[디지털데일리 김보민기자] 내년부터 유럽연합(EU) '디지털 업무 회복 탄력성 법(Digital Operational Resilience Act·이하 DORA)'이 본격 시행된다. 금융산업을 대상으로 당국발 핀셋 규제가 본격화되는 가운데, 기존과 다른 보안 대응 체계가 필수로 떠오를 전망이다. EU 회원국가에서 사업을 운영하거나 파트너십을 맺고 있는 국내 기업 및 기관도 영향권에 들 것으로 보인다.

글로벌 반도체 및 소프트웨어(SW) 기업 브로드컴은 금융산업이 현 시점부터 대응 전략을 마련해, 위기를 넘어 기회 요인을 잡아야 한다고 보고 있다. 규제 준수 미비로 인해 디지털 주권이 약화되는 결과를 사전에 막아야 한다는 취지다.

◆"EU 개인정보보호법과 다르다…까다로운 준수사항 살펴봐야"

일리어스 챈트조스(Ilias Chantzos) 브로드컴 글로벌 개인정보보호책임자 겸 유럽·중동 및 아프리카(EMEA) 대관 총괄(이하 책임자)은 <디지털데일리>와의 서면 인터뷰를 통해 "DORA는 정보통신기술(ICT) 리스크 관리, 제3자 공급기업 리스크와 관련해 전례 없는 접근 방식을 채택한다는 점에서 획기적인 법안"이라고 평가했다.

DORA는 유럽 금융 부문에서 IT 보안과 운영 복원력을 강화하는 데 초점을 두고 있다. 은행, 보험사, 투자회사 등 금융기관은 물론 이들에게 ICT 서비스를 제공하는 제3자 서비스 제공업체에게도 동일하게 규제가 적용된다. ICT 위험 관리, 사고 보고, 운영 복원력 테스트, 정보 공유 등 회복 탄력성에 대한 전방위적인 규정을 지켜야 하는 것이 핵심이다.

챈트조스 책임자는 "금융기관에서만 사이버 공격 보호에 투자하는 것은 더 이상 충분한 방어가 아니다"라며 "(DORA를 기준으로) 해당 금융 기업뿐만 아니라 그 기업에 서비스나 물건을 공급하는 곳도 동일한 조치를 시행하도록 보장해야 한다"고 설명했다.

DORA는 기존 개인정보보호법(GDPR)과도 성격이 달라, 금융권 및 규제 대상 업계가 고려해야 할 사항도 늘어날 전망이다. 챈트조스 책임자는 "GDPR과 DORA의 근본적인 차이는 '무엇에 집중하냐'에 있다"며 "GDPR은 데이터, 개인 권리, 시장 규제에 중점을 둔다면 DORA는 사이버 보안, 리스크 관리에 특화된 규제"라고 말했다. 이어 "GDPR은 개인 데이터를 처리하는 모든 산업 내 조직에 영향을 미치는 반면, DORA는 유럽 금융 산업만 규제하면서도, 해당 공급망까지 간접 규제하기 때문에 타 산업에도 영향을 끼친다"고 부연했다.

새 요구사항도 살펴볼 부분이다. 챈트조스 책임자는 "가장 중요한 차이점은 금융기관이 GDPR과 비교해 DORA를 준수해 취해야 하는 보안 조치 세부사항 수준이 더 까다롭다는 것"이라고 강조했다. 일례로 DORA는 금융기관에 감사 및 위협 주도 침투 테스트(TLPT) 수행 의무를 부여하고, 발생 가능한 사이버 침해를 규제당국에 24시간 이내 통보하도록 명시하고 있다. 반면 GDPR은 개인 데이터 침해가 발생하면, 인지 후 72시간 이내 규제당국에 보고하도록 규정하고 있다.

특히 금융권을 겨냥한 사이버 공격이 고도화되고 있는 만큼, 이번 DORA 시행에 대한 당국 관심 또한 높아질 것으로 보인다. 챈트조스 책임자는 "사이버 범죄자들은 창의적인 수법과 벡터 포인트를 악용해 소비자와 기업 모두를 표적 삼아 금전 이익을 취하고자 금융산업을 대상으로 삼아 왔다"며 "금융산업은 본질과 사업 영향력 때문에 '사이버 보안 성숙도'가 높지만, (피해 등으로 인한) 사회적 폐해가 큰 만큼 DORA 시행에 따라 가장 많은 규제를 받을 것으로 예상된다"고 말했다.

◆ "금융보안 규제 조사 늘어날 것…빠른 미래 대비 필수"

챈트조스 책임자는 금융권을 비롯해 규제 대상 업계가 지금부터 준비에 나서야 한다고 조언했다. 그는 "일찌감치 기획, 그리고 계획하고 미래에 대비해야 한다"며 "중요 서비스에 대한 필수 측면을 이해하고 보호하는 데 초점을 맞춰 규제를 실용적으로 집행하는 것이 중요하다"고 밝혔다. 이어 "상호 연결된 시스템 세계에서 이론적 위협요인(리스크)가 아닌, 실재 리스크를 최소화하는 것이 핵심"이라고 강조했다.

일각에서는 DORA 적용으로 인해 대형보다 소규모 금융기관을 중심으로 영향이 불가피할 수 있다는 관측도 나온다. 이와 관련해 챈트조스 책임자는 "DORA 시행으로 소규모 금융기관이 리스크 관리 프레임워크를 간소화할 수 있을 것으로 예상한다"며 "실제 이행 양상까지 예측할 수는 없지만, 해당 기관 혹은 여기에 서비스를 공급하는 소규모 ICT 공급기업은 규제를 준수하기 위해 비용 부담이 증가할 것을 우려할 전망"이라고 진단했다. 그럼에도 "소규모 금융 및 ICT 공급기업 모두 사이버 보안 목표를 이행하고 달성하기 위해 노력할 것"이라고 말했다.

DORA 적용 이후 '보안 책임'에 대한 관점 또한 달라질 가능성이 높다. 챈트조스 책임자는 "법적 책임 조건보다, 금융 서비스 기관의 ICT 제공 기업 대상 감독과 투명성 수준이 변화할 전망"이라며 "제3자 ICT 공급기업 관점에서는 방해가 되는 간섭이나 침해 조치가 진행될 수 있다"고 언급했다. 그러면서 "정기 감사, 공급망 정보 공시, 아웃소싱, 침투 및 취약성 테스트 등에 대한 사전 공지가 이뤄질 수 있고 금융기업 고객이 짊어져야 할 추가 비용이 발생할 수 있다"고 내다봤다.

때문에 법 시행에 맞춰 위기 요인을 기회로 승화하는 전략이 필요한 때다. 챈트조스 책임자는 "가장 큰 기회는 금융기관이 강력한 보안 구조(아키텍처)를 구축하고, 더 많은 데이터 통제권을 지닐 수 있다는 점"이라며 "금융기관 비용 측면에서는 프레임워크를 가볍고 민첩하게 만들어, 소규모 금융기관이 리소스가 부족하더라도 경쟁력을 갖출 수 있도록 해야 한다"고 제언했다.

ICT 시장에 대한 장벽 또한 낮춰야 한다고 조언했다. 그는 "ICT 공급업체에 높은 진입장벽이 되지 않도록, 이들이 DORA 규제 준수에 드는 비용을 적정 수준으로 만들어야 한다"며 "자국에서 활동하는 ICT 공급업체가 DORA 규제 준수를 위해 비싼 비용을 지불해야 한다면, 결국 금융 기업의 ICT 서비스 선택권을 좁히고 규제 준수 미비로 인해 디지털 주권이 약화되는 결과로 이어질 수 있다"고 경고했다.

챈트조스 책임자는 금융권을 둘러싼 보안 규제가 늘어나고 있는 만큼, 지속 가능한 전략 재편 또한 필요하다고 강조했다. 그는 "브로드컴은 2년 전부터 DORA는 물론, DORA가 브로드컴에 지니는 의미를 고민했다"며 "향후 금융보안 규제 조사는 늘어날 것"이라고 말했다. 이어 "DORA를 준수하기 위한 프로세스와 도구를 구축하면서 항상 '재사용 할 수 있는 리소스는 무엇인가' 또는 '현재 구축 중인 시스템을 확장해 추가적인 요구사항을 지원하는 방법은 무엇인가' 등 질문을 제기할 필요가 있다"고 덧붙였다.