ts-pr-banner-newsroom

TÜV SÜD, 디지털운영복원력법(DORA) 검증 및 미래지향적 사이버보안 구축

디지털 운영 복원력 법(DORA) 정보 등록 보고, 1차 마감일 임박

디지털 운영 복원력 법(DORA) 정보 등록 보고, 1차 마감일 임박

28. April 2025

디지털 운영 복원력 법(DORA)은 금융 부문에 엄격한 사이버 보안 조치를 요구하고 있습니다. 금융 기관 및 해당 기관의 ICT 제 3자 서비스 제공업체는 강력한 IT 보안을 입증하고, 리스크 분석을 수행하며, 계약상의 준수를 확실히 보장해야 합니다. 올해 처음으로 EU 회원국별 관할 당국은 금융 기관의 정보 등록부를 유럽 감독 당국에 보고해야 하며, 마감일은 '2025년 4월 30일'입니다. 이 등록부에는 금융 기관이 ICT 제 3자 서비스 제공업체와 체결한 모든 계약이 명시되어야 합니다. 보고 마감일 이후에도 금융 기관은 DORA 준수 강화를 지속하고 ICT 서비스 제공업체들도 이에 적극 참여 시켜야 합니다.

TÜV SÜD 사이버보안 Advocacy Manager인 리차드 스칼트(Richard Skalt)는 “DORA는 금융 산업과 ICT 서비스 제공업체들이 더욱 강력한 사이버 복원력을 확보하기 위해 실질적인 조치를 취하도록 이끌고 있습니다.”라고 밝히며, “올해 초부터 규제 요건이 완전히 발효되었으며, 현재 금융 기관들 사이에서는 그동안 시행한 조치에 대한 제 3자 적합성 평가 수요가 크게 증가하고 있습니다.”라고 말했습니다.

디지털 운영 회복력 법(DORA) 준수: 지속적인 노력

현재 대부분의 금융 기관은 시스템과 프로세스를 DORA 요건에 맞게 정비했습니다. 독립적인 제 3자 검증을 원하는 금융 기관은 TÜV SÜD의 DORA 평가 서비스를 통해 자사의 이행 조치에 대한 공인된 평가를 받을 수 있습니다. TÜV SÜD 전문가는 대상 별 감사를 통해 규제 이행 상의 미비점을 식별하고, 이를 보완하기 위한 로드맵을 수립합니다. 예를 들어, DORA에 부합하는 보안 전략을 수립 및 구현하거나, 사고 탐지 및 보고 체계를 구축하는 데 도움을 줄 수 있습니다.

리스크 관리와 사이버 복원력은 DORA를 위해 특히 중요한 요소입니다. 향후 금융 기관에 서비스를 제공하는 ‘중요(Critical)’ ICT 제3자 서비스 제공업체 또한 계약상 의무로 이러한 요건을 충족해야 합니다. TÜV SÜD의 정밀한 평가 서비스를 통해 기업은 기존 사이버 보안 전략의 취약점을 파악하고, 실질적인 개선 방안을 마련할 수 있습니다.

임직원 참여

금융 기관과 중요(Critical) ICT 서비스 제공업체는 단순히 규제 준수를 넘어, 조직 내부에 강력한 사이버 보안 문화를 조성해야 합니다. 이를 위해 임직원을 대상 사이버 보안 교육이 매우 중요합니다. 특히 경영진 대상 교육은 DORA를 비즈니스 전략과 연계하는 데 중요한 역할을 합니다. TÜV SÜD 아카데미는 사이버 보안 인식 워크숍부터 의사결정자를 위한 전문 과정까지 포괄적인 교육 프로그램을 제공하여 해당 니즈에 대한 서비스를 지원합니다.

“사이버 범죄자들이 사용하는 공격 수법은 빠르게 진화하고 있습니다. 따라서 금융 기관은 4월 말까지 최초 보고 의무를 이행했더라도, 이후에도 지속적으로 조치를 점검하고 개선해야 합니다.” 라고 내부 관계자는 덧붙였습니다.

TÜV SÜD의 디지털 운영 복원력 법(DORA) 서비스에 대한 자세한 내용은 tuvsud.com/ko-kr/themes/cybersecurity/digital-operational-resilience-act 에서 확인할 수 있습니다.

다음

Site Selector