DORA, 디지털 리스크, 금융 서비스의 새로운 신원 확인 의무

Q: 금융 기관의 DORA 준수 기한은 정확히 언제인가요?

‘디지털 운영 복원력법(DORA)’은 2023년 1월 16일에 발효되었으며, 2025년 1월 17일부터 전면적으로 적용되기 시작했습니다. 이 날을 기점으로, 해당 법의 적용 대상인 모든 금융 기관과 핵심 ICT 제3자 제공업체는 법규를 준수해야 하며, EU 27개 회원국 전역에서 집행 권한이 발동됩니다. 아직 요건을 충족하지 못한 기관에 대해서는 유예 기간이 없으며, 해당 날짜부터 관할 당국은 조사를 개시하고 제재를 부과할 수 있습니다. 완전한 준수를 위해 여전히 노력 중인 기관의 경우, 특히 하룻밤 사이에 현대화할 수 없는 복잡한 레거시 신원 관리 인프라에 대해, 문서화되어 있고 적극적으로 진행 중인 준수 프로그램을 입증하는 것이 최우선 과제입니다.

Q: DORA 미준수 시 구체적으로 어떤 제재가 부과되나요?

DORA는 2단계 제재 체계를 마련하고 있습니다. 금융 기관은 전 세계 연간 총 매출액의 최대 2% 또는 전 세계 일일 평균 매출액의 1%에 해당하는 과징금(관할 당국의 평가에 따라 적용 가능한 금액 중 더 높은 금액)을 부과받으며, 일일 과징금율은 규정 준수가 달성될 때까지 지속적 과징금으로 적용됩니다. 위반에 대한 책임이 있는 것으로 판명된 개별 고위 경영진은 최대 1,000,000유로의 개인 과태료를 부과받을 수 있습니다. 유럽 감독 당국이 지정한 핵심 제3자 ICT 제공업체(CTPP)는 더 가혹한 제재에 직면하게 됩니다: 위반 건당 최대 5,000,000유로, 개인별 과태료는 최대 500,000유로이며, 여기에 최대 6개월 동안 전 세계 일평균 매출액의 1%에 해당하는 일일 과태료가 부과됩니다. 금전적 제재 외에도, 관할 당국은 DORA 위반 사실을 공개할 수 있으며, 이로 인해 발생하는 평판 위험은 규제 대상 금융 기관의 경우 벌금 자체로 인한 금전적 비용을 초과할 수도 있습니다.

Q: 어떤 금융 기관이 DORA 요건의 적용을 받나요?

DORA는 사실상 EU 금융 부문 전체에 적용됩니다. 적용 대상 기관에는 신용기관, 결제 및 전자화폐 기관, 투자회사, 암호자산 서비스 제공자(CASPs), 중앙증권예탁기관, 중앙청산소, 거래소, 대체투자펀드 운용사, 보험 및 재보험 사업자, 신용평가기관, 공익기관 감사법인, 크라우드펀딩 서비스 제공자가 포함됩니다. 중요한 점은 DORA의 적용 범위가 EU에 본사를 둔 기관을 넘어선다는 것입니다. EU 내에서 운영되는 비EU 금융 기관과, EU 적용 대상 금융 기관에 서비스를 제공하는 ICT 제3자 서비스 제공업체(클라우드 제공업체 포함) 역시 제30조의 계약 조항에 따라 DORA 요건의 적용을 받습니다. EU 내에서 사업을 영위하거나 EU에 기반을 둔 고객을 보유한 미국 소재 금융 서비스 기업은 자사가 적용 대상에서 제외된다고 가정해서는 안 됩니다.

Q: DORA는 PSD2와 같은 다른 EU 금융 규제와 어떻게 다른가요?

지불 서비스 지침 2(PSD2)는 특히 디지털 결제의 보안을 중점적으로 다루었으며, 지불 서비스 제공업체가 중대 사고를 발견한 후 2시간 이내에 규제 당국에 보고할 것을 의무화했습니다. DORA는 두 프레임워크 모두의 적용을 받는 모든 기관에 대해 PSD2의 사고 보고 규정을 대체합니다. 유럽은행감독청(EBA)은 2025년 1월 17일부터 PSD2 중대 사고 보고 지침을 공식적으로 폐지하고, 이를 DORA의 통합된 프레임워크로 대체했습니다. 핵심적인 차이점은 적용 범위입니다. PSD2는 결제 보안을 다루는 반면, DORA는 결제 관련 사고뿐만 아니라 모든 운영 및 보안 사고에 대해 모든 금융 기관의 전체 ICT 위험 현황을 다룹니다. DORA의 사고 보고 일정은 더욱 체계적으로 구성되어 있습니다. 초기 통보는 24시간 이내, 중간 보고는 72시간 이내, 최종 보고는 1개월 이내에 이루어져야 합니다. 또한 DORA는 핵심 ICT 제3자에 대한 직접적인 감독 권한을 도입했는데, 이는 PSD2에는 없는 책임성 확보 메커니즘입니다.

Q: DORA에 따라 금융 기관에서 사이버 사고가 발생하면 어떻게 되나요?

DORA 제17조 및 제19조에 따라, 기관은 정해진 사고 대응 및 보고 절차를 따라야 합니다. 먼저, 사고를 탐지하고, 기록하며, 분류해야 합니다. DORA는 서비스 가용성에 미치는 영향, 영향을 받은 고객 수, 지리적 확산 범위, 경제적 영향 등을 기준으로 “중대” 사고를 구성하는 요소를 정의하고 있습니다. 중대 사고로 분류되면 보고 기한이 시작됩니다. 중대 사고로 분류된 후 24시간 이내에 관할 당국에 초기 통지 72시간 이내에 사고에 대한 상세한 설명, 취해진 대응 조치 및 초기 근본 원인 평가를 포함한 중간 보고서 제출 중간 보고서 제출 후 1개월 이내에, 사고 후 전체 분석, 영구적인 시정 조치 및 교훈을 포함한 최종 보고서를 제출해야 합니다. 사고 발생 기간 내내 신원 확인 및 인증 서비스는 계속 가동되어야 합니다. DORA는 비즈니스 연속성 계획에 접근 및 인증 시스템을 포함한 ICT 인프라가 반드시 포함되어야 한다고 명시적으로 요구합니다. 즉, 기관은 진행 중인 사고를 이유로 인증 시스템이 이용 불가능한 상황을 정당화할 수 없습니다.

Q: DORA 준수를 입증하기 위해서는 어떤 서류가 필요한가요?

DORA는 금융기관이 다음 사항을 유지 관리하고 요청 시 제출할 수 있도록 요구합니다. ICT 위험 관리 프레임워크 문서 — DORA의 요구 사항에 부합하는 정책, 절차 및 통제 조치로, 경영진이 최소 연 1회 검토 및 승인한 것 접근 권한 검토 기록 — 최소 권한 원칙의 이행 및 퇴사한 직원에 대한 적시 권한 해제, 역할 변경 시의 적시 권한 해제를 입증하는, 문서화되고 타임스탬프가 기재된 접근 권한 인증 주기 사고 기록부 — 모든 ICT 관련 사고에 대한 완전한 로그, 해당 사고의 분류, 시간대, 대응 조치 및 결과 중대 사고 보고서 — DORA의 중대 사고 분류 기준을 충족하는 모든 사고에 대해 제출된 모든 통지서(초기, 중간, 최종) 제3자 ICT 계약 — 클라우드 인증 및 신원 관리 공급업체를 포함한 모든 ICT 서비스 제공업체와 체결한 제30조 준수 계약서 비즈니스 연속성 및 재해 복구 계획 — 인증 시스템 가용성을 다루는 문서화되고 테스트를 거친 계획으로, 시뮬레이션을 통해 기록된 RTO/RPO 결과를 포함 RSA Governance & Lifecycle은 접근 검토 기록 및 규정 준수 보고서의 생성 및 유지 관리를 자동화하여, 감사 준비가 완료된 문서를 작성하는 데 소요되는 시간을 몇 주에서 몇 시간으로 단축합니다.

2025년 DORA 마감일 준비하기

이 블로그는 2025년에 처음 게시되었으며 업데이트되었습니다.

EU에서 디지털 운영 복원력 법(DORA)을 채택하면서 금융 기관이 사이버 보안, 위험 관리, 운영 연속성에 접근하는 방식에 근본적인 변화가 시작되었습니다. 규제 당국은 처음으로 ID 보안을 지나가는 말로만 언급하는 것이 아니라 규정 준수 구조에 직접 포함시켰습니다.

이러한 변화는 많은 보안 전문가들이 오랫동안 알고 있던 현실, 즉 ID가 디지털 보안의 기반이자 운영 회복탄력성의 핵심이라는 사실을 인정하는 것입니다. 달라진 점, DORA가 ID 보안에 미칠 영향, 금융 기관이 직면한 과제, 2025년 기한까지 조직이 DORA 요건을 충족하기 위해 CISO가 어떻게 준비해야 하는지 살펴보세요.

ID 보안은 더 이상 IT 부서만의 업무가 아닙니다.

DORA에 따르면 결제부터 고객 온보딩, 거래 시스템에 이르기까지 금융 기관의 모든 디지털 운영은 안전하고 탄력적이며 지속적으로 이용 가능해야 합니다. 따라서 신원 보안이 가장 중요합니다. 누가 언제, 어디서, 무엇에 액세스하는지 확인할 수 없다면 ID 전략이 무너지기 때문입니다.

새로운 DORA 규제 현실에서 ID는 더 이상 백오피스 IT 기능이 아닙니다. 이제 ID는 리스크 리더, 규정 준수 책임자, 비즈니스 임원 모두가 소유하고 있는 전략적 필수 요소입니다.

DORA가 ID 보안에 미치는 영향

DORA의 여러 조항은 직접 또는 암묵적으로 강력한 ID 및 액세스 관리(IAM) 기능을 요구합니다. 예를 들어

액세스 제어 및 거버넌스: DORA는 기관이 사용자 액세스 권한을 실시간으로 관리하고 권한 상승 및 무단 액세스를 방지하기 위해 정기적으로 액세스 검토를 수행하도록 의무화하고 있습니다.
인증 요구 사항: 다단계 인증(MFA)과 같은 강력한 인증 방법을 사용하면 무단 액세스로부터 시스템을 보호할 수 있습니다.
운영 연속성: 기관은 사이버 사고, 중단 또는 장애가 발생하는 동안에도 중요한 기능을 계속 사용할 수 있도록 해야 합니다. 여기에는 강압적인 상황에서도 ID 서비스를 유지하는 것이 포함됩니다.
모니터링 및 이상 징후 탐지: 조직은 사이버 사고를 신속하게 탐지, 대응, 복구해야 합니다. 비정상적인 접속 패턴과 같은 신원 관련 이상 징후는 중요한 지표입니다.

이러한 요건은 위험을 인식하는 최신 ID 보안 프로그램의 필요성을 강조합니다.

2025년은 규정 준수가 시행 단계로 넘어가는 해로, DORA를 준수하지 않는 조직은 규정을 준수할 때까지 전 세계 평균 매출액의 21조 3천억 원 또는 일일 평균 매출액의 11조 3천억 원의 벌금이 부과되며, 미준수 조직에 부과되는 일일 벌금이 추가될 수 있습니다. 이제 그 대가가 매우 높습니다.

금융 기관이 직면한 신원 확인 과제

보안에 대한 투자가 증가했음에도 불구하고 많은 금융 기관은 여전히 보안 및 운영 기능의 신원 관련 공백으로 인해 어려움을 겪고 있습니다:

레거시 IAM 시스템 적응성과 가시성이 부족한
사일로화된 ID 도구 온프레미스 및 클라우드 환경 전반에 걸쳐
취약한 인증 방법 피싱에 취약한
수동 거버넌스 프로세스 규정 준수 보고가 느리고 오류가 발생하기 쉬운 경우

이러한 문제로 인해 조직은 공격자뿐만 아니라 규제 조사 및 규정 준수 벌금에 노출될 수 있습니다.

이것이 CISO에게 의미하는 바

금융 부문의 CISO는 ID 전략을 DORA에 맞게 조정하는 데 앞장서야 합니다. 즉

채택 위험 기반 액세스 컨텍스트 및 행동에 따라 제어를 조정하는 모델
보장 비즈니스 연속성 인증 및 액세스를 위한 하이브리드 페일오버 지원
강화 거버넌스 자동화된 프로비저닝, 검토 및 액세스 인증을 통해
포용 비밀번호 없는 인증 일반적인 공격 벡터를 제거하기 위해

DORA 적용 사례: 실제 사례

DORA의 규정 문구는 명확하지만, 각 조직의 규모, 구조 및 현재 상황에 따라 이행 방식은 달라집니다. 다음 시나리오들은 서로 다른 특성을 가진 금융 서비스 조직들이 실제로 DORA 준수를 어떻게 추진하고 있는지를 보여줍니다.

시나리오 1: DORA 시행을 준비 중인 유럽의 대형 은행

도전 과제 12개국에서 사업을 영위하는 한 주요 EU 소매 은행은 공통된 문제에 직면해 있습니다. 수십 년에 걸친 인수합병을 통해 신원 관리 인프라가 확장되면서, 7개의 별도 IAM 시스템이 존재하고, 사업부별로 다릅니다. 또한, 접근 권한 검토 주기가 최대 30일까지 소요되는 상황입니다. DORA 제9조에 명시된 접근 제어 및 지속적인 거버넌스 요건에 비추어 볼 때, 이러한 분산된 구조는 규정 준수상의 결함이자 운영상의 위험을 동시에 초래합니다.

적용되는 DORA 요건

제9조: ICT 위험 관리 체계, 접근 통제 및 최소 권한 원칙의 이행
제10조: 이상 활동 및 ICT 관련 사고의 탐지
제17조: ICT 관련 사고 관리 절차

구현 단계

신원 관리 시스템을 통합된 플랫폼으로 통합합니다 (RSA ID Plus) 모든 자회사 전반에 걸쳐 클라우드, 온프레미스 및 하이브리드 환경을 지원합니다.
피싱에 강한 MFA를 도입하세요 (RSA iShield Key 2 시리즈) 90일 이내에 모든 특권 계정 및 관리자 계정에 대해.
다음 도구를 사용하여 액세스 인증 및 프로비저닝 워크플로를 자동화하세요. RSA 거버넌스 및 수명 주기, 수작업으로 스프레드시트를 통해 진행하던 검토 과정을 대체합니다.
활성화 RSA 리스크 AI 지속적인 행동 분석 및 실시간 이상 탐지를 위해.
DORA 규정 준수 보고 대시보드에 직접 연동되는 중앙 집중식 IAM 감사 추적을 구축합니다.

성과 지표

심사 기간이 30일에서 3일로 단축되었습니다.
플랫폼 배포 후 60일 이내에 피싱 방지 다단계 인증(MFA)에 등록된 특권 계정 100%
분기별로 자동으로 생성되는 감사 대비 접근 권한 인증 보고서
첫 번째 DORA 규제 점검에서 인증 관련 사고는 단 한 건도 적발되지 않았다

핵심 교훈 통합은 단순한 규정 준수 프로젝트가 아니라, 회복탄력성 강화 프로젝트입니다. 통합된 IAM 플랫폼은 서로 연결되지 않은 시스템 간의 이음매에 존재하는 사각지대를 제거해 주며, 바로 그곳이 공격자들이 취약점을 노리는 곳입니다.

시나리오 2: 하이브리드 인프라를 관리하는 중견 금융 서비스 기업

도전 과제 핵심 거래 시스템은 온프레미스에, 고객용 애플리케이션은 Azure에 구축되어 있으며, 사업 전반에 걸쳐 다양한 SaaS 도구가 혼합되어 사용되고 있습니다. 과거 클라우드 서비스 중단이나 온프레미스 네트워크 장애가 발생했을 때, 인증 오류로 인해 직원들이 몇 시간 동안 핵심 시스템에 접속하지 못했던 적이 있었는데, 이는 DORA 제11조에 명시된 운영 연속성 요건을 명백히 위반한 사례였습니다.

적용되는 DORA 요건

제11조: ICT 사업 연속성 및 재해 복구
제9조: 네트워크 및 시스템 접근 통제
제30조: ICT 제3자 서비스 제공자에 대한 계약상 요건

구현 단계

배포 RSA ID 플러스 하이브리드 페일오버 클라우드 또는 온프레미스 구성 요소에 장애가 발생하더라도 인증 서비스를 지속적으로 이용할 수 있도록 보장하며, 환경 간 자동 페일오버를 60초 이내에 수행합니다.
구현 RSA 모바일 잠금 모바일 기기나 관리 대상이 아닌 기기를 통해 거래 시스템에 접속하는 직원에 대해 기기 상태 점검을 의무화하기 위해.
모든 ICT 제3자 인증 관련 종속 관계를 파악하고, 제30조에 따른 DORA 준수 여부를 계약상 기준으로 검증한다.
인증 시스템 장애 시나리오를 포함한 분기별 재해 복구 시뮬레이션을 실시하고, 규제 당국의 검토를 위해 복구 시간 목표(RTO) 및 복구 지점 목표(RPO)를 문서화해야 합니다.

성과 지표

인프라 장애 발생 시 인증 가용성이 67%에서 99.9%로 향상되었습니다.
신원 확인 서비스의 RTO가 4시간에서 3분 미만으로 단축되었습니다.
12개월의 준비 기간 내에 모든 ICT 제3자 계약을 DORA가 의무화한 복원력 관련 조항을 포함하도록 갱신했다
복구 시뮬레이션 결과가 문서화되어 있으며, 관할 당국의 검토를 받을 준비가 되어 있습니다.

핵심 교훈 DORA에 따른 운영 연속성은 단순히 공격을 방지하는 데 그치는 것이 아니라, 공격이 발생하는 동안에도 기능을 유지하는 것을 의미합니다. 인증을 위한 하이브리드 페일오버는 강력한 인증 자체만큼이나 DORA 준수에 있어 매우 중요합니다.

시나리오 3: DORA에 따라 사이버 사고에 대응하는 투자 운용사

도전 과제 자산 운용 규모(AUM)가 400억 유로인 EU 소재 자산 운용사가 자사의 펀드 관리 플랫폼을 겨냥한 인증 정보 기반 공격을 당했습니다. 중간자 공격(Man-in-the-Middle) 방식의 피싱 캠페인을 통해 서비스 계정이 해킹당했고, 이로 인해 네트워크 내에서 수평 이동이 가능해졌습니다. DORA의 사고 분류 및 보고 체계에 따라, 해당 조직은 사고를 “중대” 등급으로 분류한 후 24시간 이내에 관할 당국에 통보해야 하며, 72시간 이내에 중간 보고서를, 1개월 이내에 최종 보고서를 제출해야 합니다.

적용되는 DORA 요건

제17조: ICT 관련 사고 관리, 분류 및 보고
제19조: 중대 사고 보고 의무 및 기한
제9조: 사고 발생 시에도 계속 가동되어야 하는 인증 및 접근 제어

사건 경과 및 대응 조치

0시간: RSA Risk AI는 비정상적인 인증 행위, 즉 서비스 계정이 평소와 다른 지리적 위치에서 로그인하거나 정상적인 접근 패턴을 벗어난 시스템에 접근하는 경우를 감지합니다. 이에 따라 조사가 완료될 때까지 자동 접근 차단 조치가 발동됩니다.
2시간 차: 보안팀이 계정 침해 사실을 확인했습니다. RSA ID Plus를 통해 60초도 채 되지 않아 해당 계정의 접근 권한이 해제되었습니다. 횡방향 이동은 차단되었습니다.
6시간째: 내부 분류 결과, 핵심 시스템의 가용성에 미치는 영향을 고려할 때 이 사건이 DORA의 “중대 사고” 기준에 부합하는 것으로 확인되었습니다.
18시간째: 24시간 이내의 요건을 준수하여 관할 당국에 제출된 초기 신고서에는 사고 유형, 분류 근거 및 취해진 즉각적인 대응 조치가 포함되어야 한다.
60시간째: 72시간 이내의 요건에 따라 중간 보고서를 제출하였으며, 여기에는 사고의 전체 시간대별 경과, 근본 원인 분석(해킹당한 계정의 피싱에 취약한 다단계 인증), 영향을 받은 시스템 및 시정 조치가 포함되었습니다.
4주차: 사고 후 검토 결과, 시행된 통제 개선 조치(모든 서비스 계정에 피싱 방지 다단계 인증(MFA) 도입) 및 모니터링 기준치 변경 사항을 포함한 최종 사고 보고서가 제출되었습니다.

성과 지표

사건은 발견 후 2시간 이내에 수습됨
DORA 보고 기한 3가지 모두 준수함—24시간 내 초기 보고, 72시간 내 중간 보고, 1개월 내 최종 보고
인증 페일오버 덕분에 사고 발생 중에도 펀드 관리 서비스에 차질이 전혀 발생하지 않았습니다.
즉시 시정 조치: 사고 발생 후 30일 이내에 100%개의 서비스 계정을 피싱 방지 인증 방식으로 전환

핵심 교훈 DORA의 사고 보고 요건은 신속한 탐지 및 차단에 이미 투자한 조직에 인센티브를 제공합니다. RSA 리스크 AI 행동 분석을 통해 공격 개시부터 차단까지 소요되는 시간을 잠재적 평균 254일(인증 정보 유출 사고에 대한 업계 표준)에서 2시간 미만으로 단축함으로써, 규정 준수 관련 설명을 “유출 사고가 발생했다”에서 “DORA 프레임워크에 따라 탐지, 차단 및 보고를 완료했다”로 전환시켰습니다.”

DORA 준수 ID 보안에 대한 RSA의 접근 방식

RSA는 금융 기관이 회복탄력성의 한 축으로서 ID를 운영할 수 있도록 지원합니다. 보안을 최우선으로 하는 ID 플랫폼, RSA ID Plus, 는 금융과 같은 규제 환경을 위해 만들어졌습니다.

RSA 리스크 AI 행동 및 상황별 신호를 분석하여 적응형 액세스 정책을 시행합니다.
RSA 모바일 잠금 관리되지 않거나 손상된 디바이스의 액세스를 보호합니다.
RSA 아이쉴드 Key 2 시리즈 피싱 방지 FIDO 및 OTP 인증을 지원하는 인증자
RSA 거버넌스 및 수명 주기 액세스 거버넌스 및 규정 준수 워크플로우 자동화
RSA 하이브리드 페일오버 정전 중에도 중단 없는 인증 보장

이러한 솔루션을 함께 사용하면 DORA에 부합하고 규정 준수를 넘어 조직을 강화하는 데 필요한 제어 기능을 제공할 수 있습니다.

DORA는 금융 서비스에서 ID의 전환점이 될 것입니다. 이는 IAM을 기술적 문제에서 규제 의무로, 그리고 운영 회복탄력성을 위한 전략적 지원으로 격상시킵니다.

ID 우선 보안 전략을 채택하는 금융 기관은 DORA 요건을 충족할 뿐만 아니라 보안, 민첩성, 고객 신뢰 측면에서 경쟁 우위를 확보할 수 있습니다. 지금이야말로 DORA 시행이 시작되기 전에 ID 태세를 재고해야 할 때입니다.

DORA 준수 관련 자주 묻는 질문

금융 기관의 DORA 준수 기한은 정확히 언제인가요?

‘디지털 운영 복원력법(DORA)’은 2023년 1월 16일에 발효되었으며, 다음 날짜부터 전면적으로 적용되기 시작했습니다. 2025년 1월 17일 — 이 날짜부터 모든 해당 금융 기관 및 핵심 ICT 제3자 공급업체는 관련 규정을 준수해야 하며, EU 27개 회원국 전역에서 집행 권한이 발동된다. 아직 요건을 충족하지 못한 기관에 대해서는 유예 기간이 없으며, 관할 당국은 해당 날짜부터 조사에 착수하고 제재를 부과할 수 있다.

아직 완전한 규정 준수를 위해 노력 중인 기관의 경우, 특히 하룻밤 사이에 현대화할 수 없는 복잡한 기존 신원 관리 인프라에 대해, 문서화되어 있고 적극적으로 진행 중인 규정 준수 프로그램을 입증하는 것이 최우선 과제입니다.

DORA 미준수 시 구체적으로 어떤 제재가 부과되나요?

DORA는 2단계 제재 체계를 마련하고 있다. 금융 기관 최대 전 세계 연간 총 매출의 2% 또는 전 세계 일일 평균 거래량의 1%—관할 당국의 평가에 따라 해당되는 사항—을 기준으로, 규정 준수가 이루어질 때까지 일일 과징금을 계속 부과합니다. 위반에 대한 책임이 있는 것으로 판명된 개별 고위 경영진은 최대 €1,000,000.

중요 제3자 ICT 공급업체(CTPP) 유럽 감독 당국이 지정한 기관들은 더 큰 위험에 직면해 있으며, 그 규모는 최대 €5,000,000 위반 건당, 개인에 대한 과태료는 최대 €500,000, 여기에 매일 최대 전 세계 일일 평균 거래량의 1% 최대 6개월까지 부과될 수 있습니다. 과태료 외에도, 관할 당국은 DORA 위반 사실을 공개할 수 있으며, 이로 인해 발생하는 평판 위험은 규제 대상 금융 기관의 경우 과태료 자체로 인한 재정적 비용을 상회할 수도 있습니다.

어떤 금융 기관이 DORA 요건의 적용을 받나요?

DORA는 사실상 EU 금융 부문 전체에 적용됩니다. 이 법의 적용 대상에는 신용기관, 결제 및 전자화폐 기관, 투자회사, 암호자산 서비스 제공자(CASPs), 중앙증권예탁기관, 중앙청산소, 거래소, 대체투자펀드 운용사, 보험 및 재보험 사업자, 신용평가기관, 공익기업 감사법인, 크라우드펀딩 서비스 제공자가 포함됩니다.

중요한 점은 DORA의 적용 범위가 EU에 본사를 둔 기관을 넘어선다는 것입니다. EU 내에서 운영되는 비EU 금융 기관과, EU 적용 대상 금융 기관에 서비스를 제공하는 ICT 제3자 서비스 제공업체(클라우드 제공업체 포함) 역시 제30조의 계약 관련 규정에 따라 DORA 요건의 적용을 받습니다. EU 내에서 사업을 영위하거나 EU에 기반을 둔 고객을 보유한 미국 소재 금융 서비스 기업들은 자신들이 적용 대상에서 제외된다고 가정해서는 안 됩니다.

DORA는 구체적으로 어떤 신원 보안 통제 조치를 요구하고 있습니까?

DORA는 특정 기술을 규정하지는 않지만, 제9조 및 제10조에 명시된 위험 관리 및 접근 제어 요건은 의무적인 IAM 기능으로 직접 연결됩니다. 금융 기관은 다음 사항을 이행해야 합니다.

강력한 인증 모든 시스템에 대해: 다단계 인증(MFA)에 대한 정책 및 프로토콜을 반드시 마련해야 하며, 특권 액세스 및 고위험 액세스의 경우 피싱 공격에 강한 방식을 사용할 것을 권장합니다.
최소 권한 기반 접근 제어: 사용자와 시스템은 각자의 기능 수행에 필요한 접근 권한만을 부여받아야 하며, 이러한 권한은 지속적으로 검토되고 실시간으로 조정되어야 한다.
액세스 거버넌스: 권한 남용을 방지하기 위해 정기적이고 문서화된 접근 권한 검토 및 인증 주기를 실시해야 하며, 자동화된 권한 부여 및 회수 절차가 마련되어야 합니다.
이상 탐지: 인증 및 접근 패턴을 지속적으로 모니터링함으로써, 보안 침해의 징후가 되는 비정상적인 활동을 탐지하고 이에 대응할 수 있습니다.
신원 확인 서비스의 운영 연속성: 인증 인프라는 사이버 사고 및 서비스 중단 상황에서도 가용성을 유지해야 하며, 이에 대한 복구 목표가 문서화되어 있어야 합니다.
감사 추적 기록 관리: 모든 신원 및 접근 이벤트에 대한 포괄적이고 변조 방지 기능이 있는 로그를 규제 당국의 검토 및 사고 조사에 활용할 수 있도록 확보해야 합니다.

금융 서비스용 RSA ID 플러스 이러한 요구 사항 각각에 직접적으로 부합합니다.

DORA는 PSD2와 같은 다른 EU 금융 규제와 어떻게 다른가요?

지불 서비스 지침 2(PSD2)는 특히 디지털 결제의 보안에 중점을 두었으며, 지불 서비스 제공업체가 중대 사고를 발견한 후 2시간 이내에 규제 당국에 보고할 것을 의무화했습니다. DORA는 두 지침의 적용을 모두 받는 모든 기관에 대해 PSD2의 사고 보고 규정을 대체합니다. 유럽은행감독청(EBA)은 2025년 1월 17일부터 PSD2의 중대 사고 보고 지침을 공식적으로 폐지하고, 이를 DORA의 통합된 체계로 대체했습니다.

핵심적인 차이점은 적용 범위입니다. PSD2는 결제 보안을 다루는 반면, DORA는 모든 금융 기관의 전체 ICT 위험 현황을 포괄하며, 결제 관련 사고뿐만 아니라 모든 운영 및 보안 사고를 다룹니다. 또한 DORA의 사고 보고 일정은 더 체계적으로 정해져 있습니다: 24시간 초기 통지를 위해, 72시간 중간 보고서를 위해, 그리고 한 달 최종 보고서를 위해. 또한 DORA는 핵심 ICT 제3자에 대한 직접적인 감독 권한을 도입하는데, 이는 PSD2에는 유례가 없는 책임성 확보 장치입니다.

DORA에 따라 금융 기관에서 사이버 사고가 발생하면 어떻게 되나요?

DORA 제17조 및 제19조에 따라, 기관은 정해진 사고 대응 및 보고 절차를 준수해야 합니다. 먼저, 사고를 탐지하고, 기록하며, 분류해야 합니다. DORA는 서비스 가용성에 미치는 영향, 영향을 받은 고객 수, 지리적 확산 범위, 경제적 영향 등을 기준으로 “중대” 사고를 구성하는 요소를 정의하고 있습니다. 일단 중대 사고로 분류되면 보고 기한이 시작됩니다:

초기 통지 관할 당국에 다음 기간 내에 24시간 중대 사고로 분류되는 경우
중간 보고서 내 72시간 해당 사건에 대한 상세한 설명, 취해진 대응 조치 및 초기 근본 원인 분석이 포함되어 있습니다
최종 보고서 내 한 달 중간 보고서의 내용으로, 사고 후 종합 분석, 영구적인 시정 조치 및 교훈을 포함한다

사고 발생 기간 내내 신원 확인 및 인증 서비스는 정상적으로 운영되어야 합니다. DORA는 사업 연속성 계획에 접근 및 인증 시스템을 포함한 ICT 인프라가 반드시 포함되어야 한다고 명시하고 있으며, 기관은 진행 중인 사고를 이유로 인증 시스템이 이용 불가능한 상황을 정당화할 수 없습니다.

클라우드 기반 신원 관리 솔루션이 DORA 요건을 충족할 수 있을까?

네, 단 해당 클라우드 기반 솔루션과 그 계약 조건이 DORA 제30조에 명시된 제3자 ICT 공급자 요건을 충족하는 경우에 한합니다. 클라우드 신원 인증 공급자는 서비스 가용성, 사고 통지 기한, 감사 권한 및 데이터 이동성에 관한 계약상 보장을 제공해야 합니다. 하이브리드 장애 복구 기능이 없는 클라우드 인증 서비스에만 전적으로 의존하는 기관은 DORA가 요구하는 운영 연속성을 입증하는 데 어려움을 겪을 수 있습니다.

RSA ID Plus 이 솔루션은 바로 이러한 과제를 해결하기 위해 특별히 설계되었습니다. 단일 플랫폼에서 클라우드, 하이브리드 및 온프레미스 인증을 지원하며, 하이브리드 장애 조치 클라우드 연결이 중단되더라도 인증 서비스가 계속 이용 가능하도록 보장합니다. 즉, 중앙 집중식 관리, 자동 업데이트, 확장성 등 클라우드 관리가 제공하는 규정 준수상의 이점을 누리면서도, 규제 당국이 면밀히 검토하고 있는 단일 장애 지점(SPOF)의 위험은 피할 수 있습니다.

DORA 준수를 입증하기 위해서는 어떤 서류가 필요한가요?

DORA는 금융기관이 다음 사항을 보관하고 요청 시 제출할 수 있도록 할 것을 요구합니다:

ICT 위험 관리 프레임워크 문서—DORA 요건에 부합하도록 수립된 정책, 절차 및 통제 조치로, 경영진이 적어도 연 1회 검토 및 승인하는 것
검토 기록 열람—최소 권한 원칙의 이행 및 퇴사한 직원에 대한 적시 권한 해제, 역할 변경 시의 적시 권한 해제를 입증하는, 기록이 남고 타임스탬프가 찍힌 접근 인증 주기
사고 기록부—모든 ICT 관련 사고에 대한 전체 기록, 사고 분류, 시간대별 경과, 대응 조치 및 결과
중대 사고 보고서—DORA의 주요 분류 기준을 충족하는 모든 사고에 대해 제출된 모든 통지서(초기, 중간, 최종)
제3자 ICT 계약—클라우드 인증 및 신원 관리 업체를 포함한 모든 ICT 서비스 제공업체와 체결한 제30조 준수 계약
사업 연속성 및 재해 복구 계획—인증 시스템 가용성을 다루는 문서화되고 검증된 계획으로, 시뮬레이션을 통해 기록된 RTO/RPO 결과가 포함되어 있음

RSA 거버넌스 및 수명 주기 접근 검토 기록 및 규정 준수 보고서의 생성 및 관리를 자동화하여, 감사에 바로 제출할 수 있는 문서를 작성하는 데 소요되는 시간을 몇 주에서 몇 시간으로 단축합니다.

DORA, 디지털 리스크, 금융 서비스의 새로운 신원 확인 의무

시나리오 1: DORA 시행을 준비 중인 유럽의 대형 은행

시나리오 2: 하이브리드 인프라를 관리하는 중견 금융 서비스 기업

시나리오 3: DORA에 따라 사이버 사고에 대응하는 투자 운용사

데모 요청하기