 변화입니다. 조직이 규정 준수에 나서면서 DORA의 본질을 이해하는 것이 중요해지고 있습니다.

DORA는 디지털 운영 회복력 법(Digital Operational Resilience Act)의 약자로, 금융 서비스의 사이버 보안과 운영 회복력을 강화하기 위해 EU에서 제정한 법률입니다. DORA에 따라 금융 기관과 중요한 제3자 기술 서비스 제공자는 2025년 1월 17일까지 정보통신기술(ICT) 시스템에서 특정 기술 표준을 준수해야 합니다.

DORA를 준수하지 못하면 바람직하지 않은 결과가 초래될 수 있으므로 큰 위험이 따릅니다. 집행 기관은 DORA를 준수하지 않는 기관에 행정적 처벌, 어떤 경우에는 형사적 처벌을 부과할 수 있는 권한을 부여받습니다. 법적 문제 외에도, 규정을 준수하지 않는 조직의 브랜드 평판은 심각하게 손상될 수 있습니다.

마감일이 다가오면서, 금융 서비스 부문에서 운영되는 조직이라면 DORA의 의미와 요구 사항을 최신 상태로 유지하는 것이 매우 중요해질 것입니다. 이 블로그에서는 DORA의 미묘한 차이점을 심층적으로 살펴보고, 운영 효율성을 극대화하는 동시에 규정 준수를 보장하는 데 도움이 되는 전략과 가능한 솔루션을 살펴봅니다.

DORA에 대한 주요 고려 사항

조직이 디지털 운영 회복력 법 준수를 준비하면서 주의 깊게 살펴봐야 할 몇 가지 주요 고려 사항이 나타납니다.

  • 사이버 보안 사고의 시기적절한 보고

DORA에 따르면 사이버보안 사고를 신속하게 보고하는 것은 선택 사항이 아닙니다. 조직에서는 사이버보안 사고를 신속하게 식별, 평가하고 보고하기 위해 강력한 사고 대응 메커니즘을 구축해야 합니다. 적시에 사고를 보고하지 못하면 DORA에 따라 심각한 결과가 초래될 수 있습니다.

  • 제3자 기관에 대한 조직의 의존성에 대한 투명성

DORA는 조직이 중요 서비스를 위해 제3자 기관에 의존하는 것과 관련하여 투명성을 강조합니다. 조직에서는 타사 기술 서비스 제공업체에 대한 종속성을 철저히 평가하고 공개해야 합니다. 여기에는 이들 공급업체가 필요한 기술 표준을 충족하고 조직의 운영 회복력 목표를 지원할 수 있는지 확인하는 것이 포함됩니다.

  • 규제 기관 또는 클라이언트의 감사 문의에 응답할 수 있는 능력

DORA에 따른 또 다른 중요한 고려사항은 규제기관이나 고객의 감사 문의에 효과적으로 대응할 수 있는 조직의 역량입니다. 여기에는 포괄적인 문서 유지, 정기적인 평가 실시, DORA 요구 사항 준수를 입증하기 위한 강력한 통제 구현이 포함됩니다. 조직에서는 의무적인 기술 표준과 운영 회복력 조치를 준수하고 있다는 증거를 제공할 준비가 되어 있어야 합니다.

F5 솔루션이 DORA 규정 준수에 어떻게 도움이 될 수 있는지

F5 분산 클라우드 플랫폼은 보안 인프라를 단순화하고 최적화하는 솔루션을 제공하여 조직이 DORA 규정 준수 과제를 직접 해결할 수 있도록 지원합니다. F5는 여러 지점 솔루션에 대한 의존도를 줄임으로써 조직이 분산된 환경에서 보안 관리정책 시행을 중앙에서 관리하고, 운영을 간소화하고, 보호와 가시성을 강화할 수 있도록 지원합니다.

F5를 사용하면 호스팅 위치에 관계없이 앱 전체에 일관된 정책을 배포하고 보안을 확장하는 작업이 손쉽게 완료됩니다. 더욱이 F5 솔루션은 중앙 집중식 사용자 인터페이스를 통해 분산된 앱 인프라 전반에 걸쳐 귀중한 통찰력과 원격 측정 데이터를 제공하여 효율적인 모니터링과 관리를 용이하게 합니다. "클릭하여 활성화하고 어디서나 실행"하는 보안 정책을 채택하면 전 세계적인 적용 범위와 시행을 통해 일관되고 반복 가능한 보호가 보장되므로 금융 서비스 기관은 효과적이고 구현하기 쉬운 포괄적인 보안 조치의 이점을 얻을 수 있습니다.

또한 Heyhack을 통해 인수한 기술을 통합하여 F5 Distributed Cloud Services Web Application Scanning을 구축함으로써 고객은 뛰어난 자동화된 보안 정찰 및 침투 테스트 기능에 액세스할 수 있게 됩니다. 또한, F5의 수상 경력을 자랑하는 분산 클라우드 서비스는 API 속도 제한 기능 확장, API 인벤토리 관리 개선, JWT 검증 강화, 사용자 정의 패턴 감지, 좀비 API를 식별하기 위한 API 검색 기능 개선 등 API 보안을 지속적으로 강화합니다.

마지막으로, F5 SSL 솔루션을 사용하면 조직은 보안 검사 장치를 통한 동적이고 정책 기반의 복호화, 암호화 및 트래픽 조정을 통해 인프라 및 보안 투자를 극대화할 수 있습니다. 이는 전송 중이거나 저장 중인 암호화폐와 관련된 요구 사항과 관련하여 DORA에 특히 중요합니다.

영향을 받는 모든 조직은 벌금을 피하고, 더 중요하게는 DORA 규정 준수 실패로 인한 평판 피해를 막기 위해 보안 및 모니터링 역량을 강화하기 위한 경쟁이 벌어지고 있습니다.

다행히도 이 새로운 규제 환경에서 성공하는 데 필요한 기술은 이미 준비되어 있습니다. 여기에서 F5 솔루션이 어떻게 도움이 될 수 있는지 알아보세요.