블로그

EU 디지털 운영 회복력 법(DORA) 준비

바트 살레츠 썸네일
바트 살라에츠
2024년 8월 5일 게시

유럽의 정책 입안자들은 이 지역의 중요한 디지털 인프라에 대한 사이버 공격에 대해 점점 더 우려하고 있습니다.

EU는 금융 부문이 변화하는 위협에 더 잘 대처할 수 있도록 2025년 1월부터 적용될 디지털 운영 회복력법( DORA ) 규정을 제정했습니다. 

DORA의 영향력은 상당하며 EU 내에서 운영되는 22,000개 이상의 금융 기관과 ICT 서비스 제공업체를 포함합니다. 이는 EU 외부에 거주하면서 이들 조직과 상호 작용하는 사람들에게도 영향을 미칩니다.

본질적으로 DORA 준수는 금융 서비스 제공자가 자신들이 직면해야 할 위험을 반영하는 보다 견고하고 포괄적인 보안 전략을 구축할 수 있는 기반입니다. 

대부분 은행은 오랫동안 엄격한 보안 조치를 시행해 왔지만, DORA는 신용 및 지불 기관, 암호 자산 서비스 제공자, 중앙 증권 예치기관, 신용 평가 회사 등 보다 전문적인 참여자를 참여시켜 금융 생태계 전반의 방어를 강화하도록 설계되었습니다. 금융 기관에는 다음이 필요합니다. 손상 또는 데이터 손실 위험을 최소화하고, 사업 활동을 방해할 수 있는 무단 액세스와 기술적 결함을 방지하며, ICT 시스템의 가용성을 유지합니다.

규정 준수 보장

금융 기관은 물론 오늘날 대부분의 다른 기업에서도 앱과 데이터는 이제 임무 수행에 매우 중요합니다. DORA를 준수하고 DDoS(분산 서비스 거부) 공격 및 기타 공격 중에도 지속적인 운영을 보장하기 위해서는 강력한 웹 애플리케이션 방화벽(WAF)과 같은 기술을 사용하여 이러한 자산을 완벽하게 보호하는 것이 필수적입니다.

DORA는 또한 금융 기관이 ICT 네트워크 성능 문제와 관련 사고를 포함한 비정상적인 활동을 즉시 감지하고 잠재적으로 중대한 단일 장애 지점을 식별하도록 요구합니다. 심각한 사고가 발생한 경우, 금융 기관은 규제 기관, 영향을 받은 고객 및 파트너에게 통보 해야 합니다 . 그런 다음 사고 해결을 위한 진행 상황을 보고하고 근본 원인을 분석한 최종 보고서를 작성해야 합니다. 

이러한 요구 사항을 충족하려면 금융 기관에서는 앱의 성능과 보안 상태를 완벽하게 파악할 수 있어야 합니다. 여기서 F5 분산 클라우드 콘솔이 큰 역할을 할 수 있습니다. 앱 전체 에 대한 통합된 엔드투엔드 가시성을 제공하도록 설계되었으며, DORA의 디지털 복원력 규정 준수에 대한 대부분의 요건을 충족합니다. 

F5 분산 클라우드 콘솔은 DORA의 보다 섬세한 요구 사항 중 일부에도 도움이 됩니다. 예를 들어, 금융 기관은 침투 테스트를 통해 최소 3년마다 ICT 도구, 시스템 및 프로세스를 테스트해야 합니다. 

최근까지 이러한 유형의 활동은 전문가이자 종종 비용이 많이 드는 "화이트 해커"의 영역이었습니다. 그러나 더 이상 그런 경우는 없으며, 이제 전체 프로세스를 자동화하는 것이 가능해졌습니다. 

올해 초 F5는 조직이 인터넷, 공개 저장소, 노출된 서버 및 기타 소스를 지속적으로 모니터링하여 외부 앱 서비스, 데이터 및 취약성을 통합할 수 있는 분산형 클라우드 웹 앱 스캐닝 솔루션을 출시했습니다. 게다가 자동화된 침투 테스트를 실시하고, 잠재적인 취약점을 식별하고, 문제에 대한 증거를 얻고, 보안을 강화하고 규정 준수를 보장하기 위한 수정 지침을 받을 수도 있습니다.

더 큰 자동화는 새로운 제품과 서비스를 시기적절하게 출시하기 위해 프로젝트별로 실시하는 것보다 지속적인 침투 테스트를 실시하는 것이 비용 효율적이라는 것을 의미합니다.

ICT 분야에 보안 설계

모든 기업은 DORA를 준수하기 위해 특정한 포인트 솔루션을 배포하려고 하기보다는 디지털 보안에 대한 전체적인 접근 방식을 목표로 해야 합니다. AI의 발전으로 자동화가 확대되면서 ICT 인프라, 구성 요소, 앱과 이에 따른 애플리케이션 프로그래밍 인터페이스(API)의 설계, 개발, 배포에 보안을 구축하기가 훨씬 쉬워졌습니다.

API는 이제 본질적으로 디지털 경제의 중추 신경계이며, 특히 중요합니다. 조직에서는 API가 프로덕션에 들어가기 전에 위험을 식별하고 정책을 구현하여 애플리케이션 개발 프로세스에 취약성 탐지 기능을 내장하기 위해 최선을 다해야 합니다. 

이러한 증가하는 요구에 직접적으로 대응하여 F5 분산 클라우드 서비스는 업계에서 가장 포괄적이고 AI 지원 API 보안 솔루션을 제공합니다. 기업들이 API를 빌드하는 동안과 런타임 동안 보안을 유지하기 위해 서로 다른 도구 세트와 기능을 사용해야 했던 시대는 사라졌습니다. F5는 애플리케이션 개발 프로세스에서 취약성 탐지 및 관찰 기능을 제공하여 API가 프로덕션에 들어가기 전에 위험을 식별하고 정책을 구현할 수 있도록 보장합니다. API 보안이 그 어느 때보다 중요하고 복잡한 시기에 F5는 고객이 별도의 API 보안 솔루션에 대한 비용을 지불하고 관리할 필요성을 없애고 있습니다. API 검색, 테스트, 포스처 관리 및 런타임 보호가 모두 단일 플랫폼에 제공되면 DORA의 임박한 복잡성을 예상하는 데 큰 이점이 될 수 있습니다.

결국 DORA를 골치 아픈 일로 여겨서는 안 됩니다. 오히려 이는 조직 전체에서 필수적인 보안 조치를 개선하고 강화할 수 있는 좋은 기회입니다. 그럼에도 불구하고, 그것은 여정이며 어떤 사람들은 보안이 실제로 무엇을 의미하는지, 어떻게 표현되는지에 대한 자신의 인식을 바꿔야 할 것입니다. 

앞으로의 과제에 맞서 싸우는 모든 사람을 위해 다행히도 F5는 DORA의 모니터링 및 보고 요구 사항을 준수하는 데 필요한 많은 도구를 갖추고 있으며, 사이버 보안 공격의 위험을 크게 낮추는 것은 말할 것도 없습니다.