국회도서관은 2일(화) ‘유럽연합의 금융 부문 사이버보안 및 복원력 강화를 위한 '디지털 운영 복원력법(DORA)'을 주제로 '최신외국입법정보' (2025-23호, 통권 제286호)를 발간했다고 밝혔다.
이번 호는 금융 부문의 디지털화 가속과 정보통신기술(ICT) 의존도 심화로 인한 사이버 위협 및 운영 위험에 대응하기 위해 유럽연합(EU)의 '디지털 운영 복원력법'(Digital Operational Resilience Act, 이하 DORA)을 검토했다.
2022년 12월 14일 제정되어 2025년 1월 17일부터 시행 중인 DORA는 EU 차원의 통일된 포괄적 복원력 체계를 마련함으로써 금융 시스템 전반의 ICT 위험을 체계적으로 관리하고, 제3자 서비스 제공자와의 복잡한 상호 연결에서 발생할 수 있는 시스템적 위험을 방지해 금융 안정성과 시장 무결성을 도모한다.
DORA는 금융기관의 ICT 위험 관리 체계 구축을 의무화하고, 제3자 ICT 서비스 제공자에 대한 계약 조건 및 종료권 명시, 디지털 운영 복원력 시험 프로그램 수립 등을 규정하고 있다.
또한 ICT 위험 관리 활동을 식별, 보호 및 예방, 탐지, 대응 및 복구, 학습 및 개선의 5단계 기능에 초점을 맞추도록 요구한다.
최근 우리나라 금융권에서 증가한 해킹·침해 사고의 주요 원인으로 소프트웨어 패치 관리 실패, 내부 모니터링 부재, 제3자 ICT 서비스 관리 미흡이 지적된다.
이러한 상황을 감안하면, DORA의 제3자 서비스 제공자 등록·감독 제도와 계약 종료 시 위험 완화를 위한 출구 전략 의무화는 국내 제도 개선에 참고가 될 수 있다. 또한 DORA가 금융기관의 규모와 위험 수준에 따라 규제를 비례적으로 적용해 효율성을 높인다는 점도 향후 국내 관련 법령의 제·개정 시 참고할 만하다.
허병조 국회도서관 법률정보실장은 “EU의 DORA는 금융기관의 혁신 역량을 저해하지 않으면서 디지털 운영 복원력과 시스템 안정성을 함께 확보한다는 점에서, 우리나라 금융 부문 사이버보안과 복원력을 강화하는 데 좋은 참고가 되길 바란다.”라고 밝혔다. [파이낸셜신문=임권택 기자 ]
