금융 서비스에서 규정 준수는 종종 벌금이나 평판 손상을 피하기 위해 체크해야 하는 일련의 상자로 여겨집니다. 하지만 디지털 운영 복원력 법(DORA)은 단순한 체크박스가 아닙니다. 이는 규제 당국이 유럽 조직에 기대하는 디지털 리스크 관리 방식에 대한 보다 심층적인 변화를 의미합니다.
CISO와 ID 리더에게 DORA는 규정 준수를 장기적인 위험 감소와 회복탄력성의 원동력으로 전환할 수 있는 기회입니다. 이러한 기회를 실현하려면 ID부터 시작해야 합니다.
금융 기관 내의 모든 디지털 거래는 누가 액세스를 요청하는가라는 기본적인 보안 질문에서 시작됩니다. 점점 더 하이브리드화되고 클라우드에 연결되며 원격으로 지원되는 환경에서 신원 확인 및 제어는 그 어느 때보다 더 복잡하고 중요해졌습니다.
DORA는 안전하고 탄력적인 ID 시스템 없이는 어떤 조직도 위기 상황에서 운영의 연속성을 유지할 수 없다는 사실을 잘 알고 있습니다. ID에 대한 통제력을 잃으면 비즈니스에 대한 통제력도 잃게 됩니다.
기존의 ID 시스템은 오늘날의 위협 환경이나 규제 기대치에 맞게 설계되지 않았습니다. 이러한 시스템은 사후 대응적이고 정책 중심적이며 비밀번호와 수동 프로세스에 크게 의존하는 경우가 많습니다.
일반적인 차이점은 다음과 같습니다:
- 정적 액세스 정책 컨텍스트 위험을 고려하지 않는
- 가시성 부족 실시간 신원 행동으로
- 느린 사고 대응 사일로화된 ID 도구로 인해
- 백업 전략 없음 IAM 시스템이 오프라인 상태인 경우
DORA는 더 많은 것을 기대합니다. 기관들이 운영 복원력 프로그램의 일환으로 신원 위험을 선제적으로 관리할 것을 기대합니다. EU에서 활동하는 금융 기관은 2025년 1월 17일부터 DORA의 시행 단계가 시작되므로 이제 이러한 요건을 준수해야 합니다.
ID 위험 관리는 단순히 접속 제어를 시행하는 것 이상의 의미를 갖습니다. 사용자, 디바이스, 접속 시도로 인해 발생하는 위험을 지속적으로 평가하고 보안 대응을 동적으로 조정하는 것을 의미합니다.
예를 들어
- 사용자가 신뢰할 수 있는 디바이스의 알려진 위치에서 로그인하고 있나요?
- 그들의 행동이 과거 패턴과 일치하나요?
- 소셜 엔지니어링을 나타낼 수 있는 헬프 데스크 요청이 증가했나요?
이러한 신호는 인증 및 액세스 결정을 안내하는 실시간 위험 프로필을 구축하는 데 도움이 됩니다.
RSA의 신원 플랫폼은 DORA의 신원 위험 요건을 해결하기 위해 특별히 설계되었습니다.
- Risk AI 행동 신호를 분석하여 위험한 액세스를 감지하고 차단합니다.
- 헬프 데스크 실시간 확인 인간 상호 작용 지점에서 소셜 엔지니어링 공격을 방지합니다.
- 비밀번호 없는 솔루션 (FIDO2 인증 솔루션, OTP, 생체인식 등) 자격증명 관련 침해 감소
- RSA 거버넌스 및 수명 주기 정책 시행 및 규정 준수 보고 간소화
- 하이브리드 페일오버 시스템 다운 시에도 인증이 계속되도록 보장합니다.
이러한 도구를 함께 사용하면 기관은 동적인 데이터 기반 위험 기능으로 ID를 관리할 수 있습니다.
규정 준수는 출발점입니다. 하지만 DORA의 최소 요구 사항을 뛰어넘는 기관은 더욱 안전하고 민첩하며 신뢰할 수 있는 운영을 구축할 수 있습니다.
지금 ID 위험 관리에 투자하면 CISO는 다음과 같은 효과를 얻을 수 있습니다:
- 침해 가능성 및 영향 감소
- 감사 비용과 복잡성 감소
- 적응형 암호 없는 액세스를 통한 사용자 경험 개선
- 모든 디지털 운영 전반에서 지속적인 복원력 구축
DORA는 정체성에 대해 다시 생각하게 하는 경각심을 불러일으킵니다. 단순한 접속 게이트키퍼가 아니라 중요한 위험 신호이자 회복탄력성의 초석으로 인식해야 합니다.
금융 기관은 RSA를 통해 이러한 문제를 해결하고 규정을 준수하는 데 그치지 않고 선도하는 데 신원을 활용할 수 있습니다.
RSA 웨비나를 시청하세요, DORA와 디지털 위험: 금융 서비스의 신원 보안 강화에서는 신원 보안에 있어 DORA 규정 준수가 실제로 무엇을 의미하는지, DORA 감사에 대비하기 위한 모범 사례, 사용자 권한 부여, 액세스, 인증 및 비즈니스 연속성과 관련된 주요 규정 준수 의무에 대해 알아볼 수 있습니다.
