DORA는 은행, 보험사, 투자회사를 포함한 EU 내 금융기관의 사이버보안과 운영 복원력을 향상시키는 것을 목표로 하며, 지난 2022년 11월 처음 공식화됐다. 17일부터 본격 시행됨에 따라 금융 부문 기업은 정보통신 기술(ICT) 리스크 관리를 위한 포괄적인 프레임워크를 구축해야 한다.
EU는 DORA 준수와 관련해 보호, 탐지, 억제 복구, 수리를 위한 필수 조치의 구현을 요구하고 있다. 또한 금융 부문 조직은 ICT 사고 보고, 운영 복원력 테스트, ICT 서드파티 리스크 감독에 대한 명확한 규칙을 적용해야 한다.
역량 격차 해소
DORA 준수를 위해서는 ICT 리스크 관리, 사고 대응, 복원력 테스트 같은 분야의 전문성이 필요하다. 하지만 이런 전문 기술은 이미 유럽뿐만 아니라 전 세계에서 인재가 부족한 상황이다.
버그크라우드(Bugcrowd)의 글로벌 부사장인 줄리안 브라운로우 데이비스는 특히 소규모 기업이 충분한 기술을 갖춘 직원을 유치하고 유지하는 데 어려움을 겪을 수 있다고 말했다. 그는 “소규모 기업은 테스트, 모니터링, 규정 준수 관리를 위해 외부 서비스 제공업체에 더 많이 의존해야 할 수 있다. 내부 인력 부담을 줄일 수 있지만, 벤더 의존에 따른 반복 지출과 잠재적 리스크가 추가된다”라고 설명했다.
DORA 이전에도 CISO는 기술 격차를 해소하기 위해 서드파티 보안 서비스 사용을 늘려왔다. 전문가들에 따르면 DORA는 이런 추세를 가속화할 전망이다.
FTI 컨설팅(FTI Consulting)의 사이버보안 부문 전무이사인 사이먼 오니온스는 DORA가 “조직의 규모, 성격, 복잡성에 따라 구현을 단순화할 수 있는” 비례성 원칙을 도입했다고 언급했다. 이런 맞춤형 접근 방식은 소규모 금융 부문 기업이 다국적 기업에 비해 더 적은 총비용으로 규정을 준수할 수 있게 해준다는 설명이다.
인재 압박
세계경제포럼의 2025년 글로벌 보안 전망에 따르면 사이버 역량 격차는 지난해 이후 8% 증가했다.
CSO 인터뷰에 응답한 전문가들은 이미 부족한 인재 시장에서 DORA 준수를 달성하는 데 필요한 역량을 찾기가 쉽지 않을 것이라고 언급했다.
데이터 분석 기업 엘라스틱(Elastic)의 EMEA 필드 CTO인 수잔 버튼은 “숙련된 사이버보안 전문가에 대한 수요가 공급을 크게 초과하고 있다. 새로운 요구사항으로 인해 인재 확보 경쟁에서 소규모 기업이 심각한 불이익을 받을 수 있다”라고 진단했다.
엑스펠(Expel)의 필드 CISO인 피에르 노엘은 “사이버보안 전문가에 대한 수요가 공급을 크게 초과하면서, 결과적으로 모든 곳에서 인재 빼내기가 일어나고 있다”라고 말했다.
DORA 규정을 준수하려면 의무화된 ICT 리스크 관리 프레임워크를 구축하고 유지하기 위해 사이버보안 인프라와 인력에 대한 지출을 늘려야 한다. 또한 취약점 평가, 침투 테스트 등 정기적인 디지털 운영 복원력 테스트 비용도 발생할 수 있다.
퓨전 리스크 매니지먼트(Fusion Risk Management)의 사이버보안 수석 디렉터인 사피 라자는 조직이 직원 교육, 관리형 서비스 아웃소싱, 업스킬링 등의 역량을 조합해 DORA 규정 준수와 유지에 필요한 기술 부담을 완화할 수 있다고 조언했다.
래피드7(Rapid7)의 글로벌 정부 관계 및 공공 정책 부사장인 사빈 말리크는 DORA가 사이버보안 인력 자원을 더욱 압박할 것이라는 일반적인 의견에 동의하지 않았다. 그는 “DORA를 준수해야 하는 많은 금융 기업이 NIS2와 사이버 복원력법(Cyber Resilience Act)의 적용도 받게 될 것이기 때문에 DORA 자체가 사이버 기술 격차를 악화시키지는 않을 전망이다. 결과적으로 같은 팀이 새로운 규칙과 규정을 준비하게 될 것”이라고 설명했다.
말리크는 또한 AI가 “팀원의 반복 작업을 지원해 새로운 구현에 집중할 수 있도록 해주기 때문에” 유용할 수 있다고 덧붙였다.
빔(Veeam) 설문조사에 따르면, 2024년 10월에 시행된 NIS2는 자원 제약과 기술 격차에 상당한 영향을 미친 것으로 나타났다. NIS2의 영향을 받는 기업의 95%가 NIS2 준수 비용을 충당하기 위해 다른 사업 영역에서 자금을 끌어와야 했던 것으로 나타났다.
소세이프(SoSafe)의 CSO인 앤드류 로즈는 DORA의 범위에 이런 수준의 규제를 처음 접하는 기업도 포함된다고 언급했다. 그는 “신용평가 기관과 특정 유형의 면제 대출, 팩토링, 미니본드, 암호화폐 거래소, P2P 대출 플랫폼과 같은 새로운 금융 모델과 관련된 비규제 기업들이 DORA의 범위에 포함된다. 이들에게는 DORA 요구사항이 솔루션과 인력에 대한 지출이 필요한 새로운 수준의 통제와 공식화된 감독을 의무화할 수 있다”라고 지적했다.
규제 준수 문제점
오렌지 사이버디펜스(Orange Cyberdefense) 조사에 따르면 DORA 준비 기간이 2년에 달했지만, 영국 금융 서비스 산업의 43%가 최소 3개월 동안 이를 준수하지 못할 전망이다.
조사에 참여한 CISO 및 고위 보안 의사결정자 200명은 DORA 준수의 걸림돌로 조직 전반의 우선순위 부족(28%)과 기술/지식 부족(24%)을 꼽았다. 예산 제약은 규제 준수의 주요 장애 요인으로 꼽히지 않았지만, 응답자 66%는 DORA가 정기적으로 사이버보안 비용을 크게 증가시킬 것으로 예상했다.
오렌지 사이버디펜스는 규제 준수 지연이 NIS2와 DORA 등 중복되는 표준 적용의 어려움과 새 규정의 조기 시행에 안일한 태도가 복합적으로 작용한 결과라고 언급했다.
오렌지 사이버디펜스의 수석 자문 컨설턴트인 리처드 린지는 “EU 규제 환경은 현재 시행 중인 여러 표준과 법률로 인해 매우 혼잡하다. 탐색해야 할 것이 많고, 제재 위협이 실질적으로 다가올 때까지 규정 준수 요구사항에 사후 대응 방식을 취하는 기업이 더 많아지고 있다”라고 설명했다.
린지는 또한 “단기적으로는 어느 정도의 계도 기간이 있을 것으로 예상되지만, EU는 분명히 DORA를 강력한 규제 수단으로 인식하고 있다. 전 세계 일일 매출의 최대 1%와 고위 경영진 개인에 대해 100만 유로 이상의 벌금이 부과될 수 있다. 조직이 아직 안일하게 대응하고 있다면, 빨리 상황을 정리할 필요가 있다”라고 말했다.
시스디그(Sysdig)의 사이버보안 전략가인 크리스탈 모린은 금융 기업 및 은행이 규제 준수와 보고의 변화에 익숙하고 일반적으로 사이버보안 성숙도가 높기 때문에 DORA 준수 달성이 큰 문제가 되지 않을 것이라고 주장했다. 그는 “소규모 금융 기업은 처음부터 완전히 이를 준수하지 못할 수 있지만, 적극적으로 추구하고 규제 당국과 긴밀히 협력해야 한다”라고 조언했다.
일부 전문가는 DORA가 목표를 달성하는 데 있어 단속의 실효성이 핵심일 것이라고 말했다. 엑스펠의 노엘은 “유럽 금융 서비스 산업의 디지털 운영 복원력 향상이라는 측면에서 DORA의 효과는 현지 규제 당국의 수준에 따라 크게 달라질 수 있다. 규제 당국이 이에 대해 잘 알고 올바른 질문을 한다면 DORA는 산업 전반에 걸쳐 개선을 이끌어낼 수 있다. 그렇지 않으면 유의미한 개선을 이끌어내지 못한 많은 규정 중 하나가 될 것”이라고 설명했다.
비용-편익 분석
DORA 규제 준수 프로젝트의 잠재적 비용은 다양할 수 있다. 지난해 6월 맥킨지(McKinsey)가 발표한 보고서에 따르면 일반적으로 전략, 계획, 설계, 조정에만 500만 유로에서 1,500만 유로 사이의 DORA 프로그램 비용이 소요될 전망이다.
새로운 기술과 교육에 대한 투자가 이루어지면 구현 비용은 초기 프로그램 비용의 5배 이상이 될 수 있다.
DORA 준수를 위한 재정적 비용은 특히 소규모 민간 은행, 투자 은행, 펀드와 같은 소규모 금융기관에게 어려울 수 있다. 그러나 CSO가 인터뷰한 업계 전문가들은 이러한 비용이 향상된 운영 복원력과 개선된 리스크 관리의 장기적 이점으로 상쇄된다고 말했다.
플래드게이트(Fladgate)의 파트너이자 기술 변호사인 팀 라이트는 “초기 구현 비용은 특히 소규모 기업의 경우 상대적으로 상당할 것”이라고 말했다. “구현이 더 안전하고 복원력 있는 금융 생태계로 이어질 것이기 때문에, 향상된 운영 복원력과 개선된 리스크 관리의 장기적 이점이 투자를 상쇄할 것으로 예상된다”고 설명했다.
서비스 중단과 사이버 공격으로부터 더 강한 복원력을 갖춘 금융 부문 기업은 비용이 많이 드는 다운타임의 위험이 줄어들어 비즈니스 운영 중단을 덜 겪을 가능성이 높다.
버그크라우드의 데이비스는 “중대한 사이버보안 사고나 운영 중단의 비용은 거의 확실히 초기 규정 준수 비용을 훨씬 초과할 것”이라고 말했다. “결국, 이러한 요구사항을 충족하기 위한 지출은 단순한 형식적인 절차가 아니라 신뢰성과 시장 신뢰에 대한 전략적 투자”라고 설명했다.
ISMS.온라인의 최고제품책임자인 샘 피터스는 금융 부문 기업이 DORA 준수 달성을 위한 즉각적인 비용과 장기적인 비즈니스 이점 사이의 균형을 맞춰야 한다고 주장했다.
피터스는 “향상된 운영 복원력은 다운타임을 줄이고 사이버 사고와 관련된 재정적 손실을 완화한다”고 말했다. “한편, 개선된 리스크 관리 프레임워크는 규제 벌금을 피하고 고객 신뢰를 유지하는 데 도움이 될 수 있다”고 설명했다.
DORA 준수를 통한 사이버보안 복원력 향상을 위한 투자는 금융 부문 기업이 더 유리한 조건으로 사이버보험 보호를 확보하는 것을 더 쉽게 만들 수 있다.
피터스는 “우리가 볼 수 있는 중요한 이점 중 하나는 강력한 사이버보안 태세를 입증하는 기업의 보험료가 낮아질 가능성”이라고 덧붙였다.
[email protected]
Read More from This Article: EU DORA 본격 시행··· 전문가들 “사이버보안 격차 심화될 수 있다”
Source: News