EU에서 디지털 운영 복원력 법(DORA)을 채택하면서 금융 기관이 사이버 보안, 위험 관리, 운영 연속성에 접근하는 방식에 근본적인 변화가 시작되었습니다. 규제 당국은 처음으로 ID 보안을 지나가는 말로만 언급하는 것이 아니라 규정 준수 구조에 직접 포함시켰습니다.
이러한 변화는 많은 보안 전문가들이 오랫동안 알고 있던 현실, 즉 ID가 디지털 보안의 기반이자 운영 회복탄력성의 핵심이라는 사실을 인정하는 것입니다. 달라진 점, DORA가 ID 보안에 미칠 영향, 금융 기관이 직면한 과제, 2025년 기한까지 조직이 DORA 요건을 충족하기 위해 CISO가 어떻게 준비해야 하는지 살펴보세요.
DORA에 따르면 결제부터 고객 온보딩, 거래 시스템에 이르기까지 금융 기관의 모든 디지털 운영은 안전하고 탄력적이며 지속적으로 이용 가능해야 합니다. 따라서 신원 보안이 가장 중요합니다. 누가 언제, 어디서, 무엇에 액세스하는지 확인할 수 없다면 ID 전략이 무너지기 때문입니다.
새로운 DORA 규제 현실에서 ID는 더 이상 백오피스 IT 기능이 아닙니다. 이제 ID는 리스크 리더, 규정 준수 책임자, 비즈니스 임원 모두가 소유하고 있는 전략적 필수 요소입니다.
DORA의 여러 조항은 직접 또는 암묵적으로 강력한 ID 및 액세스 관리(IAM) 기능을 요구합니다. 예를 들어
- 액세스 제어 및 거버넌스: DORA는 기관이 사용자 액세스 권한을 실시간으로 관리하고 권한 상승 및 무단 액세스를 방지하기 위해 정기적으로 액세스 검토를 수행하도록 의무화하고 있습니다.
- 인증 요구 사항: 다단계 인증(MFA)과 같은 강력한 인증 방법을 사용하면 무단 액세스로부터 시스템을 보호할 수 있습니다.
- 운영 연속성: 기관은 사이버 사고, 중단 또는 장애가 발생하는 동안에도 중요한 기능을 계속 사용할 수 있도록 해야 합니다. 여기에는 강압적인 상황에서도 ID 서비스를 유지하는 것이 포함됩니다.
- 모니터링 및 이상 징후 탐지: 조직은 사이버 사고를 신속하게 탐지, 대응, 복구해야 합니다. 비정상적인 접속 패턴과 같은 신원 관련 이상 징후는 중요한 지표입니다.
이러한 요건은 위험을 인식하는 최신 ID 보안 프로그램의 필요성을 강조합니다.
2025년은 규정 준수가 시행 단계로 넘어가는 해로, DORA를 준수하지 않는 조직은 규정을 준수할 때까지 전 세계 평균 매출액의 21조 3천억 원 또는 일일 평균 매출액의 11조 3천억 원의 벌금이 부과되며, 미준수 조직에 부과되는 일일 벌금이 추가될 수 있습니다. 이제 그 대가가 매우 높습니다.
보안에 대한 투자가 증가했음에도 불구하고 많은 금융 기관은 여전히 보안 및 운영 기능의 신원 관련 공백으로 인해 어려움을 겪고 있습니다:
- 레거시 IAM 시스템 적응성과 가시성이 부족한
- 사일로화된 ID 도구 온프레미스 및 클라우드 환경 전반에 걸쳐
- 취약한 인증 방법 피싱에 취약한
- 수동 거버넌스 프로세스 규정 준수 보고가 느리고 오류가 발생하기 쉬운 경우
이러한 문제로 인해 조직은 공격자뿐만 아니라 규제 조사 및 규정 준수 벌금에 노출될 수 있습니다.
금융 부문의 CISO는 ID 전략을 DORA에 맞게 조정하는 데 앞장서야 합니다. 즉
- 채택 위험 기반 액세스 컨텍스트 및 행동에 따라 제어를 조정하는 모델
- 보장 비즈니스 연속성 인증 및 액세스를 위한 하이브리드 페일오버 지원
- 강화 거버넌스 자동화된 프로비저닝, 검토 및 액세스 인증을 통해
- 포용 비밀번호 없는 인증 일반적인 공격 벡터를 제거하기 위해
RSA는 금융 기관이 회복탄력성의 한 축으로서 ID를 운영할 수 있도록 지원합니다. 보안을 최우선으로 하는 ID 플랫폼, RSA ID Plus, 는 금융과 같은 규제 환경을 위해 만들어졌습니다.
- RSA 리스크 AI 행동 및 상황별 신호를 분석하여 적응형 액세스 정책을 시행합니다.
- RSA 모바일 잠금 관리되지 않거나 손상된 디바이스의 액세스를 보호합니다.
- RSA 아이쉴드 Key 2 시리즈 피싱 방지 FIDO 및 OTP 인증을 지원하는 인증자
- RSA 거버넌스 및 수명 주기 액세스 거버넌스 및 규정 준수 워크플로우 자동화
- RSA 하이브리드 페일오버 정전 중에도 중단 없는 인증 보장
이러한 솔루션을 함께 사용하면 DORA에 부합하고 규정 준수를 넘어 조직을 강화하는 데 필요한 제어 기능을 제공할 수 있습니다.
DORA는 금융 서비스에서 ID의 전환점이 될 것입니다. 이는 IAM을 기술적 문제에서 규제 의무로, 그리고 운영 회복탄력성을 위한 전략적 지원으로 격상시킵니다.
ID 우선 보안 전략을 채택하는 금융 기관은 DORA 요건을 충족할 뿐만 아니라 보안, 민첩성, 고객 신뢰 측면에서 경쟁 우위를 확보할 수 있습니다. 지금이야말로 DORA 시행이 시작되기 전에 ID 태세를 재고해야 할 때입니다.
