최근 퓨어스토리지가 발표한 백서 “금융 서비스의 운영 복원력 강화(영문자료)”는 운영 복원력이 어떻게 금융 업계의 주요 문제로 대두되었는지 살펴봅니다. 연결된 시스템들이 늘어나고 사이버 범죄와 기타 위협이 증가하면서, 운영 복원력 향상을 위해 훨씬 더 많은 조치를 취해야 한다는 사실이 강조되고 있습니다.
규제 당국도 이에 주목하여 복원력에 대한 규제를 강화하고 있습니다. 이러한 경향은 유럽연합(EU)의 디지털 운영 복원력 법(Digital Operational Resilience Act, DORA, 영문자료)과 2022년에 영국에서 발효된 새로운 운영 복원력 체제로 두드러지게 나타나고 있습니다. 다음은 변화하는 규제 환경에 대응하는 데 필요한 핵심 요소와 관련해 모든 금융 서비스 기업이 알아야 할 주요 사항입니다.
집행에 앞장선 영국
첫 번째 운영 복원력 지침은 EU에서 영국보다 몇 달 앞서 발효되었지만, 2022년 말 영국 은행(BoE)에서 발생한 금융 사고와 관련해 영국 당국이 거의 6천만 달러에 달하는 벌금을 부과하면서 영국측 지침이 집행의 측면에서 주도권을 잡았습니다. 이러한 조치는 영국 은행과 함께 금융 감독 당국(FCA)과 건전성감독청(PRA)이 2021년 3월에 운영 복원력 정책을 발표한 후에 이뤄진 것입니다. 지침은 2022년 4월에 발효되었으며 다가오는 2025년이 되면 지속적으로 완전하게 준수를 해야 합니다.
이 새로운 체계는 운영 중단을 예방, 적응, 대응, 복구 및 학습할 필요성을 강조합니다. FCA, BoE 및 PRA는 “중요한 제3자”가 제기하는 시스템적 위험을 관리하도록 설계된 운영 복원력 정책을 수립 및 구현하는 데 매우 포괄적인 접근 방식을 취합니다.
EU의 DORA에 대해 금융 서비스 기업이 알아야 하는 5가지 사항
영국의 운영 복원력 체계도 까다롭지만, EU의 디지털 운영 복원력 법(DORA)은 운영 복원력과 사이버 보안에 대한 가장 포괄적이고 규범적인 접근 방식입니다. 영국의 정책과 마찬가지로, 2025년까지 완전하게 실행이 되어야 하기 때문에 기업들은 지금부터 준비를 해야 합니다. 금융 서비스를 제공하는 기업이 DORA에 대해 알아야 할 5가지 중요한 사항은 다음과 같습니다.
- 다섯 가지 주축:지금까지 제정된 가장 광범위한 규정인 DORA의 다섯 가지 주축은 다음과 같습니다.
- 정보 통신 기술(ICT) 위험 관리
- 인시던트 보고
- 디지털 운영 복원력 테스트
- 타사 위험 관리
- 정보 공유
- 생태계 전반에 미치는 광범위한 영향:DORA의 범위와 깊이는 전례가 없는 수준입니다. 이 법은 은행, 보험 회사, 투자 회사 등에 적용되지만 핵심적인 제3자도 포함됩니다. 클라우드 서비스 제공업체, 독립 소프트웨어 공급업체, 결제 처리업체 등 지원과 서비스를 제공하는 기업에 대한 의존도가 높아짐에 따라 발생하는 위험이 개별 기업이 아닌 서비스 제공업체 수준에서 직접 해결되도록 하는 것이 목표입니다.
- 기존 규제와의 조화 및 확대: DORA의 첫 번째 목표는 EU 전역의 기존 규정들을 조화롭게 결합하는 것입니다. 여기서 더 나아가, 규제 적용 범위와 요구사항을 대폭 확장합니다. 예를 들어, DORA는 사이버 인시던트에 대해 보다 엄격한 보고 요구사항과 보고 기간을 적용합니다.
- 전사적 영향: 이전의 사이버 보안에 대한 접근 방식과 달리 DORA를 준수하는 것은 IT만의 문제가 아닙니다. 기업은 처음부터 IT는 물론 법무, 규정 준수, 위험 관리를 포함하는 전사적 접근 방식을 도입해야 합니다.
- DORA 준수를 위한 준비:DORA는 2025년 시행될 예정이므로, 금융 서비스 기업들은 원활한 전환을 보장하기 위해 준비를 해야 합니다. 조직은 필요한 변경 사항을 적시에 구현할 수 있도록 지금 바로 조치를 취할 필요가 있습니다.
영국과 EU의 운영 복원력 법에 대비하기 위해 해야 할 일
아는 것과 실천하는 것은 다른 문제입니다. 영국과 EU의 광범위하고 복잡한 지침에도 적용되는 말입니다.
- 광범위한 규제를 위해서 더 넓은 시야가 필요합니다. 새로운 운영 복원력 체계는 비즈니스에 다양한 새로운 요구사항을 부과합니다. 이렇게 확대된 범위는 복원력 강화를 위한 활동을 공식화하고 수행하는 데 더 많은 부서들이 참여해야 한다는 것을 의미합니다. 미래의 요구사항을 백지 상태에서 살펴본 다음, 포함시켜야 할 새로운 부서에 특히 중점을 두고, 모든 관련 당사자를 포함하는 장치와 절차를 설계하고 구축하는 것이 좋습니다. 절차와 조치를 새로운 요구사항에 맞게 조정하려면 기존 지표를 폐기하거나 대폭 수정해야 할 수도 있습니다.
- 사이버 보안에 집중해야 합니다.복원력을 위한 새로운 노력의 핵심은 사이버 보안이며, 랜섬웨어 공격에 대한 인식 향상과 대비, 그리고 인시던트 발생 시 적시에 철저하게 보고하는 데 중점을 둡니다. 기업은 중요한 비즈니스 운영을 유지 관리하고 복원할 계획과 더불어 데이터 파이프라인과 중요한 워크플로우에 대한 가시성을 확보하여 이상 징후를 감지하고 사이버 이벤트의 예방 및 완화 역량을 강화해야 합니다.
- 데이터는 기업의 핵심입니다.새로운 도전 과제를 해결하는 한 가지 유용한 방법은 복잡함에 압도되지 않도록 문제를 더 작은 부분으로 나눠 접근하는 것입니다. 새로운 운영 복원력 규제들의 공통 분모는 데이터입니다. 데이터는 악의적 행위자가 노리는 궁극적인 타깃이며, 특히 정보 통신 기술의 위험 관리와 관련하여 복원력을 보장하는 데 필요한 기본 항목입니다. 데이터의 관리, 액세스 권한 및 보호는 모든 계획의 중심이 되어야 합니다.
EU 및 영국의 규제를 위한 커다란 도약
EU의 DORA와 영국(및 기타) 규제 당국의 복원력 체계는 금융 서비스 산업에 대한 규제의 커다란 도약을 나타냅니다. 또한 집행일이 다가오고 있어 준비와 조치가 필수적입니다. 금융 서비스 부문 내에서 운영 복원력을 강화하는 것은 반드시 필요하고 칭찬할만한 목표이지만, 시간과 리소스의 측면에서 큰 비용을 들이지 않으면 달성할 수 없습니다.
퓨어스토리지와 기타 파트너들의 도움으로 금융 서비스 기업들은 DORA의 복잡성을 헤쳐 나가며 보다 안전하고 복원력 있는 미래를 만들 수 있습니다. 퓨어스토리지 솔루션은 설계부터 운영 복원력을 지원하며, 올플래시로 구성되어 속도, 간단함 및 유연성을 극대화해줍니다. 또한 세이프모드(SafeMode), 신속한 복구(Rapid Restore), 퓨어1(Pure1) 데이터 보호 평가(영문자료), 랜섬웨어 복구 SLA, 전체 에버그린(Evergreen) 포트폴리오에 대한 제로 데이터 손실 보장(영문자료)을 통해 금융 기업은 최고 수준의 데이터 보안이 내장되어 있고 운영 중단 시 최적화된 복구가 가능하다는 사실에 안심할 수 있습니다.
보다 자세한 내용이 궁금하시다면 “금융 서비스의 운영 복원력 강화(영문자료)” 백서를 다운로드하거나 무료 전문가 상담을 신청하세요.