고객: 한국은행 계열 지역은행 서울중앙은행 주식회사 자산: 12조 원 주요 ICT 서비스: 인터넷뱅킹, 모바일뱅킹, 코어뱅킹 시스템 중요 제3자: 클라우드 서비스 제공업체 2개, 결제 처리업체 1개
목차
DORA 개념 기초
ICT 리스크 관리 프레임워크
DORA 제1장 제8조는 금융기관이 ICT 리스크 관리 프레임워크를 구축하도록 요구합니다. 이 프레임워크는 기존의 일반적인 IT 거버넌스를 넘어서 운영 복원력에 초점을 맞춘 특별한 구조입니다. DORA 제2조는 "ICT 리스크"를 ICT 시스템의 가용성, 진정성, 무결성 또는 기밀성에 대한 손상 가능성으로 정의합니다.
감사인 관점에서 이는 ISA 315.26의 정보 시스템 이해를 확장합니다. 기존에는 재무보고와 직접 관련된 시스템에 집중했다면, DORA 하에서는 금융기관의 모든 핵심 ICT 시스템의 복원력을 평가해야 합니다. 여기에는 거래 처리, 리스크 관리, 고객 서비스, 내부 통제를 지원하는 시스템이 모두 포함됩니다.
제3자 리스크 관리
DORA 제5장은 중요한 제3자 서비스 제공업체(Critical Third-Party Provider, CTP)에 대한 특별한 요구사항을 설정합니다. DORA 제28조에 따르면 금융기관은 모든 ICT 제3자 서비스 제공업체를 등록하고 위험도에 따라 분류해야 합니다. 중요한 제3자로 분류된 업체와의 계약에는 DORA 제30조가 정한 필수 조항들이 포함되어야 합니다.
이는 감사인에게 새로운 평가 영역을 열어줍니다. ISA 402.9는 서비스 조직 사용 시 통제 환경을 이해하도록 요구하지만, DORA는 이를 한 단계 더 발전시킵니다. 이제 금융기관이 제3자의 사이버 보안 역량, 사건 대응 계획, 복구 목표를 어떻게 평가하고 모니터링하는지 검토해야 합니다.
리스크 평가에 미치는 영향
ISA 315와 DORA의 연결점
DORA는 ISA 315.13의 기업 및 그 환경에 대한 이해 요구사항을 크게 확장합니다. 기존에는 기업의 규제 환경과 적용 가능한 재무보고 프레임워크에 집중했다면, 이제는 ICT 복원력 요구사항과 사이버 위협 환경도 평가해야 합니다.
특히 DORA 제18조의 ICT 관련 사건 보고 요구사항은 감사인의 후속사건 절차에 직접적인 영향을 미칩니다. ISA 560.6은 재무제표일 이후 발생한 사건을 식별하고 평가하도록 요구하는데, 이제 여기에는 DORA가 정의한 중대한 ICT 관련 사건도 포함됩니다.
내부통제 평가의 변화
DORA는 내부통제 평가 범위를 상당히 넓힙니다. DORA 제13조는 금융기관이 ICT 관련 사건을 분류하고, 기록하고, 모니터링하는 절차를 구축하도록 요구합니다. 감사인은 이러한 절차가 실제로 작동하는지, 중대한 사건이 적시에 식별되고 보고되는지 확인해야 합니다.
또한 DORA 제11조의 복구 계획 요구사항은 비즈니스 연속성 통제 평가를 더욱 구체화합니다. 기존에는 일반적인 재해복구 계획을 검토했다면, 이제는 복구 시간 목표(RTO), 복구 지점 목표(RPO), 최소 비즈니스 연속성 목표(MBCO)가 명시되고 정기적으로 테스트되는지 확인해야 합니다.
제3자 서비스 조직 평가
DORA 하에서 제3자 서비스 조직 평가는 더욱 복잡해집니다. DORA 제28조는 금융기관이 모든 ICT 제3자 계약을 등록하고 위험도를 평가하도록 요구합니다. 감사인은 이러한 평가가 적절한지, 중요한 제3자가 올바르게 식별되었는지 확인해야 합니다.
중요한 제3자의 경우 DORA 제30조의 계약 필수 조항이 모두 포함되었는지 검토해야 합니다. 여기에는 감사권, 해지권, 하위 아웃소싱 통지, 데이터 접근성 보장 등이 포함됩니다. 이러한 조항들이 누락되면 금융기관이 제3자 리스크를 적절히 관리할 수 없게 됩니다.
실무 적용 사례
고객: 한국은행 계열 지역은행 서울중앙은행 주식회사
자산: 12조 원
주요 ICT 서비스: 인터넷뱅킹, 모바일뱅킹, 코어뱅킹 시스템
중요 제3자: 클라우드 서비스 제공업체 2개, 결제 처리업체 1개
1단계: ICT 자산 인벤토리 검토
서울중앙은행의 ICT 자산 인벤토리를 검토합니다. DORA 제8조.2에 따라 모든 ICT 자산이 목록화되고 위험도에 따라 분류되어야 합니다.
문서화 노트: 자산 인벤토리가 완전한지, 비즈니스 영향도 분석이 각 자산에 대해 수행되었는지 확인. 인벤토리 갱신 주기와 책임자 명시 여부 검토.
2단계: 제3자 등록부 검증
은행의 제3자 서비스 제공업체 등록부를 검토합니다. 3개의 중요 제3자가 모두 등록되어 있고, DORA 제28조.1의 요구사항에 따라 위험도가 평가되었는지 확인합니다.
문서화 노트: 각 제3자에 대한 위험도 평가 근거를 문서화. 중요도 분류 기준이 DORA 기준과 일치하는지 확인. 등록부가 최소 연 1회 갱신되는지 검토.
3단계: ICT 관련 사건 보고 절차 테스트
지난 12개월간 발생한 ICT 관련 사건 3건을 선정하여 DORA 제18조의 보고 요구사항 준수 여부를 확인합니다. 각 사건이 24시간 내에 내부적으로 보고되었는지, 중대한 사건의 경우 감독당국에 적시 보고되었는지 검토합니다.
문서화 노트: 사건 분류 기준이 명확히 정의되어 있는지, 보고 시한이 준수되었는지, 근본 원인 분석이 수행되었는지 확인. 유사 사건 재발 방지 조치의 효과성 평가.
4단계: 디지털 운영 복원력 테스트 검토
은행이 DORA 제26조에 따라 수행한 위협 주도 침투 테스트(TLPT) 결과를 검토합니다. 테스트 범위가 적절한지, 식별된 취약점에 대한 개선 조치가 수행되었는지 확인합니다.
문서화 노트: TLPT가 3년 주기로 수행되고 있는지, 테스트 시나리오가 은행의 실제 위협 환경을 반영하는지, 개선 조치 이행 상황을 추적하는 체계가 있는지 검토.
결론: 서울중앙은행은 DORA 요구사항을 대부분 충족하고 있으나, 제3자 계약 조항 일부가 미흡하고 사건 분류 기준을 더욱 구체화할 필요가 있습니다. 감사 의견에는 영향을 주지 않지만 관리서한에서 개선 권고사항으로 제시할 예정입니다.
체크리스트
- ICT 거버넌스 구조 확인: DORA 제8조에 따른 ICT 리스크 관리 프레임워크가 이사회 승인을 받았는지, 명확한 책임 체계가 수립되었는지 검토합니다.
- 제3자 서비스 제공업체 등록 검증: 모든 ICT 제3자가 DORA 제28조 요구사항에 따라 등록되고 위험도가 평가되었는지 확인합니다.
- 사건 보고 절차 테스트: ICT 관련 사건이 DORA 제18조의 시간 요구사항(초기 보고 24시간, 중간 보고 1주일, 최종 보고 1개월)에 맞춰 보고되는지 검증합니다.
- 복구 계획 검토: 비즈니스 연속성 계획이 DORA 제11조의 RTO, RPO, MBCO 요구사항을 포함하고 있는지, 정기적으로 테스트되는지 확인합니다.
- 디지털 운영 복원력 테스트 평가: TLPT가 3년 주기로 수행되고 있는지, 식별된 취약점에 대한 개선 조치가 적시에 이행되는지 검토합니다.
- 가장 중요한 사항: DORA는 금융기관의 운영 복원력을 종합적으로 평가하는 프레임워크입니다. 개별 요구사항보다는 전체적인 ICT 리스크 관리 역량을 평가하는 것이 핵심입니다.
일반적인 실수
- 제3자 평가 범위 축소: 많은 감사팀이 주요 IT 벤더만 검토하고 소규모 서비스 제공업체를 간과합니다. DORA는 모든 ICT 제3자의 등록과 평가를 요구합니다.
- 사건 분류 기준 미검증: 금융기관이 자체적으로 설정한 ICT 관련 사건 분류 기준이 DORA 요구사항과 일치하는지 확인하지 않는 경우가 빈번합니다.
관련 자료
- ISA 315 리스크 평가 가이드 - DORA 요구사항과 연계된 리스크 평가 절차에 대한 상세 설명
- ICT 리스크 체크리스트 - 금융기관 감사 시 사용할 수 있는 DORA 준수 체크리스트