[EU] 디지털 운영 복원력에 관한 법률(DORA)의 핵심 요점

by 투자자보호센터조회 12782024-04-11

□ 유럽연합(EU)은 2022.12.14., 금융서비스 부문의 디지털 운영 복원력 확보를 요구하는 법률인 DORA(Digital Operational Resilience Act, 소위 '사이버복원력법') Directive (EU) 2022/2556 (종전 6개 지침을 개정하는 지침)을 제정, 2025.1.17.부터 본격 시행을 앞두고 있습니다.

◦ DORA는 금융서비스 부문의 업체들(MiCA에 따른 암호자산사업자도 포함) 및 기관들뿐 아니라 이들에게 클라우드 서비스나 데이터 분석 등 ICT-관련 서비스를 제공해 주는 주요 ICT 네트워크와 정보시스템에 대해 공통된 요건을 제시하고, EU 내 금융 부문이 심각한 운영상 장애를 겪게 되더 라도 복원력이 확보되도록 하려는 법률로, 회원국들은 본격 시행 전에 DORA 및 개정 지침 준수에 필요한 제반 조치를 채택해야 합니다.


□ DORA는 EU 집행위원회가 2020년 9월 발표한 디지털 금융 패키지(Digital Finance Package, DFP)에 따라 제정된 법률입니다.


□ DORA 제정 배경에는 디지털 시스템 간에 의존도와 연결성이 증가하여, 단 하나의 사이버보안 사고가 금융시스템의 안정을 해칠 구조적 위기로 이어질 수 있으니, 시스템 운영에서 최대한의 복원력을 갖춰야 한다는 EU 구조적 위험 감시단(ESRB, European Systemic Risk Board)의 권고가 있었습니다.


◦ 이에 따라 유럽의회와 각료이사회는 DORA와 함께 기존의 ‘네트워크 및 정보시스템 보안 지침’(Network and Information Security Directive)인 NIS를 개정하는 NIS2 Directive도 채택하였습니다.


DORANIS2 Directive의 핵심 내용을 비교하면, NIS2 Directive는 폭넓은 부문에 적용하는 사이버보안 기본체계로서 ‘필수적이고 중요한 기능’(essential and important functions)을 수행 하는 업체에 대해 사이버 위험 관리, 사고 보고 및 정보 공유 등 강화된 요건을 적용하는 데 비해, DORA는 금융 부문에 특화된 복원력 확보를 요구하는 법률로, NIS2의 특별법 성격을 가집니다.


 < DORA (금융 부문에 특화된 디지털 운영 복원력 확보 제도) 주요 내용>

DORA는 금융 부문이 ICT 위험에 대처할 수 있게 EU 전반의 관련 규정을 단일법안으로 통합·개정하여, 소규모 업체를 제외한 거의 모든 금융업체가 공통의 ICT 위험 완화 표준을 준수하도록 하는 것이 목표이고, 그 적용 대상에는 중소규모의 업체들을 제외한 여신기관 등 거의 모든 규모의 금융업체들, 그리고 MiCA에 따른 암호자산 서비스제공자(CASPs)까지 포함하고 있습니다.


∙ (금융업체들에 적용될 요건) ICT 위험 관리 기본체계 수립, 시행; 주요 ICT-관련 사고의 식별, 분류 및 보고; 강화된 테스트 수행(일정 규모 이상이면 위협-주도형 침투 테스트인 TLPT 수행 의무화); 강화된 내부통제 거버넌스 구축 등


∙ (ICT 제3자 위험 관리) EBA(유럽은행감독청)의 외주(outsourcing) 가이드라인 등 기존 가이드라인에 있던 요건들을 통합, 이들 요건이 계약상 약정의 필수 조건으로 포함되도록 요구


∙ (주요 ICT 제3자서비스 제공자 지정) 유럽 금융감독당국 중 금융 부문별로 지정되는 주된 감시 당국(Lead Overseer)이 소프트웨어, 데이터 분석 및 클라우드 컴퓨팅 서비스 등 ICT 서비스를 금융업체들에 제공하는 업체 가운데 중요도가 큰 업체를 ‘주요 ICT 제3자서비스 제공자’(critical ICT TPPs)로 지정할 수 있게 하고, 금융업체들은 이 ‘주요 ICT 제3자서비스 제공자’들에 대해 DORA에 명시된 테스트 수행, 사고 보고 요건 등 서비스 계약 요건을 요구할 수 있게 됨


지금까지 EU 차원의 디지털 프로젝트들은 데이터 보호 규정을 준수에 초점을 두었다면, 앞으로는 ‘복원력’(resilience)과 관련된 규제가 중요한 역할을 하게 될 것입니다.


기술 및 관리 서비스를 제공하는 사업자 역시 법령상 요건들을 갖추게 되면, 법령상의 요건을 준수해야 하는 금융업체 등과의 마찰을 줄이면서 경쟁력을 확보하게 될 것입니다.(금융서비스 업체도 당국 기대 수준에 맞춰 시장을 선도할 역량을 갖추면 신뢰도가 높아질 것으로 예상)


※ 업비트 투자자보호센터는 올바른 디지털 자산 투자로 가는 디딤돌 역할을 하고자, 국내에서도 제도화 논의 등에 참고하실 수 있도록 글로벌 법제화 동향 관련 자료를 번역해 제공해 오고 있습니다. DORA 역시 「암호 자산시장에 관한 법률」(MiCA)에 이어 유럽연합의 디지털 금융 전략의 대강을 살펴볼 수 있는 중요한 법령 이어서, 작은 도움이 되기를 소망하며 번역과 정리를 직접 수행하여 제공해 드리게 되었습니다. 번역이 미흡한 부분이 있다면, 후반부에 첨부된 원문을 참조하십시오. 감사합니다.