DORA 입법과 프라이버시 보호 기술 및 생성형 AI의 연관성

DORA에 대하여

​

DORA(Digital Operational Resilience Act)는 유럽연합(EU)이 금융기관의 디지털 운영 복원력을 강화하기 위해 도입한 규제로, 정보통신기술(ICT) 관련 리스크를 효과적으로 관리하고 완화하는 것을 목표로 합니다. 이는 사이버 공격, 시스템 장애 등 다양한 디지털 위협으로부터 금융 부문을 보호하며, 사고 보고, ICT 리스크 평가, 제3자 리스크 관리, 거버넌스 프레임워크 유지 등의 주요 영역을 다룹니다. DORA는 금융기관이 지속적으로 운영 연속성을 유지하면서도 엄격한 데이터 보호 규정을 준수하도록 요구합니다.

​

한국 시장과의 연관성

​

금융 네트워크와 데이터 교류가 긴밀히 연결된 한국 시장에서도 DORA는 중요한 시사점을 제공합니다.

한국의 금융기관이 유럽 내 고객 및 파트너와의 거래를 유지하려면 DORA 규정을 준수해야 할 가능성이 높습니다.

특히, 국내 금융기관이 ESG(환경, 사회, 거버넌스) 관점에서 글로벌 스탠다드에 부합하려는 움직임 속에서, DORA와 같은 규제 준수는 신뢰도를 높이는 중요한 요소로 작용합니다. 또한, 금융권의 디지털화와 클라우드 기반 시스템 의존도가 높아지는 상황에서 DORA가 제시하는 리스크 관리 및 데이터 보호 프레임워크는 한국 금융기관이 사이버 복원력을 강화하는 데 유용한 벤치마크가 될 것입니다.

​

디지털 기술에 대한 의존도가 높아지면서 특히 금융과 같은 중요 부문에서 복잡한 리스크 환경이 조성되었습니다. 이러한 과제를 해결하기 위해 유럽연합은 2022년 금융기관들이 운영 연속성을 유지하면서 사이버 위협을 견디고 복구할 수 있도록 디지털 운영 복원력 법(DORA)을 도입했습니다. 당시에는 생성형 AI가 주요 고려사항이 아니었고, 새로운 프라이버시 보호 기술(PPT)이 CSO의 5년 예산 계획에서 크게 다뤄지지 않았습니다. 세상이 변했습니다. 생성형 AI의 책임있는 사용과 PPT의 도입은 민감한 데이터를 보호하면서 DORA 법규를 준수하는 데 중요한 역할을 합니다. 복원력과 데이터 프라이버시의 균형을 맞추는 것이 더욱 복잡해졌고, 벤더와 자문 파트너 에코시스템이 그 어느 때보다 가치 있게 되었습니다.

​

DORA와 운영 복원력에 대한 초점

​

DORA는 금융 부문의 디지털 운영 복원력을 위한 포괄적인 프레임워크를 수립합니다. 은행에서 결제 프로세서에 이르기까지 금융기관들이 정보통신기술과 관련된 리스크를 관리하고 완화할 수 있도록 하는 것을 목표로 합니다. DORA가 다루는 주요 영역에는 사고 보고, 정기적인 ICT 리스크 평가, 제3자 리스크 관리, 강력한 거버넌스 프레임워크 유지가 포함됩니다.

​

이 법규는 사이버 공격에서 ICT 장애에 이르기까지 광범위한 위협으로부터 금융 부문을 강화하기 위해 만들어졌습니다. McKinsey에 따르면 금융기관의 94%가 법규의 세부 요구사항을 이해하는 데 전념하고 있으며, 대부분은 DORA를 이사회 수준의 의제로 삼아 전담 DORA 프로그램을 통해 이를 수행하고 있습니다. 글로벌 CrowdStrike 사고로 ICT 중단으로 인해 수천 건의 항공편이 지연되고, 수술이 취소되고, 온라인 뱅킹이 중단되었습니다. 그러나 DORA는 또한 금융기관이 개인정보와 금융 기록과 같은 상당한 양의 민감한 데이터를 처리할 것을 요구합니다. 이는 특히 GDPR과 같은 데이터 보호법의 맥락에서 운영 복원력과 프라이버시 컴플라이언스의 균형을 맞추는 과제를 도입합니다. 프라이버시 보호 기술과 AI 기술의 통합은 조직이 이러한 규제 환경을 탐색하는 데 도움이 될 수 있습니다.

​

DORA 컴플라이언스에서 프라이버시 보호 기술의 역할

​

프라이버시 보호 기술을 통해 조직은 필수적인 운영, 분석 및 컴플라이언스 노력을 위해 데이터를 활용하면서도 민감한 정보를 보호할 수 있습니다. DORA가 복원력과 사이버보안을 모두 강조하므로, 이러한 기술은 금융 부문이 운영 복원력 목표를 달성하면서 프라이버시 표준을 유지하는 데 필수적입니다.

​

1. 암호화

​

DORA에서 암호화는 특히 ICT 시스템에서 데이터 전송과 저장 중에 금융 및 개인 데이터를 보호하는 데 핵심적인 역할을 합니다. 사이버 사고나 침해가 발생할 경우 기본 데이터가 보호된 상태로 유지되도록 보장하여 데이터 유출 위험을 최소화하고 DORA와 GDPR 모두를 준수하도록 합니다.

권장사항: 데이터의 리스크 프로필과 회사 정책에 따라 암호화를 적용하십시오. 클라우드 네이티브 암호화와 CipherTrust Transparent Encryption과 같은 서드파티 도구의 균형이 필요할 것입니다.

​

2. 익명화와 가명화

​

익명화는 데이터를 개인으로 추적할 수 없도록 되돌릴 수 없게 변환하는 반면, 가명화는 식별 가능한 정보를 가상의 데이터로 대체합니다. 이러한 기술은 특히 DORA가 요구하는 대로 제3자 ICT 제공업체와 데이터를 공유하거나 사고 보고 및 평가를 수행하는 데 유용합니다. 개인 식별 정보가 노출되지 않도록 함으로써 조직은 GDPR의 데이터 보호 규칙을 침해하지 않으면서 DORA의 투명성 요구사항을 준수할 수 있습니다.

​

권장사항: 데이터의 리스크 프로필과 회사 정책에 따라 토큰화를 적용하십시오. 애플리케이션이 중단 없이 계속 작동하기 위해 포맷 보존이 필요한지 반드시 이해하십시오.

​

3. 동형 암호화와 제로 지식 증명(ZKP)

​

동형 암호화와 제로 지식 증명(ZKP)과 같은 고급 프라이버시 기술이 DORA의 ICT 리스크 관리 프레임워크에서 더욱 중요해지고 있습니다. 동형 암호화를 통해 금융기관은 암호화된 데이터에 대해 연산을 수행할 수 있어, 민감한 정보의 기밀성을 유지하면서 리스크 분석이나 감사를 실행하는 데 유용합니다. ZKP를 통해 한 당사자가 실제 데이터를 공개하지 않고도 특정 정보(보안 프로토콜 준수 등)를 보유하고 있다는 것을 증명할 수 있어, DORA에 따른 보안 감사와 컴플라이언스 보고에 이상적입니다.

​

권장사항: 연구 환경 내에서 이러한 혁신적인 기술의 사용을 평가하십시오. 그런 다음 기존의 암호화 및 토큰화 배포와 결합하십시오. 적절한 경우 통합 중앙집중식 키 관리 체제​로 기술을 뒷받침하십시오. 모든 상황에 맞는 단일 솔루션은 없으며 강력한 체제는 다양한 기술의 조합이 될 것임을 기억하십시오.

​

DORA 컴플라이언스에 대한 생성형 AI의 영향

​

텍스트, 이미지, 심지어 코드까지 새로운 콘텐츠를 생성할 수 있는 AI의 하위 집합인 생성형 AI가 금융 부문에서 점점 더 보편화되고 있습니다. 생성형 AI의 응용은 고객 서비스 자동화에서 리스크 관리를 위한 예측 모델 생성에 이르기까지 다양합니다. 그러나 이러한 강력한 도구의 도입은 특히 운영 복원력과 프라이버시와 관련하여 DORA 컴플라이언스의 맥락에서 고유한 과제를 제시합니다.

​

1. 생성형 AI를 활용한 사이버 보안 및 리스크 관리

​

생성형 AI는 사이버 보안 및 리스크 관리에서 중요한 역할을 하며, 이는 DORA(Digital Operational Resilience Act)의 운영 복원력 요건과 밀접하게 연관되어 있습니다. AI 모델은 방대한 데이터 세트에서 패턴을 식별하여 잠재적 취약점을 탐지하고 사이버 위협을 예측할 수 있습니다. AI 기반 시스템은 네트워크 활동을 지속적으로 모니터링하며, 공격 징후로 보이는 이상 징후를 감지합니다. 이러한 사전 대응 방식은 ICT 위험 관리 및 운영 중단에 신속히 대응해야 한다는 DORA의 요구 사항과 직접적으로 일치합니다.

​

생성형 AI는 고급 리스크 평가에서도 중요한 역할을 합니다. AI 알고리즘은 잠재적인 사이버 공격을 시뮬레이션하고, 그 영향을 모델링하며, 강력한 incident response(사고 대응) 전략을 개발하는 데 도움을 줍니다. 이러한 예측 기능은 금융 기관이 새로운 위험에 대비하는 데 도움을 주어 DORA의 복원력 요건을 강화합니다.

​

권장사항: Thales Imperva Data Security Fabric과 같은 위협 분석, 데이터 모니터링, 규제 준수 감사 도구를 활용하십시오. 또한, 사고 대응 시뮬레이션 플랫폼을 사용하고, 가능한 수작업 프로세스를 자동화하여 예측 기반 사고 대응 전략에 통합하십시오.

​

2. 생성형 AI와 개인정보 보호 우려

​

생성형 AI는 잠재력은 무궁무진하지만 민감한 금융 및 개인 데이터를 훈련 자료로 사용할 때 새로운 개인정보 보호 위험을 초래할 수 있습니다. AI 모델은 출력물을 통해 기밀 정보를 무의식적으로 노출할 가능성이 있습니다. 예를 들어, 고객 상호작용 데이터를 기반으로 훈련된 언어 모델은 개인 식별 정보를 포함하는 응답을 생성할 수 있습니다.

​

이를 해결하려면 프라이버시를 보장하는 AI 기술을 채택해야 합니다. Confidential Computing 보안 영역을 활용하여 데이터를 암호화한 상태로 처리하고, 검증된 보안 환경에서만 암호를 해제하는 방식이 효과적입니다. 또한, Differential Privacy(차등 개인정보 보호) 기술은 AI 모델이 훈련 세트의 개별 데이터를 노출하지 않도록 보장해 개인정보 보호 문제를 완화합니다. End-to-End Confidential Computing과 Differential Privacy를 AI 훈련 프로세스에 통합하면, 금융 기관은 DORA의 운영 요건과 GDPR의 데이터 보호 규정을 모두 준수할 수 있습니다.

​

권장사항: Thales의 End-to-End Data Protection(엔드투엔드 데이터 보호)을 사용하세요. 이 솔루션은 Intel 및 Microsoft와 협력하여 클라우드 기반 보안 영역, 암호화, 인증을 활용해 개인정보를 보호하면서 생성형 AI를 안전하게 사용할 수 있도록 합니다.

​

3. AI 기반 자동화와 사고 보고

​

생성형 AI는 DORA의 사고 보고 프로세스를 간소화하여 금융 기관이 ICT 관련 사고에 대한 포괄적인 보고서를 자동으로 생성할 수 있도록 합니다. 여기에는 사고의 영향 평가, 취약점 식별, 해결 조치 권고가 포함됩니다. AI 기반 자동화는 보고 프로세스를 가속화할 뿐만 아니라 정확성을 보장하여 중요한 규제 준수 작업에서 발생할 수 있는 인적 오류를 줄입니다.

​

하지만 투명성이 중요합니다. AI가 생성한 보고서는 규제 기관과 감사관이 이해할 수 있도록 명확하고 해석 가능한 형식을 유지해야 합니다. 이는 ICT 위험 관리와 복원력 조치에서 DORA가 강조하는 거버넌스 표준과 일치합니다.

​

AI와 개인정보 보호를 통한 복원력의 미래

​

금융 서비스의 미래는 AI와 데이터 중심의 혁신에 의해 좌우될 것입니다. 운영 복원력을 강화하기 위해 AI를 채택하는 금융 기관은 암호화, 익명화, 차등 개인정보 보호와 같은 개인정보 보호 방법을 통합해야 합니다. 이는 AI가 개인정보 위험 요소가 되지 않도록 보장합니다. 연합 학습(Federated Learning), 동형 암호화(Homomorphic Encryption)와 같은 새로운 기술도 도입되고 있으므로 이를 주의 깊게 모니터링해야 합니다.

​

생성형 AI 사용이 확산됨에 따라 DORA의 복원력 요구 사항 및 GDPR과 같은 개인정보 보호 규정을 준수하려면 혁신과 개인정보 보호 사이의 균형을 신중히 유지해야 합니다. 강력한 개인정보 보호 기술과 책임 있는 AI 관행을 함께 구현하면 금융 기관은 안전하고 복원력 있으며 규정을 준수하는 디지털 미래를 구축할 수 있습니다.

​

더 알아보기: Thales와 함께 DORA 준수 준비 방법에 대해 알아보십시오.

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다