금융 부문의 임박한 사이버 공격에 대한 복원력 향상을 목표로 하는 디지털 운영 복원력 법안(DORA)은 아직 입법화 작업이 진행 중인 법안입니다. 이 법은 기존 규정을 대체하는 것이 아니라 디지털 환경에서 운영 리스크를 관리하기 위한 프레임워크를 제공하여 규정을 보완한다는 점에 유의해야 합니다. 

DORA의 목표는 금융 기관이 데이터 보호 및 사고 대응 계획과 같은 모범 사례를 구현하여 사이버 공격을 견딜 수 있도록 하는 것입니다. 즉, 기업은 공격이 발생했을 때를 대비한 계획을 수립하여 공격으로 인한 피해를 복구하는 동시에 운영을 유지할 수 있어야 합니다.

보기: 딜로이트의 새로운 DORA 규정 준수 규정

디지털 운영 복원력 법(DORA)은 비즈니스에 어떤 의미가 있나요?

디지털 운영 복원력 법(DORA)은 금융 서비스 회사가 데이터 보안 관행을 처리하는 방식에 큰 변화를 가져올 것입니다. DORA에 따라 모든 금융 기관은 정책, 절차, 위험 관리 활동을 포함하는 사이버 보안 프로그램을 구현해야 합니다. 이러한 정책은 업계 표준에 따라 적절한지 여부를 평가하는 제3자 금융 규제 기관에 의해 매년 검토되어야 합니다. 

또한 금융 기관은 사이버 침해가 발생하거나 가까운 장래에 침해가 발생할 징후가 있을 때 어떻게 대응할 것인지 설명하는 사고 대응 계획을 실행해야 합니다. 이 계획에는 다양한 유형의 공격(예: 피싱 사기)에 대처하기 위한 전략과 공격으로부터 복구하는 절차가 포함되어야 합니다. 

DORA는 적용될 수 있는 특정 시나리오를 간략하게 설명합니다: 

예를 들어, 서비스 제공자로서 금융 기관 및 기업과 직접 협력하는 모든 조직은 의무적으로 DORA의 적용을 받으며 금융 규제 당국의 직접적인 감독을 받게 됩니다.

이는 공급업체의 보안 프로토콜 및 관행이 DORA에서 지정한 표준을 준수하는지, 민감한 금융 데이터를 취급할 때 위험 없는 환경을 제공할 수 있는지 확인하기 위해 수행됩니다.

금융 기관과 직접 협력하지 않는 조직은 독립 감사인을 통해 자발적으로 DORA 법에 따른 규정 준수를 선택할 수 있습니다. 

DORA에 따른 규정 준수를 달성하기 위해서는 조직이 잘 정의된 보안 및 위험 관리 계획을 수립하는 것이 중요합니다. 이 계획에는 정기적인 취약성 평가, 사고 대응 계획, 직원 교육 프로그램 등의 조치가 포함되어야 합니다. 이러한 조치와 그 실행을 요약한 포괄적인 제안은 조직이 DORA 규정을 준수하고 금융 업계에서 신뢰할 수 있는 서비스 제공업체로 자리매김하는 데 도움이 될 수 있습니다.

DORA 법: 주요 조건 및 목표 

디지털 운영 복원력 법(DORA)은 금융 부문이 안전하고 복원력 있는 방식으로 운영할 수 있는 능력을 보장합니다. 이 법에는 다음과 같은 주요 요건이 있습니다:

1. 기업은 사이버 공격의 구성 요소, 직원의 대응 방법, 침해 발생 시 운영 복구 방법에 대한 자세한 설명이 포함된 사고 대응 계획을 수립해야 합니다.
2. 기업은 사이버 공격으로 인한 위험에 대한 평가와 이러한 위험을 완화하기 위한 실행 계획을 포함하는 사이버 보안 프로그램을 유지해야 합니다.
3. 기업은 디지털 인프라에 대한 적절한 보안 제어를 유지해야 합니다. 이러한 제어에는 암호화, 인증, 액세스 제어, 감사 추적, 모니터링 시스템, 이벤트 관리 시스템, 사고 대응 계획 등이 포함됩니다.
4. 기업은 인시던트가 발생하면 이를 보고하여 규제 당국이 취약성을 평가하고 보안 태세 개선을 위한 권고 사항을 제시할 수 있도록 해야 합니다.
5. 기업은 운영 중단이 발생할 경우 서비스 연속성을 보장할 수 있는 계획을 수립해야 합니다.

PowerDMARC로 DORA 컴플라이언스에 한 걸음 더 다가서기

이메일 보안뿐만 아니라 디지털, 네트워크, 클라우드 보안을 요구하는 DORA 법안으로 인해 조직은 보안 태세를 강화하고 있습니다. 이메일은 오늘날 커뮤니케이션의 기본이며 대부분의 비즈니스에서 중앙 커뮤니케이션 플랫폼을 형성하므로 이메일 인프라를 보호하는 것은 DORA 규정을 준수하는 데 매우 중요합니다. 

PowerDMARC는 풀스택 이메일 인증 제품군을 활용하여 이메일 채널을 보호하는 멀티테넌트 SaaS 플랫폼입니다. ISO 27001, SOC 유형 2 및 GDPR을 준수하며 다양한 금융 기관과 협력하여 보안 위험으로부터 이메일 데이터와 도메인을 성공적으로 보호해 왔습니다. 

저희가 도와드리겠습니다: 

• 스푸핑 및 사칭으로부터 이메일을 보호하세요. DMARC
• 사이버 도청 및 중간자 공격을 방어하세요. MTA-STS
• 이메일의 인증 결과를 모니터링하고 포렌식 인시던트 문제를 해결하세요. DMARC 보고
• 퍼머러를 피하려면 SPF 조회 한도 미만으로 유지하세요. SPF 평준화

이메일 규정 준수를 위해 지금 바로 문의하세요!

• 정보
• 최신 게시물

유네스 타라다

Yunes는 이메일 인증 및 보안에 대한 전문 지식을 갖춘 PowerDMARC의 운영 팀장입니다. Yunes는 CompTIA A+ 등의 자격증을 보유한 Microsoft 인증 Azure 관리자 어소시에이트입니다.

Yunes Tarada의 최신 글 (전체 보기)

• SPF 소프트 페일 대 하드 페일: 차이점은 무엇인가요? - 2024년 4월 26일
• FTC, 이메일이 사칭 사기의 인기 매체라는 보고서 발표 - 2024년 4월 16일
• 서브도메인 메일링과 서브도메인 피싱의 증가 - 2024년 3월 18일