[EU] 디지털 운영 복원력에 관한 법률(DORA)의 핵심 요점
□ 유럽연합(EU)은 2022.12.14., 금융서비스 부문의 디지털 운영 복원력 확보를 요구하는 법률인 DORA(Digital Operational Resilience Act, 소위 '사이버복원력법')와 Directive (EU) 2022/2556 (종전 6개 지침을 개정하는 지침)을 제정, 2025.1.17.부터 본격 시행을 앞두고 있습니다.
◦ DORA는 금융서비스 부문의 업체들(MiCA에 따른 암호자산사업자도 포함) 및 기관들뿐 아니라 이들에게 클라우드 서비스나 데이터 분석 등 ICT-관련 서비스를 제공해 주는 주요 ICT 네트워크와 정보시스템에 대해 공통된 요건을 제시하고, EU 내 금융 부문이 심각한 운영상 장애를 겪게 되더 라도 복원력이 확보되도록 하려는 법률로, 회원국들은 본격 시행 전에 DORA 및 개정 지침 준수에 필요한 제반 조치를 채택해야 합니다.
□ DORA는 EU 집행위원회가 2020년 9월 발표한 디지털 금융 패키지(Digital Finance Package, DFP)에 따라 제정된 법률입니다.
□ DORA 제정 배경에는 디지털 시스템 간에 의존도와 연결성이 증가하여, 단 하나의 사이버보안 사고가 금융시스템의 안정을 해칠 구조적 위기로 이어질 수 있으니, 시스템 운영에서 최대한의 복원력을 갖춰야 한다는 EU 구조적 위험 감시단(ESRB, European Systemic Risk Board)의 권고가 있었습니다.
◦ 이에 따라 유럽의회와 각료이사회는 DORA와 함께 기존의 ‘네트워크 및 정보시스템 보안 지침’(Network and Information Security Directive)인 NIS를 개정하는 NIS2 Directive도 채택하였습니다.
◦ DORA와 NIS2 Directive의 핵심 내용을 비교하면, NIS2 Directive는 폭넓은 부문에 적용하는 사이버보안 기본체계로서 ‘필수적이고 중요한 기능’(essential and important functions)을 수행 하는 업체에 대해 사이버 위험 관리, 사고 보고 및 정보 공유 등 강화된 요건을 적용하는 데 비해, DORA는 금융 부문에 특화된 복원력 확보를 요구하는 법률로, NIS2의 특별법 성격을 가집니다.
< DORA (금융 부문에 특화된 디지털 운영 복원력 확보 제도) 주요 내용>
DORA는 금융 부문이 ICT 위험에 대처할 수 있게 EU 전반의 관련 규정을 단일법안으로 통합·개정하여, 소규모 업체를 제외한 거의 모든 금융업체가 공통의 ICT 위험 완화 표준을 준수하도록 하는 것이 목표이고, 그 적용 대상에는 중소규모의 업체들을 제외한 여신기관 등 거의 모든 규모의 금융업체들, 그리고 MiCA에 따른 암호자산 서비스제공자(CASPs)까지 포함하고 있습니다.
∙ (금융업체들에 적용될 요건) ICT 위험 관리 기본체계 수립, 시행; 주요 ICT-관련 사고의 식별, 분류 및 보고; 강화된 테스트 수행(일정 규모 이상이면 위협-주도형 침투 테스트인 TLPT 수행 의무화); 강화된 내부통제 거버넌스 구축 등
∙ (ICT 제3자 위험 관리) EBA(유럽은행감독청)의 외주(outsourcing) 가이드라인 등 기존 가이드라인에 있던 요건들을 통합, 이들 요건이 계약상 약정의 필수 조건으로 포함되도록 요구
∙ (주요 ICT 제3자서비스 제공자 지정) 유럽 금융감독당국 중 금융 부문별로 지정되는 주된 감시 당국(Lead Overseer)이 소프트웨어, 데이터 분석 및 클라우드 컴퓨팅 서비스 등 ICT 서비스를 금융업체들에 제공하는 업체 가운데 중요도가 큰 업체를 ‘주요 ICT 제3자서비스 제공자’(critical ICT TPPs)로 지정할 수 있게 하고, 금융업체들은 이 ‘주요 ICT 제3자서비스 제공자’들에 대해 DORA에 명시된 테스트 수행, 사고 보고 요건 등 서비스 계약 요건을 요구할 수 있게 됨
□ 지금까지 EU 차원의 디지털 프로젝트들은 데이터 보호 규정을 준수에 초점을 두었다면, 앞으로는 ‘복원력’(resilience)과 관련된 규제가 중요한 역할을 하게 될 것입니다.
◦ 기술 및 관리 서비스를 제공하는 사업자 역시 법령상 요건들을 갖추게 되면, 법령상의 요건을 준수해야 하는 금융업체 등과의 마찰을 줄이면서 경쟁력을 확보하게 될 것입니다.(금융서비스 업체도 당국 기대 수준에 맞춰 시장을 선도할 역량을 갖추면 신뢰도가 높아질 것으로 예상)
※ 업비트 투자자보호센터는 올바른 디지털 자산 투자로 가는 디딤돌 역할을 하고자, 국내에서도 제도화 논의 등에 참고하실 수 있도록 글로벌 법제화 동향 관련 자료를 번역해 제공해 오고 있습니다. DORA 역시 「암호 자산시장에 관한 법률」(MiCA)에 이어 유럽연합의 디지털 금융 전략의 대강을 살펴볼 수 있는 중요한 법령 이어서, 작은 도움이 되기를 소망하며 번역과 정리를 직접 수행하여 제공해 드리게 되었습니다. 번역이 미흡한 부분이 있다면, 후반부에 첨부된 원문을 참조하십시오. 감사합니다.