2025년 1월 17일까지 유럽 연합(EU)의 금융 기관 및 중요 정보 통신 기술(ICT) 제공업체는 EU 디지털 운영 복원력 법안(규정(EU) 2022/2554 - 'DORA')을 준수할 준비가 되어 있어야 합니다. DORA는 금융 서비스 부문과 EU 회원국 전반에서 금융 기관이 사이버 보안 사고를 보고하고, 디지털 운영 복원력을 테스트하며, ICT 서드 파티 위험을 관리하는 방법을 표준화합니다.
DORA는 ICT 제공업체의 역할에 대한 명확한 기대치를 설정하는 것 외에도 EU 금융 규제 기관이 중요 ICT 제공업체를 직접 감독할 수 있도록 지원합니다. 기준이 충족되면 Google Cloud와 같은 클라우드 서비스 제공업체에 적용됩니다.
2025년 1월 17일 기한이 다가옴에 따라 Google Cloud는 다음을 포함하여 관련 DORA 요구사항을 해결하는 새로운 리소스와 업데이트로 고객을 계속 지원할 예정입니다.
고객이 Google의 계약, 제어, 프로세스가 어떻게 DORA 요구사항을 지원하는지 이해할 수 있도록 Google Cloud와 Google Workspace 모두에 적용되는 DORA 제30조 안내서를 마련했습니다.
EU 금융 기관 고려사항: 금융 기관은 ICT 위험 관리를 위한 내부 거버넌스 및 제어 프레임워크를 구축하고 ICT 위험을 지속적으로 모니터링해야 합니다. 이러한 ICT 위험 관리 및 모니터링 요구사항은 서드 파티 제공업체가 제공하는 ICT 서비스 사용까지 적용됩니다.
ICT 제공업체 고려사항: ICT 제공업체는 고객의 ICT 위험 관리 및 모니터링을 지원할 수 있어야 합니다. 여기에는 제공업체에서 관련 시스템과 프로세스를 관리하는 경우가 포함됩니다. 또한 중요 ICT 제공업체의 경우 새로운 리드 감독자가 ICT 위험 관리 정책, ICT 비즈니스 연속성 정책, ICT 대응 및 복구 계획을 포함한 제공업체의 위험 관리 프로세스를 평가합니다.
Google Cloud 지원: Google Cloud를 사용하기 전에 위험 평가 및 중요 애셋 탐색 솔루션을 사용하여 조직의 현재 IT 위험을 파악하고, 중요한 애셋의 위치를 식별하고, 보안 상황 및 복원력을 개선하기 위한 권장사항을 받을 수 있습니다. 제어를 통한 위험 관리 및 애셋 관리에 대한 안내도 게시했습니다.
Google Cloud에 접속하면 Google Cloud 운영, Resource Manager, Cloud Deployment Manager 및 Risk Manager를 비롯한 여러 도구를 활용하여 지속적으로 클라우드 리소스를 매핑하고 관리할 수 있습니다. 위험 관리에 대한 Google의 접근 방식에 대한 정보는 Google의 인증 및 감사 보고서에서 확인할 수 있습니다.
추가 지원이 필요한 경우 Mandiant(현재 Google Cloud 소속)에서 Cyber Risk Management Operations Service, Threat Modeling Security Service, Cyber Security Due Diligence Service, Cyber Security Program Assessment 등의 위험 관리 서비스를 제공합니다.
EU 금융 기관에 대한 고려사항: DORA는 금융 부문 이슈 보고 요구사항을 간소화된 단일 프레임워크로 통합합니다. 즉, 여러 부문 또는 EU 회원국에서 운영되는 금융 기관은 시급한 상황에서 병렬적이고 중복되는 보고 체계를 탐색하지 않아도 됩니다.
또한 DORA는 NIS2와 같은 병렬 사고 보고 체계를 해결하는 것을 목표로 합니다. 이러한 변화는 규제 기관이 필요한 정보를 확보하는 동시에 금융 기관이 이슈 대응의 다른 중요한 측면에 집중할 수 있도록 지원합니다. 금융 기관은 특정 템플릿과 타임라인(아직 완전히 정의되지 않음)에 정의된 기준에 따라 이슈를 보고해야 하며 근본 원인과 이슈 이후의 개선사항을 문서화하는 절차를 구현해야 합니다.
ICT 제공업체 고려사항: ICT 제공업체는 고객의 이슈 보고 요구사항을 지원할 수 있어야 합니다. 또한 중요 ICT 제공업체의 경우 새로운 리드 감독자가 중요 ICT 관련 사고의 식별, 모니터링 및 금융 기관에 즉시 보고하는 제공업체의 프로세스를 직접 평가합니다.
Google Cloud 지원: 2025년부터 Google은 고객의 Google Cloud 사용에 영향을 미치는 ICT 관련 이슈와 관련해 업데이트된 DORA 계약 조항을 고객에게 알릴 예정입니다. 이러한 알림은 추가 비용 없이 기존 알림 채널(이메일, Service Health 대시보드, Google Cloud Support Center 포함)을 통해 제공됩니다.
이러한 요구사항은 계속해서 변화하고 있지만 Google은 최종 요구사항에 따라 금융 기관에서 자체적인 평가 및 보고를 진행하는 데 필요한 정보를 기한 내에 제공하기 위해 최선을 다하고 있습니다.
EU 금융 기관 고려사항: DORA는 TIBER-EU와 같은 기존 EU 이니셔티브를 기반으로 디지털 운영 복원력을 테스트하는 새로운 EU 전반의 접근 방식을 수립했습니다. 특정 금융 기관의 경우 3년마다 고급 위협 주도 침투 테스트(TLPT)가 포함됩니다. DORA는 테스트 방법을 명확하게 규정하고 테스트 결과에 대한 상호 인식을 도입함으로써 금융 기관이 EU 전역에서 작동하는 방식으로 테스트 기능을 계속 빌드하고 확장할 수 있도록 지원할 것입니다.
ICT 제공업체 고려사항: DORA는 금융 기관에서 수행하는 TLPT에서 ICT 제공업체의 역할을 직접 다룹니다. 특히 DORA는 합동 테스트를 통해 퍼블릭 클라우드와 같은 멀티 테넌트 서비스에 미치는 영향을 관리할 수 있습니다. 또한 중요 ICT 제공업체의 경우 새로운 리드 감독자가 제공업체의 자체 ICT 시스템, 인프라, 제어 테스트를 직접 평가합니다.
Google Cloud 지원: 2025년부터 Google은 DORA 제26(4)조에 설명된 대로 외부 테스터의 합동 테스트를 진행하여 TLPT에 참여할 예정입니다. 합동 테스트는 멀티 테넌트 환경에서 테스트를 수행하는 다른 고객에게 내재된 위험을 관리하면서 Google Cloud의 디지털 운영 복원력을 효과적으로 테스트하는 가장 좋은 방법이라고 확신합니다.
EU 금융 기관 고려사항: DORA는 ICT 서드 파티 위험 관리 프레임워크를 구현하기 위한 요구사항 및 ICT 제공업체와의 계약을 포함하여 부문 전반에 걸�� ICT 서드 파티 위험 관리를 추가로 조정함으로써 유럽 감독 당국의 개별 아웃소싱 가이드라인에 따라 강력한 기반을 구축했습니다. DORA는 여러 부문과 EU 회원국에서 유사한 위험을 일관성 있게 해결함으로써 금융 기관이 ICT 서드 파티 위험 관리 프로그램을 통합하고 개선할 수 있도록 지원합니다.
ICT 제공업체 고려사항: ICT 제공업체는 고객의 서드 파티 위험 관리 요구사항을 지원할 수 있어야 합니다. 또한 DORA는 새로운 리드 감독자가 중요 ICT 제공업체를 직접 감독할 수 있도록 허용합니다. 이 메커니즘은 감독 계획, 검사, 추천 등 연간 참여를 통해 규제 기관과 지정된 ICT 제공업체 간의 직접적인 커뮤니케이션 채널을 만듭니다.
Google Cloud 지원: 2024년 2월부터 Google은 제30조의 주요 계약 조항을 준수할 수 있도록 금융 기관에 Google Cloud 및 Google Workspace의 업데이트된 계약 약관을 제공할 예정입니다. DORA 계약 약관이 필요한 경우 자세한 내용은 Google Cloud 담당자에게 문의하세요. 또한 Google의 계약, 제어, 프로세스가 어떻게 DORA 요구사항을 충족하는 데 도움이 되는지 이해할 수 있도록 Google Cloud와 Google Workspace 모두에 적용되는 제30조에 대한 안내서도 마련했습니다.
EU 금융 기관 고려사항: DORA는 금융 기관이 다른 금융 기관 및 규제 기관과 자발적으로 사이버 위협 정보를 공유할 때의 고려사항을 간략하게 설명합니다.
ICT 제공업체 고려사항: DORA는 민감할 수 있는 정보를 보호하는 정보 공유 계약에 ICT 제공업체가 관여하는 것을 고려합니다. 하지만 이러한 계약은 아직 정의되지 않았습니다.
Google Cloud 지원: Google Cloud는 DORA의 요구사항에 따라 고객이 사이버 위협으로부터 선제적으로 보호할 수 있도록 지원하는 제품과 서비스를 제공합니다. Google은 고객이 받는 위협에 대한 전략적 인텔리전스를 제공하기 위해 분기별 위협 범위 보고서를 발표합니다. 또한 고객은 Mandiant의 이슈 대응, 사이버 위험 관리 서비스, 기술 보증 서비스를 활용하여 사이버 이슈로부터 보호하고 이에 대비할 수 있습니다.
EU 규제 기관이 중요한 ICT 제공업체로 공식 지정하기 전까지 DORA가 Google Cloud에 직접 적용되지 않지만, Google은 이미 잠재적인 직접 요구사항을 해결하기 위해 준비 중이며 지정에 대해 규제 기관과 공개적으로 소통할 계획입니다.
기존의 ICT 위험 관리 요구사항과 마찬가지로 DORA에는 EU의 금융 기관이 ICT 제공업체(클라우드 서비스 제공업체 포함)를 관리하는 방법에 대한 요구사항이 포함되어 있습니다. 이러한 요구사항은 ICT 제공업체에 직접 적용되지는 않지만 Google Cloud는 고객이 Google Cloud 서비스를 사용하면서 지속적인 성공을 거두기 위해서는 이러한 기대치를 포괄적으로 지원할 수 있어야 한다는 점을 잘 알고 있습니다.
이에 대비하기 위해 Google Cloud는 DORA의 각 중점 영역에서 제품 및 운영 역량을 지속적으로 개선하고 있습니다. 위의 예시를 참조하세요. 고객을 지원하기 위해 CISO실과 같이 고객의 질문과 의견을 처리하는 전담팀을 운영하고 있습니다. 또한 2025년 기한에 앞서 복원력, 사고 관리, 기타 주요 DORA 중점 영역에 대한 Google Cloud의 접근 방식을 자세히 파악할 수 있도록 문서 및 리소스를 계속 업데이트할 예정입니다.
DORA는 새로운 EU 규정입니다. 이 규정은 모든 EU 회원국의 금융 서비스 부문에 적용됩니다. DORA는 기존 규칙을 업데이트하고 유럽 금융 시스템의 ICT 위험을 완화하고 디지털 복원력을 강화하기 위해 강화된 공통 요구사항을 확립합니다. 또한 DORA는 EU의 금융 규제 기관에서 중요 ICT 제공업체를 직접 감독할 수 있는 새로운 프레임워크도 도입합니다.
DORA는 유럽 금융 시스템의 ICT 위험을 완화하고 디지털 복원력을 강화하기 위해 EU의 금융 기관��� 대한 강화된 공통 요구사항을 확립합니다. 특히 다음 내용이 해당됩니다.
1. DORA에는 금융 기관의 ICT 위험 관리에 관한 자세한 요구사항이 포함되어 있습니다.
2. DORA는 금융 부문 이슈 보고 요구사항을 간소화된 단일 프레임워크로 통합합니다.
3. DORA는 TIBER-EU와 같은 기존 EU 이니셔티브를 바탕으로 위협 주도 침투 테스트를 포함한 EU 전반의 디지털 운영 복원력 테스트를 위한 새로운 접근 방식을 설정합니다.
4. DORA는 ICT 제공업체와의 계약을 포함하여 부문 전반에 걸쳐 ICT 서드 파티 위험 관리를 추가로 조정함으로써 유럽 감독 당국의 개별 아웃소싱 가이드라인에 따라 강력한 기반을 구축했습니다.
또한 DORA는 금융 규제 기관에서 주요 ICT 제공업체를 직접 감독할 수 있도록 허용합니다. 이 메커니즘은 감독 계획, 검사, 추천 등 연간 참여를 통해 규제 기관과 지정된 ICT 제공업체 간의 직접적인 커뮤니케이션 채널을 만듭니다.
DORA는 주로 EU의 금융 기관에 적용됩니다. 그러나 일부 DORA는 공식 절차에 따라 EU 금융 규제 기관에서 '중요'하다고 지정한 ICT 제공업체(클라우드 서비스 제공업체 포함)에 직접 적용됩니다. 지정 대상은 ICT 제공업체의 서비스 장애로 인한 시스템적 영향과 해당 서비스에 의존하는 금융 기관의 시스템적 중요도 등 다양한 요소를 바탕으로 결정됩니다.
DORA는 2025년 1월 17일(EU 공식 저널에 게시된 날로부터 2년 20일 후)부터 적용됩니다.
DORA는 EU 금융 규제 기관에서 '중요'하다고 지정한 중요 ICT 제공업체에 직접 적용됩니다. 따라서 중요한 ICT 제공업체의 규정 준수 기한은 지정 시기에 따라 달라집니다. 공식 지정 전까지 DORA가 Google Cloud에 직접 적용되지 않지만, Google은 이미 잠재적인 직접 요구사항을 해결하기 위해 준비하고 있습니다.
Google DORA 제안서가 2020년 9월 상정된 이후 정책 입안자들과 소통해 왔습니다. 이와 동시에 Google은 입법 과정에서 DORA가 진화함에 따라 잠재 고객의 기대치와 자체 책임을 분석할 준비 프로그램을 설정했습니다.
이제 DORA의 전문이 확정되었으므로 Google Cloud의 교차 기능 팀(위험 및 규정 준수, 보안, 법무, 공무 및 제품 분야 전문가 포함)에서 세부정보를 검토하고 필요한 경우 규정 준수 계획을 준비하고 구현하고 있습니다. 이러한 계획은 보안, 복원력, 서드 파티 위험 관리 등의 영역에 대한 Google의 강력한 기반을 토대로 하며, 이를 통해 이미 고객이 EBA 아웃소싱 가이드라인, EIOPA 클라우드 아웃소싱 가이드라인, ESMA 클라우드 아웃소싱 가이드라인에 따른 엄격한 기대치를 충족할 수 있습니다.
Google은 구현 기간을 활용하여 각 DORA 중점 영역의 역량을 더욱 강화하고자 합니다. Google의 목표는 유럽 조직의 각자의 방식에 따른 지속 가능한 디지털 혁신을 위해 Google Cloud를 최고의 서비스로 만드는 것입니다.
DORA의 법안은 확정되었지만, 몇 가지 중요한 요구사항이 DORA 2단계 법률이라고 하는 보조 법률에 추가로 명시되어야 합니다. 여기에는 이슈 보고, 위협 주도 침투 테스트 및 하도급과 같은 주요 분야에 대한 규제 기술 표준 또는 'RTS'가 포함됩니다.
Google은 해당되는 경우 최종 2단계 요구사항이 해결되어야 함을 알고 있습니다. 하지만 2단계 초안은 변경될 수 있으므로 선점할 수는 없습니다.
Google Cloud는 정책 입안자와 고객을 지원하기 위해 DORA 2단계 법률에 대한 EU 정책 논의에 적극적으로 참여하고 있습니다. Google은 앞으로도 투명하고 건설적인 방식으로 DORA 관련 논의에 참여할 것입니다. 특히 다음을 지지합니다.
각 2단계 법률과 DORA에서 규정하는 위임장 간의 일관성
글로벌 금융 부문 및 기타 병행 EU 제도(예: 이슈 보고)의 성숙한 접근 방식과의 조화
특히 일부 ICT 서비스에 적합할 수 있는 규제 접근 방식이 퍼블릭 클라우드 서비스에 적용될 경우 금융 부문의 복원력에 의도하지 않은 부정적인 영향을 미칠 수 있는 비례성
DORA가 적용되는 중요 ICT 제공업체를 위한 감독 프레임워크는 ICT 제공업체, 금융 기관, 금융 규제 기관 간의 이해, 투명성, 신뢰를 높이고 궁극적으로 유럽 금융 부문의 혁신을 촉진할 수 있는 진정한 기회를 창출합니다. DORA는 감독 계획, 검사, 추천 등 연간 참여를 통해 규제 기관과 지정된 ICT 제공업체 간의 직접적인 커뮤니케이션 채널을 만듭니다. Google은 이 체계적인 대화가 모든 부문의 위험 관리 및 복원력을 개선하는 데 도움이 될 것이라고 확신합니다.
Google Cloud는 규제 기관에서 금융 기관의 Google Cloud 서비스 사용을 효과적으로 감독할 수 있도록 지원하기 위해 최선을 다하고 있습니다. 금융 기관, 해당 규제 기관 및 피지정인에게 정보, 감사, 액세스 권한을 부여하며, 금융 기관 또는 해당 규제 기관이 권한을 실행하기로 선택하는 경우 고객을 지원합니다. Google은 지속적인 투명성, 협업, 신뢰를 위한 노력의 일환으로 리드 감독자와 관계를 맺고 있습니다.
Google은 직접 감독 기능이 규제 기관의 커뮤니케이션, 효율적인 감사, 기한 내에 문제를 해결하겠다는 약속을 효과적으로 지원할 수 있도록 노력하고 있습니다. Google은 직접적인 요구사항에 대한 계획에 중점을 두고 있지만, 실제로 규제 감독이 작동하는 방식은 여전히 감독에 대한 규제 기술 표준에서 확정되어야 합니다.
2024년 2월부터 Google은 제30조의 주요 계약 조항을 준수할 수 있도록 금융 기관에 Google Cloud 및 Google Workspace의 업데이트된 계약 약관을 제공할 예정입니다. DORA 계약 약관이 필요한 경우 자세한 내용은 Google Cloud 담당자에게 문의하세요.
또한 Google의 계약, 제어, 프로세스가 어떻게 DORA 요구사항을 충족하는 데 도움이 되는지 이해할 수 있도록 Google Cloud와 Google Workspace 모두에 적용되는 제30조에 대한 안내서도 마련했습니다.
Google Cloud와 전 세계 고객의 Google 서비스 사용에 큰 영향을 미치는 금융 서비스 부문 정책 개발에 관여합니다.
정책 입안자들이 DORA와 유사한 접근 방식을 고려하는 경우 먼저 이 접근 방식이 개선이 필요한 분야를 비롯해 기존 현지 규제 프레임워크에 어떻게 부합하는지를 고려합니다. 유럽 위원회는 DORA 초안을 제안하기 전에 2020년에 이 문제에 대해 자문했습니다.
정책 입안자들이 다른(잠재적으로 직접적인) 규제 접근 방식의 필요성을 확인한 영역에 대해 Google은 클라우드 서비스에 대한 기술 전문성을 공유하고 다음을 지속적으로 지지합니다.
요구사항의 조화 및 중복 삭제(국가 내 및 국가 간 모두)
균형 잡히고 목적에 부합하는 요구사항
혁신을 장려하는 기술 중립적인 접근 방식
- 모든 고객을 위해 서비스의 보안 및 무결성을 존중하는 접근 방식
영국은 현재 금융 부문의 중요한 서드 파티 제공업체에 대해 직접적인 규제 프레임워크를 고려하는 국가의 예입니다. Google은 위의 원칙에 따라 상담 자료를 작성하고 있습니다.
DORA가 유럽의 클라우드 제공업체에 적용되는 유일한 규정이 아니라는 점을 기억해야 합니다. NISD2 지침은 또한 중요한 서드 파티에 대해 부문에 구애받지 않는 감독 기능을 도입하며, 규제가 엄격한 산업의 클라우드 서비스에 적용되는 국가 요구사항이 많습니다.
금융 서비스에 클라우드를 도입하는 것은 아직 새로운 단계이며, 향후 규제를 통해 이러한 유형의 혁신을 촉진해야 합니다. 국가마다 금융 서비스 생태계의 보안 및 운영 복원력을 보장하기 위해 다양한 접근 방식을 취하게 될 것이며 직접 규제나 감독만이 다양한 시장에 적합한 솔루션은 아닙니다. 다른 관할권의 규제 기관에서도 표준, 수평적 규칙, 자체 규제 관행에 주력하고 있다는 것을 잘 알고 있습니다. 정책 입안자가 어떤 접근 방식을 취하든, 적용되는 원칙이 글로벌 기술 기업과 해외 디지털 금융 생태계에 영향을 미치기 때문에 전반적으로 규제 일관성과 조화를 보장하는 것이 중요합니다.