금융 감사인을 위한 DORA ICT 리스크: 2025년 업무에 필요한 핵심 사항

DORA 개념 기초

ICT 리스크 관리 프레임워크

DORA 제1장 제8조는 금융기관이 ICT 리스크 관리 틀을 구축하도록 요구한다. 이 구조는 일반적인 IT 거버넌스보다 한 단계 더 들어가 운영 복원력에 초점을 둔다. DORA 제2조는 "ICT 리스크"를 ICT 시스템의 가용성·진정성·무결성·기밀성 손상 가능성으로 정의한다.

감사인 관점에서 이는 ISA 315.26의 정보 시스템 이해를 확장하는 일이 된다. 기존에는 재무보고와 직접 연결된 시스템에 초점을 맞췄다. DORA 하에서는 금융기관의 모든 핵심 ICT 시스템의 복원력을 평가해야 한다. 거래 처리, 리스크 관리, 고객 서비스, 내부통제를 지원하는 시스템이 전부 대상이 된다.

실무에서 이것이 의미하는 것: ITGC 평가의 범위가 사실상 한 단계 넓어진다. 재무제표 연계성만으로 스코핑하던 관행이 더는 통하지 않는다.

제3자 리스크 관리

DORA 제5장은 중요한 제3자 서비스 제공업체(Critical Third-Party Provider, CTP)에 대한 별도 요구사항을 설정한다. DORA 제28조는 금융기관이 모든 ICT 제3자 서비스 제공업체를 등록하고 위험도에 따라 분류하라고 명시한다. 중요한 제3자로 분류된 업체와의 계약에는 DORA 제30조가 정한 필수 조항이 반드시 들어가야 한다.

이는 감사인에게 새 평가 영역이 생긴다는 뜻이다. ISA 402.9는 서비스 조직 이용 시 통제 환경을 이해하라고 요구한다. DORA는 여기에 한 단계를 더 얹는다. 금융기관이 제3자의 사이버 보안 역량, 사건 대응 계획, 복구 목표를 어떻게 평가하고 모니터링하는지까지 조서에 담아야 한다.

리스크 평가에 미치는 영향

ISA 315와 DORA의 연결점

DORA는 ISA 315.13의 기업 및 그 환경 이해 요구사항을 크게 넓힌다. 기존에는 규제 환경과 적용 가능한 재무보고 틀에 초점이 있었다. 이제는 ICT 복원력 요구사항과 사이버 위협 환경까지 평가해야 한다.

DORA 제18조의 ICT 관련 사건 보고 요구사항은 감사인의 후속사건 절차에 직접 영향을 준다. ISA 560.6은 재무제표일 이후 발생한 사건을 식별하고 평가하도록 요구한다. 이제 여기에 DORA가 정의한 중대한 ICT 관련 사건이 추가된다.

내부통제 평가의 변화

DORA는 내부통제 평가 범위를 넓힌다. DORA 제13조는 금융기관이 ICT 관련 사건을 분류하고 기록하고 모니터링하는 절차를 구축하라고 요구한다. 감사인은 이 절차가 실제로 돌아가는지, 중대한 사건이 제때 식별되고 보고되는지 확인해야 한다.

DORA 제11조의 복구 계획 요구사항은 비즈니스 연속성 통제 평가를 더 촘촘하게 만든다. 기존에는 일반 재해복구 계획을 검토했다. 이제는 복구 시간 목표(RTO), 복구 지점 목표(RPO), 최소 비즈니스 연속성 목표(MBCO)가 명시되고 정기적으로 테스트되는지까지 확인해야 한다.

DORA 때문에 ITGC 평가의 범위가 커지는데 실무에서는 "어디까지 테스트해야 하는가"의 답이 없다. 파트너마다 판단이 다르다. 내부회계관리제도와 겹치는 지점까지 들어가면 조서 페이지가 한 번에 두세 배로 뛰기도 한다.

제3자 서비스 조직 평가

DORA 하에서 제3자 평가는 더 복잡해진다. DORA 제28조는 금융기관이 모든 ICT 제3자 계약을 등록하고 위험도를 평가하도록 요구한다. 감사인은 이 평가가 적정한지, 중요한 제3자가 제대로 식별되었는지 확인해야 한다.

중요한 제3자의 경우 DORA 제30조의 계약 필수 조항이 모두 들어갔는지 검토해야 한다. 감사권, 해지권, 하위 아웃소싱 통지, 데이터 접근성 보장 같은 조항이 여기에 포함된다. 이런 조항이 빠지면 금융기관은 제3자 리스크를 관리할 수단 자체가 없어진다.

실무 적용 사례

고객: 한국은행 계열 지역은행 서울중앙은행 주식회사 자산: 12조 원 주요 ICT 서비스: 인터넷뱅킹, 모바일뱅킹, 코어뱅킹 시스템 중요 제3자: 클라우드 서비스 제공업체 2개, 결제 처리업체 1개

1단계: ICT 자산 인벤토리 검토

서울중앙은행의 ICT 자산 인벤토리를 검토한다. DORA 제8조.2에 따라 모든 ICT 자산이 목록화되고 위험도에 따라 분류되어야 한다.

문서화 노트: 자산 인벤토리가 완전한지, 비즈니스 영향도 분석이 각 자산에 수행되었는지 확인. 인벤토리 갱신 주기와 책임자 명시 여부 검토.

2단계: 제3자 등록부 검증

은행의 제3자 서비스 제공업체 등록부를 검토한다. 3개의 중요 제3자가 모두 등록되어 있고 DORA 제28조.1의 요구사항에 따라 위험도가 평가되었는지 확인한다.

문서화 노트: 각 제3자에 대한 위험도 평가 근거를 문서화. 중요도 분류 기준이 DORA 기준과 일치하는지 확인. 등록부가 최소 연 1회 갱신되는지 검토.

3단계: ICT 관련 사건 보고 절차 테스트

지난 12개월간 발생한 ICT 관련 사건 3건을 뽑아 DORA 제18조의 보고 요구사항 준수 여부를 확인한다. 각 사건이 24시간 내 내부 보고되었는지, 중대한 사건의 경우 감독당국에 제때 보고되었는지 검토한다.

문서화 노트: 사건 분류 기준이 명확히 정의되어 있는지, 보고 시한이 지켜졌는지, 근본 원인 분석이 수행되었는지 확인. 재발 방지 조치의 효과성 평가.

4단계: 디지털 운영 복원력 테스트 검토

은행이 DORA 제26조에 따라 수행한 위협 주도 침투 테스트(TLPT) 결과를 검토한다. 테스트 범위가 적정한지, 식별된 취약점에 개선 조치가 수행되었는지 확인한다.

문서화 노트: TLPT가 3년 주기로 수행되는지, 테스트 시나리오가 은행의 실제 위협 환경을 반영하는지, 개선 조치 이행 상황을 추적하는 체계가 있는지 검토.

결론: 서울중앙은행은 DORA 요구사항을 대체로 충족한다. 다만 제3자 계약 조항 일부가 미흡하고 사건 분류 기준을 더 구체화할 필요가 있다. 감사 의견에 영향을 주는 수준은 아니며 관리서한에서 개선 권고사항으로 제시할 예정이다.

체크리스트

1. ICT 거버넌스 구조 확인: DORA 제8조에 따른 ICT 리스크 관리 틀이 이사회 승인을 받았는지, 책임 체계가 명확한지 검토한다.

2. 제3자 서비스 제공업체 등록 검증: 모든 ICT 제3자가 DORA 제28조 요구사항에 따라 등록되고 위험도가 평가되었는지 확인한다.

3. 사건 보고 절차 테스트: ICT 관련 사건이 DORA 제18조의 시간 요구사항(초기 보고 24시간, 중간 보고 1주일, 최종 보고 1개월)에 맞춰 보고되는지 검증한다.

4. 복구 계획 검토: 비즈니스 연속성 계획이 DORA 제11조의 RTO, RPO, MBCO 요구사항을 담고 있는지, 정기적으로 테스트되는지 확인한다.

5. 디지털 운영 복원력 테스트 평가: TLPT가 3년 주기로 수행되는지, 식별된 취약점의 개선 조치가 제때 이행되는지 검토한다.

6. 가장 중요한 지점: DORA는 금융기관의 운영 복원력을 통으로 평가하는 규정이다. 개별 조항 준수 여부보다 전체 ICT 리스크 관리 역량을 보는 것이 핵심이다.

일반적인 실수

- 제3자 평가 범위 축소: 많은 감사팀이 주요 IT 벤더만 검토하고 소규모 제공업체를 빼먹는다. DORA는 모든 ICT 제3자의 등록과 평가를 요구한다.

- 사건 분류 기준 미검증: 금융기관이 자체 설정한 ICT 관련 사건 분류 기준이 DORA 요구사항과 맞는지 확인하지 않는 경우가 자주 나온다.