▲ 'EU의 금융 부문 사이버보안 및 복원력 강화를 위한 디지털 운영 복원력법(DORA)'을 주제로 발간한 '최신외국입법정보' 표지. (사진=국회도서관 제공)

[e-뉴스 25=백지나 기자] 국회도서관은 2일 유럽연합(EU)의 금융 부문 사이버보안 및 복원력 강화를 위한 '디지털 운영 복원력법(Digital Operational Resilience Act, DORA)'을 주제로 한 '최신외국입법정보'(2025-23호)를 발간했다.

금융 산업 전반의 디지털 전환 가속과 ICT 의존도 심화로 인해 늘어난 사이버 위협과 운영 위험에 대응하기 위한 EU의 최신 규제 체계를 소개한 보고서다.

DORA는 2022년 12월 14일 제정돼 2025년 1월 17일부터 시행 중이며, EU 차원의 통일된 디지털 복원력 규범을 마련해 금융 시스템의 ICT 위험을 체계적으로 관리하는 것을 목표로 한다. 특히 금융기관과 제3자 ICT 서비스 제공자 간 복잡한 상호 의존 구조에서 발생할 수 있는 시스템 리스크를 통제하고, 금융 안정성과 시장 신뢰를 제고하기 위한 장치를 폭넓게 포함하고 있다.

법은 금융기관의 ICT 위험 관리 체계 구축을 의무화하고, 제3자 서비스 제공자와의 계약 요건, 종료권 명시, 디지털 운영 복원력 시험 프로그램(테스트) 도입 등을 규정한다. 또한 ICT 위험 관리 활동을 △식별 △보호 및 예방 △탐지 △대응 및 복구 △학습 및 개선 등 다섯 단계 기능에 따라 수행하도록 요구해 운영 리스크 관리의 체계화를 강조한다.

국내 금융권에서도 최근 해킹·정보 유출 등 사고가 증가하면서 소프트웨어 패치 관리 실패, 내부 모니터링 미흡, 외부 ICT 서비스 관리 부재 등이 문제점으로 지적된 바 있다. 보고서는 EU의 DORA가 도입한 제3자 서비스 제공자 등록·감독 제도, 계약 종료 시 위험 완화를 위한 출구 전략 의무화 등이 한국 금융보안 체계 개선에 유의미한 참고가 될 수 있다고 분석했다. 또한 기관의 규모와 위험 수준에 따라 규제를 비례적으로 적용하는 ‘비례성 원칙’ 역시 국내 법·제도 정비 과정에서 고려할 필요가 있다고 제언했다.

허병조 국회도서관 법률정보실장은 “EU의 DORA는 금융기관의 혁신을 저해하지 않으면서 디지털 운영 복원력과 시스템 안정성을 동시에 확보하려는 규범이라는 점에서 의미가 크다”며 “국내 금융 부문의 사이버보안 강화와 복원력 제고에 중요한 참고가 되길 바란다”고 밝혔다.