Beyond Recovery: DORA에 대해 들어보지 못한 것들

5부작 시리즈 중 5부

보안 또는 규정 준수 분야에서 일하는 우리 대부분은 내년에 발효되는 EU의 디지털 운영 탄력성법(Digital Operational Resilience Act, DORA)에 대해 들어봤을 것이라고 말하는 것이 타당하다고 생각합니다.

이 법은 EU 영토에서 서비스를 제공하는 금융 기관(은행에서 투자 회사, 보험 회사 등에 이르기까지 모든 것을 포함)뿐만 아니라 이러한 기관에 중요한 ICT 서비스를 제공하는 많은 서비스 제공업체에도 영향을 미칩니다.

스토리지 및 복구 분야의 적지 않은 공급업체가 자사 솔루션을 DORA 규정 준수에 대한 해답으로 홍보했습니다. 수많은 마케팅 부서로부터 거의 같은 이야기를 듣고 나면, DORA가 침해로부터 회복할 수 있는 능력에서 비롯되는 "탄력성"에 관한 것이라고 생각하는 것은 용서받을 수 있다고 확신합니다.

그러나 이 법의 전체 내용과 대부분의 EU 관련 간행물, 그리고 이 법의 영향에 대한 여러 로펌의 법적 해석을 읽은 후, 저는 바로잡혔으며 제가 배운 것 중 일부를 공유하고 싶었습니다.

회복력과 복구 그 이상의 DORA

Hitachi Vantara와 같은 데이터 인프라 제공업체를 위해 글을 쓴 저 역시 DORA가 신속한 복구를 통한 비즈니스 탄력성에 관한 것이라고 말하고 싶었습니다. 하지만 그렇지 않습니다. DORA는 여러 면에서 공격을 견디는 것(애초에 쓰러지지 않는 것)과 잘못되었을 때 복구하는 것에도 중점을 둡니다.

여기 작은 비밀이 있습니다. 이 글을 쓰기 시작했을 때, 저의 첫 번째 의도는 이 글이 Beyond Recovery 시리즈의 일부가 아닌 별개의 작품으로 취급하고자 했습니다. 놀랍게도, 연구를 수행한 후 보안에 대한 전체론적, 전략적, 근본 원인 중심적인 접근 방식을 취하는 것과 관련하여 논의된 많은 개념이 DORA 규정 준수와 깊은 관련이 있습니다. 어쩌면 필요할 수도 있습니다.

DORA는 지속적으로 위험을 관리하도록 요구합니다. 그리고 이 시리즈에서 논의한 바와 같이, 순수한 위험 관리는 지속 불가능하거나 적어도 매우 비용이 많이 드는 과정입니다. DORA에 따르면 훨씬 더 많은 비용이 드는 과정일 것입니다. 애초에 필요한 위험 관리의 양을 줄이기 위해 보다 적극적인 품질 관리 접근 방식으로 전환하는 것이 장기적인 관점에서 볼 때 최선의 선택이라고 생각합니다.

DORA를 해결하기 위한 새로운 접근 방식

우리가 논의한 위험이 계속 증가하고 있음을 보여주는 현재 트렌드로 인해 규제 기관의 기준을 준수하는 것은 현재로서는 어려울 것입니다. 그리고 위험이 누적됨에 따라 지속 불가능할 정도로 점점 더 그렇게 될 것입니다.

DORA가 단순한 복구 그 이상이며 얼마나 심각할 수 있는지를 보여주는 한 가지 예는 규제 기관이 재량에 따라 조직에 특정 취약성을 해결 하도록 요구할 수 있다는 것입니다. 그렇게 하지 않거나 그렇게 할 수 없는 경우 벌금과 형사 처벌로 이어질 수 있습니다.

따라서 그것은 백업 및 복구 그 이상입니다. 실제로 Draft Regulatory Technical Standards(섹션 3)를 보면 DORA의 첫 번째 요구 사항 중 하나는 자산 관리임을 알 수 있습니다.

말이 되네요. 어떤 시스템이 어떤 비즈니스 프로세스와 수익을 주도하는지, 또는 어디에 있는지 모르는 경우 조직에 무엇이 중요한지, 보호해야 할 것이 무엇인지, 무엇을 먼저 복구해야 하는지 어떻게 결정할 수 있을가요? 그리고 알지 못하거나 제어할 수 없는 시스템을 어떻게 보호할 수 있을까요?

IT 자산과 비즈니스 프로세스 간의 이러한 유대 관계는 DORA에서 반복되는 주제이며, 저는 개인적으로 이를 기쁘게 생각합니다.

책임은 경영진에게로

자산 관리 후 요구 사항은 사고 관리, 분류 및 보고, 복원력 테스트로 이어집니다. 이 모든 것이 필수 ICT 거버넌스 및 제어 프레임워크에 포함되어 중요한 비즈니스 및 IT 자산에 대한 위험을 최소화합니다.

그리고 이 프레임워크에 대한 책임은 조직의 경영진에게 있습니다.

켐프 IT 법률(Kemp IT Law)을 인용하자면, "금융 기관의 관리 주체(일반적으로 이사회)는 정책, 역할, 비즈니스 연속성 계획, 감사, ICT 서비스 제공업체에 대한 감독, 교육 등을 포함하여 이 프레임워크를 담당할 것입니다."

이 중 어느 것도 복구가 DORA의 일부가 아니라는 것을 의미하지는 않습니다. 그것은 큰 것이고 그 중 일부는 실제로 매우 엄격합니다. 어떤 공급업체도 언급하지 않은 것 중 하나는 일과 종료 처리와 같은 중요한 서비스가 2시간 이내에 복구 가능해야 한다는 것입니다.

2시간 이내입니다.

다시 말하지만, 벌금과 잠재적으로 형사 고발에 처해질 수 있습니다.

복구를 준비하고 이를 증명할 수 있어야 합니다

그리고 DORA의 가장 중요한 요소 또는 차별화 요소 중 하나가 될 수 있는 것이 있습니다. 입증 가능성에 대한 요구 사항이 바로 그것입니다.

즉, 규제 기관은 2시간 이내에 복구할 수 있거나, 취약성을 수정하거나, 자산 등록부가 포괄적임을 증명하도록 요구할 수 있습니다.

그렇게 하지 않으면 사고가 발생하지 않더라도 규정을 준수하지 못하게 되고 처벌을 받을 수 있습니다. 그리고 침해가 발생하면 심각하게 악화될 수 있습니다.

또한 각 국가에는 자체 규제 기관이 있다는 점을 고려하십시오. 이는 각 국가별 규제 기관이 적절하다고 판단되는 만큼 엄격하게 DORA를 시행할 수 있음을 의미합니다. 사고가 발생하거나 한 EU 국가의 규제 기관이 제기한 이의 제기에 대응하지 못할 경우 다른 EU 국가에서 문제가 발생할 수 있으며, 규제 기관이 이를 알아채는 대로 운영할 수 있습니다.

이제 DORA에 대해 알려져 있는 몇 가지 내용을 요약해 보겠습니다.

• 이는 리스크에 대한 총체적인 "전체 비즈니스" 접근 방식을 요구하며, 경영진 수준에서 하향식의 리스크를 승인하고 지속적으로 검토합니다.
• 관련 위험을 평가, 감소 및 완화하기 위해 비즈니스 자산과 프로세스에 대한 포괄적인 검토가 필요합니다. IT만이 보안에 초점을 맞추는 것은 아닙니다.
• 이는 특정 비즈니스의 모든 비즈니스 및 IT 프로세스 전반에 걸쳐 위험을 해결하기 위한 프로그램 또는 "프레임워크"를 요구합니다. 일반적인 IT 규정 준수 프레임워크가 아닙니다.
• 그것의 엄격한 특성은 모든 비즈니스 프로세스의 위험과 복잡성을 최소화하기 위해 작업을 수행하는 방법을 신중하고 적극적으로 고려해야 함을 의미합니다. 이렇게 하면 문제의 수를 줄이고 나머지 문제를 더 쉽게 관리할 수 있습니다. 단순히 더 많은 탐지 및 대응 기능을 추가하는 것만으로는 문제가 해결되지 않으며, 이를 따라잡을 수도 없습니다.
• 복구 체계에 쉽게 통합할 수 없거나, 업데이트하거나, 패치를 적용하거나, 보안 통제를 적용할 수 없는 시스템과 같은 기술적 부채 문제는 법률 및 규정 준수 위험에 심각한 문제를 야기할 것입니다.
• 이를 위해서는 매우 빠르게 복구해야 하며, 그렇게 할 수 있는 능력을 보여줄 수 있어야 합니다.

중요한 것은 내재된 회복력

따라서 대부분의 사람들은 DORA에 대해 마치 회복에 관한 것처럼 이야기해 왔지만, 실제로는 주로 제가 이전에 "내재적 회복력"이라고 밝힌 것에 관한 것입니다. 이것은 제가 만든 용어입니다. 진정한 회복력은 단순히 다시 일어서는 것이 아니라 애초에 쓰러지지 않는 것만큼(그 이상은 아닐지라도) 해야 한다고 항상 느꼈기 때문입니다. 그리고 대부분의 침해가 식별된 문제로 인해 발생한다는 점을 고려할 때 이 시리즈 전반에 걸쳐 제시된 개념을 적용하면 훨씬 더 잘 할 수 있는 영역입니다.

다시 말하지만, 우리는 보다 전략적이 되어야 하며 문제의 근본 원인, 대부분의 위반 사고의 원인이 되는 예방 가능한 위험과 취약성을 도입하는 IT 및 비즈니스 프로세스에 집중해야 합니다. 앞서 살펴본 바와 같이, 복구 역량에 대한 안전망은 이러한 변화를 가능하게 하고 가속화하는 역할을 합니다.

그리고 지난 회차에서 논의한 바와 같이 시뮬레이션의 힘은 위험이 낮은 환경으로의 전환을 더욱 가속화할 수 있을 뿐만 아니라 규정 준수를 보다 쉽고 비용 효율적으로 입증하는 데 도움이 됩니다. 기업이 혁신하고 적응할 수 있는 속도를 높이는 것은 두말할 나위도 없습니다.

Hitachi Vantara가 제공하는 강력한 시뮬레이션 기능을 통해 백업의 디지털 트윈을 활용하여 매우 사실적인 방식으로 복구를 시뮬레이션하고 시연할 수 있으며, 이는 기업과 규제 기관 모두를 만족시킬 수 있습니다. 이는 재해 또는 위반 시나리오에서 시스템과 워크로드 간의 관계와 종속성을 예측하기 어려워 복구 노력이 종종 실패할 수 있기 때문에 많은 사람들이 인식하는 것보다 더 중요합니다.

시뮬레이션은 프로세스에 필수적

이는 기술 부채가 종종 해결되기 어려운 이유와 유사합니다. 우리는 잠재적인 영향으로 인해 변경에 대한 두려움을 유발하는 알 수 없거나 예측할 수 없는 종속성이 있을 수 있다는 것을 알고 있습니다. 그러나 시뮬레이션 기능을 활용하여 인프라의 "복사본"을 생성하면 이러한 장벽을 제거하고 규정 준수 등을 방해할 수 있는 기술 부채 문제를 훨씬 더 신속하게 해결할 수 있습니다.

당연히 복구도 DORA의 중요한 부분이며, 세계에서 가장 빠른 복구 솔루션을 보유한 Hitachi Vantara가 엄격한 복구 시간 요구 사항을 충족하는 데 가장 적합한 선택이라고 말할 수 있습니다.

진정한 데이터 불변성과 같은 추가 메커니즘은 성공적인 복구 가능성을 더욱 강화합니다.

그러나 우리는 이 안전망이 최악의 상황이 발생하기를 기다리기보다는 적극적인 변화를 만드는 데 제공하는 자유와 가능성을 잊어서는 안 됩니다. 복구 범위를 벗어난 이러한 것들로 인해 이러한 기능은 재해가 발생했을 때뿐만 아니라 항상 가치가 있습니다.

복구 솔루션이 더 빠르고, 안정적이며, 포괄적일수록 이러한 사전 예방적 변화를 더 빠르게 추진하고 포괄적인 DORA 규정 준수를 달성할 수 있습니다. 또한 문제가 발생할 경우, 이와 동일한 속성을 통해 업무에 더 빨리 복귀할 수 있을 뿐만 아니라 복구 시간 목표 측면에서 규정 준수를 보호할 수 있습니다.

DORA를 변화의 기회로 활용

끝으로, 이 시리즈에 대한 저의 견해는 저의 견해일 뿐이며, 여러분은 반드시 스스로 판단하고 결정을 내려야 한다는 점을 말하지 않을 수 없습니다. 어떤 사람들은 DORA에 대한 저의 견해가 필요 이상으로 크다고 생각할 것입니다. 그러나 이러한 방식으로 DORA에 대한 해답을 제시하는 것은 실질적인 변화, 업무 방식의 실질적인 개선, 혁신을 가속화하고, 민첩성을 높이고, 수익을 높이는 동시에 위험을 줄이기 위해 DORA에 대한 추진력을 활용할 수 있음을 의미합니다.

그렇다면 DORA를 추가 규정 준수 비용으로 취급하고 충분한 조치를 취하지 않음으로써 위반될 위험이 있는 이유는 무엇입니까? 단지 변화를 위한 것이 아니라 더 나은 결과, 더 나은 IT, 더 나은 비즈니스를 위한 기회입니다.

선택은 여러분의 몫입니다.

이 시리즈의 이전 기사 읽기

• Beyond Recovery: 기술 그 이상, 5부 중 1부
• Beyond Recovery: 문제 탐구, 5부 중 2a부
• Beyond Recovery: 문제 탐구, 5부 중 2b부
• Beyond Recovery: 돈 이야기, 5부 중 3부
• Beyond Recovery: 유산 마비 깨기, 5부 중 4부