디지털 운영 복원력 법(DORA) 은 금융 부문의 디지털 운영 복원력을 강화하기 위해 마련된 유럽연합의 포괄적인 규정입니다. 2023년 1월에 제정된 DORA는 금융 기관이 정보 통신 기술(ICT) 위험, 사고 보고 및 제3자 서비스 제공업체 관계를 관리하기 위한 통일된 프레임워크를 수립합니다. 이 획기적인 법안은 금융 서비스의 디지털화 증가와 강력한 사이버 보안 조치의 필요성에 대한 EU의 대응을 나타냅니다.

CMDB, IT 서비스 관리(ITSM), 통합 가시성 솔루션이 어떻게 DORA 규정 준수에 기여할 수 있는지 알아보세요.

백서를 읽어보세요

디지털 운영 복원력 법

DORA의 범위와 적용에 대한 이해

DORA는 유럽 연합 내에서 운영되는 다양한 금융 기관에 적용됩니다. 은행과 신용 기관은 전통적인 금융기관과 디지털 금융기관 모두 규제 대상 기관의 핵심입니다. 그러나 DORA의 범위는 전통적인 은행 및 신용 기관을 넘어 다음과 같이 광범위하게 확장됩니다:

지침(EU) 2015/2366에 따라 면제된 결제 기관을 포함한 결제 기관
계정 정보 서비스 제공업체
지침 2009/110/EC에 따라 면제된 전자 화폐 기관을 포함한 전자 화폐 기관
투자 회사
암호화 자산 시장에 관한 유럽의회 및 이사회 규정, (EU) 제1093/2010호 및 (EU) 제1095/2010호, 지침 2013/36/EU 및 (EU) 2019/1937호("암호화 자산 시장에 관한 규정") 개정 규정에 따라 승인된 암호화 자산 서비스 제공자 및 자산 참조 토큰 발행자.
중앙 증권 예탁원
중앙 거래 상대방
거래 장소
거래 리포지토리
대체 투자 펀드 매니저
관리 회사
데이터 보고 서비스 제공업체
보험 및 재보험 사업
보험 중개업자, 재보험 중개업자 및 보조 보험 중개업자
퇴직연금 제공 기관
신용 평가 기관
중요한 벤치마크 관리자
크라우드 펀딩 서비스 제공업체
증권화 리포지토리
ICT 타사 서비스 제공업체

DORA 규정 준수의 핵심 구성 요소는 무엇인가요?

ICT 위험 관리

금융 기관은 여러 계층의 보안 및 감독을 포괄하는 포괄적인 ICT 위험 관리 프레임워크를 구현해야 합니다. 이러한 프레임워크에는 사이버 위협 예방 및 대응을 위한 구체적인 조치를 포함하여 디지털 복원력을 구체적으로 다루는 세부적인 전략과 정책이 필요합니다. 조직은 디지털 인프라 전반의 현재 취약점과 새로운 취약점을 모두 식별하는 정기적인 위험 평가를 수행해야 합니다.

보안 조치에는 민감한 금융 정보를 보호하기 위한 최첨단 암호화 프로토콜과 함께 사용자 권한을 관리하고 데이터 무결성을 유지하는 정교한 액세스 제어 기능이 포함되어야 합니다. 이 프레임워크는 잠재적인 보안 위협과 시스템 성능에 대한 실시간 인사이트를 제공하는 지속적인 모니터링 시스템을 요구합니다. 리스크 관리 절차의 책임성을 보장하기 위해 구체적인 역할과 책임이 부여된 명확한 거버넌스 구조를 확립해야 합니다.

인시던트 관리 및 보고

DORA는 기본적인 사이버 보안 프로토콜을 뛰어넘는 정교한 사고 관리 및 보고 절차를 의무화하고 있습니다. 조직은 명백한 사고와 미묘한 ICT 관련 사고를 모두 식별할 수 있는 강력한 탐지 시스템을 개발하고 유지해야 합니다. 이 요구 사항에는 사전 정의된 기준과 재무 운영에 미치는 잠재적 영향을 기반으로 사고의 심각성을 정확하게 평가하는 다단계 분류 시스템을 구현하는 것이 포함됩니다.

대응 절차, 해결 단계 및 결과 분석에 대한 포괄적인 문서와 함께 상세한 인시던트 로그를 유지해야 합니다. 주요 사고는 정해진 채널을 통해 관련 기관에 신속하게 보고해야 하며, 초기 보고 및 후속 보고에 대한 구체적인 기간이 정해져 있습니다. 조직은 필요한 경우 고객, 파트너, 규제 기관, 미디어 등 다양한 이해관계자 그룹을 대상으로 하는 커뮤니케이션 계획을 수립하고 정기적으로 업데이트해야 합니다.

디지털 운영 복원력 테스트

DORA는 다양한 접근 방식을 통해 디지털 복원력을 체계적으로 테스트해야 합니다. 취약성 평가는 고급 테스트 도구와 방법론을 사용하여 정기적으로 수행하여 ICT 시스템의 잠재적인 취약점을 파악해야 합니다. 독립적인 당사자가 침투 테스트를 수행하여 보안 조치에 대한 편견 없는 평가를 보장하고 잠재적인 침해 지점을 식별해야 합니다. 시나리오 기반 테스트는 실제 사이버 위협과 운영 중단을 시뮬레이션하여 대응 능력과 시스템 복원력을 평가해야 합니다.

보안 조치를 정기적으로 검증하여 진화하는 위협에 대한 지속적인 효과를 보장해야 합니다. 모든 테스트 활동에는 사용된 방법론, 결과 및 수정 단계를 포함한 상세한 문서화가 필요합니다.

타사 위험 관리

DORA는 체계적인 감독과 문서화를 통해 ICT 서비스 제공업체와의 관계를 종합적으로 관리할 것을 강조합니다. 조직은 타사 제공업체의 기술 역량, 보안 조치 및 비즈니스 연속성 계획을 평가하여 철저한 위험 평가를 수행해야 합니다. 서비스 계약은 현행 규제 요건 및 운영상의 요구사항에 부합하는지 확인하기 위해 정기적으로 검토해야 합니다.

조직은 제공되는 특정 서비스, 데이터 액세스 수준, 보안 조치 등 모든 중요 및 비중요 서비스 약정을 문서화한 상세한 공급자 등록부를 유지해야 합니다. 중요한 서비스 약정은 규제 당국에 보고해야 하며, 중요한 변경 사항이 있을 경우 업데이트를 제공해야 합니다. 계약상 의무는 보안 조치, 사고 보고, 감사 권한 등 규정 준수 요건을 명시적으로 다루어야 합니다.

OpenText IT 운영 솔루션은 DORA 규정 준수에 어떻게 도움이 되나요?

OpenText IT 운영 솔루션은 금융 기관이 주요 규제 요건을 해결하는 기술 플랫폼을 통해 DORA 규정 준수를 달성하고 유지할 수 있도록 지원합니다.

OpenText™ Universal Discovery and CMDB 는 조직의 ICT 인프라에 대한 심층적인 가시성을 제공함으로써 DORA 규정 준수를 위한 기본 요소 역할을 합니다. 에이전트리스 및 에이전트 기반 검색 기능을 모두 갖춘 이 솔루션은 보안 VPN 또는 간헐적인 인터넷 연결을 통해 연결된 장치를 포함하여 IT 환경에 대한 포괄적인 뷰를 생성합니다. 멀티클라우드 환경의 이벤트 기반 업데이트를 수행하여 금융 기관이 온프레미스와 클라우드 모두에서 전체 인프라를 실시간으로 정확하게 파악할 수 있도록 합니다. 서비스 매핑 기능을 통해 조직은 변경 사항이 중요한 금융 서비스에 어떤 영향을 미칠지 구현 전에 예측할 수 있으므로 DORA의 위험 관리 및 운영 복원력 요구 사항을 직접적으로 해결할 수 있습니다.

OpenText™ Service Management 는 서비스, 애플리케이션 및 지원 ICT 장비의 명확한 소유권 및 관리를 확립하기 위해 필수적인 ITSM 및 IT 자산 관리 기능을 통합합니다. 이 솔루션에는 사고, 문제, 변경, 릴리스 및 구성 관리 등 DORA 규정 준수를 위한 모든 중요한 요소를 포괄하는 ITIL 인증 모범 사례 템플릿이 포함되어 있습니다. 이러한 템플릿은 조직이 서비스 중단을 최소화하고 ICT 관련 사고를 일관되게 처리하는 자동화된 대응 체인을 구축하여 사고 관리 및 보고에 대한 DORA의 요구 사항을 충족하는 데 도움이 됩니다.

OpenText™ Core Infrastructure Observability 멀티 클라우드 및 온프레미스 리소스에 대한 엔드투엔드 가시성을 제공함으로써 DORA의 모니터링 요구 사항을 해결합니다. AI 기반 이상 징후 탐지 기능을 통해 금융 기관은 잠재적인 문제가 서비스 제공에 영향을 미치기 전에 이를 식별할 수 있습니다. 또한 조직은 네트워크 성능 문제 및 ICT 관련 사고를 비롯한 비정상적인 활동을 신속하게 감지하고 운영 복원력에 영향을 미칠 수 있는 잠재적인 단일 장애 지점을 식별하는 메커니즘을 구축할 수 있습니다.

OpenText™ Core Application Observability 는 애플리케이션 성능과 서비스 제공에 집중하여 인프라 모니터링을 보완합니다. 이 솔루션은 조직이 중요한 금융 서비스 애플리케이션이 최적의 성능과 가용성을 유지할 수 있도록 지원합니다. 포괄적인 근본 원인 분석과 인시던트의 문서화를 가능하게 하여 인시던트 처리 및 해결에 대한 DORA의 요구 사항을 지원합니다. 통합 모니터링 및 후속 조치 기능을 통해 조직은 규제 보고 요건을 충족하면서 일관된 서비스 품질을 유지할 수 있습니다.

DORA 준비 상태: 행동할 시간

DORA는 금융 기관이 디지털 운영 및 리스크 관리에 접근하는 방식에 중대한 변화를 가져올 것입니다. 성공적인 DORA 규정 준수를 위해서는 강력한 기술 솔루션, 명확한 프로세스, 디지털 복원력에 대한 지속적인 노력을 결합한 종합적인 전략이 필요합니다. 조직은 모든 요건을 충족하고 디지털 시대에 필요한 운영 탄력성을 유지하기 위해 2025년 1월 마감일 이전에 규정 준수 여정을 시작해야 합니다. OpenText의 IT 운영 솔루션을 통해 금융 기관은 전반적인 IT 운영 효율성과 보안 태세를 강화하는 동시에 DORA 규정 준수를 위한 강력한 기반을 구축할 수 있습니다.