점점 더 디지털화되는 세상에서 사이버 공격은 더욱 빈번해지고 정교해지고 있습니다. 모든 중요 인프라가 제3자 ICT 서비스 제공업체에 크게 의존하고 있는 만큼, 표준화되고 검증 가능한 조직 식별기호를 통해 이러한 제공업체를 일관되고 명확하게 식별하는 것이 신뢰 및 사이버 회복력을 보장하는 데 중요합니다. 유럽연합의 디지털 운영 회복력 법(DORA)은 금융 부문이 겪는 이러한 과제를 해결하는 중요한 규제적 선례이며, 전 세계 모든 디지털 생태계의 안전을 보장하기 위해 세계적으로 채택되어야 하는 법입니다.
저자: 알렉산더 케흐
날짜: 2024-12-18
읽음:
사이버 공격은 세계 금융 안정성에 즉각적으로 작용하는 위협으로서 현재 증가 중입니다.
국제통화기금(IMF)의 2024년 보고서에 따르면 지난 20년 동안 금융 부문은 2만 건 이상의 사이버 공격을 받았고, 이로 인해 120억 달러에 달하는 직접적 손실이 발생했으며, 평판 손상으로 인한 간접적 비용 또한 발생했습니다.
피해는 여기에서 그치지 않았습니다. IMF 보고서는 COVID-19 팬데믹 이후 공격이 두 배로 늘어났으며, 공격 빈도와 정교함이 급격히 증가하면서 “신뢰 상실, 중요 서비스 중단, 기술 및 금융 상호 연결성으로 인해 거시 금융 안정성에 대한 심각한 위협”이 초래되었다고 밝혔습니다.
‘기술적 상호 연결성’은 특히 우려를 자아내는 문제입니다. 금융 회사들이 사이버 보안을 선도하는 것으로 널리 인정받고 있지만, 금융 서비스를 디지털화하면서 기관들이 중요 기능을 지원하고 핵심 서비스를 직접 제공하기 위해 제3자 ICT 서비스 제공업체에 의존하는 경우가 점점 더 많아지고 있기 때문입니다.
유럽 감독 기관 3곳이 실시한 분석에 따르면 EU 전역의 금융 기관에 서비스를 제공하는 공급업체가 약 1만 5,000개에 달하는 것으로 나타났습니다. 이는 두 가지 측면에서 운영 회복력에 문제를 야기합니다. 금융 기관이 여러 공급업체에 의존하게 되면 다양한 취약점이 생기고 운영이 분산될 수 있습니다. 또한, 특히 사이버 보안 사고가 발생했을 때 분석하기 힘든 복잡하고 불투명한 공급망을 조성할 가능성도 존재합니다. 반대로 특정 공급업체(예: 클라우드 컴퓨팅 서비스)가 널리 사용되면 개별 공격이나 문제가 확산되어 시스템 문제로 이어질 위험이 커집니다.
관련된 이해 관계를 고려할 때, ICT 서비스 제공업체가 일정 수준의 규제 감독을 받도록 하는 것은 여러 관할권 전체의 핵심 정책 목표입니다. 유럽연합은 ICT 관련 위험을 관리하는 능력을 향상하여 금융 기관의 운영 회복력을 강화하는 것을 목표로 하는 디지털 운영 회복력법(DORA)을 도입함으로써 이와 관련하여 주도적인 역할을 담당했습니다.
표준화된 조직 식별기호를 통한 운영 회복력 강화
금융 기관에서 사용하는 ICT 서비스 제공업체를 식별하는 것은 이러한 위험을 관리하는 데 핵심이며, 법인식별기호(LEI)와 같은 표준화되고 검증 가능한 조직 식별기호가 중요합니다.
전 세계 공공재인 LEI는 전 세계 모든 ICT 제3자 공급업체에 적용할 수 있는 표준화된 식별기호입니다. LEI는 국경을 넘나드는 기관의 일관되고 명확한 식별을 지원함으로써 다음 문제를 해결합니다.
기업 구조 감지 강화: LEI를 사용하면 EU 내부 및 외부의 ICT 제3자 공급업체 간 기업 연결을 식별할 수 있습니다. 이를 통해 금융 기관과 감독 기관은 복잡한 기업 구조로 인해 숨겨지기 쉬운 상호 연결성과 잠재적인 운영상 위험을 감지할 수 있습니다.
상호 연결: LEI는 데이터 커넥터 역할을 하여 현지 등록 기관(예: 현지 업체 등록소, 상공 회의소 등), 금융 서비스 제공업체, 증권 시장 등과 같은 다른 필수 데이터 소스와의 통합 자동화를 지원합니다. 따라서 ICT 종속성에 대한 보다 포괄적인 관점을 얻을 수 있습니다.
디지털 통합 및 자동화 가능: LEI의 완전 디지털 생태계는 무료로 가능한 API 액세스와 전체 파일 다운로드를 통해 원활한 데이터 조정에 기여합니다. 이러한 디지털 프레임워크는 수동 개입을 없애고 신속한 데이터 수집 및 분석을 지원하며, 금융 기관 및 감독 기관에 ICT 종속성을 모니터링하고 더 많은 정보에 입각한 의사 결정을 내리는 데 필요한 도구를 제공합니다.
실사, 규정 준수 및 사고 보고 간소화: 정확한 LEI 기반 식별을 통해 보고 오류를 최소화하고, 데이터 품질을 향상하며, 보다 안정적인 규정 준수를 지원할 수 있습니다. ICT 관련 사고가 발생하는 경우 LEI는 관련된 모든 당사자에게 명확하고 표준화된 참조 정보를 제공합니다. 이를 통해 사고 보고가 간소화되고, 일관성이 보장되며, 신속한 문제 해결에 도움이 됩니다.
탄력적인 디지털 경제 조성
사이버 공격이 점점 더 빠르고 정교해지면서 금융 서비스를 넘어 훨씬 더 큰 파급 효과가 발생하고 있다는 점은 분명합니다. 오늘날 디지털화된 세상의 복잡성으로 인해 모든 중요 인프라가 ICT 서비스 제공업체에 크게 의존하게 되었습니다. 따라서 전 세계 공급망, 의료 서비스, 에너지 및 공공설비, 통신, 운송이 동일하게 심각한 취약성에 노출됩니다.
DORA는 이러한 과제를 해결하기 위한 프레임워크를 제공합니다. 사이버 회복력과 디지털 생태계에 대한 신뢰를 구축하는 데 표준화되고 검증 가능한 조직 식별의 중요성을 인식하는 것은 전 세계 경제의 모든 곳에서 적용해야 할 중요한 규제적 선례의 역할을 합니다.
블로그 게시물에 댓글을 추가하려면 영어 GLEIF 웹사이트 블로그 기능을 이용하여 댓글을 추가해주십시오. 이름과 성을 써서 자신이 누구인지 밝혀주십시오. 이름은 댓글 옆에 표시됩니다. 이메일 주소는 공개되지 않습니다. 토론 게시판을 이용하거나 게시물을 등록하는 것은 GLEIF 블로그 정책 약관을 준수하는 것에 동의하는 행위이므로, 해당 약관을 주의 깊게 읽어주십시오.
알렉산더 케흐는 Global Legal Entity Identifier Foundation(GLEIF)의 CEO입니다.
알렉산더 케흐는 GLEIF에 합류하기 전 SIX Digital Exchange에서 디지털 증권 부문 책임자로 일했습니다. 알렉산더는 임원진의 일원으로서 영업 및 관계 관리, 제품 개발, 비즈니스 설계, 생태계 확장 등 디지털 자산 사업 분야를 총괄해 관리했습니다.
알렉산더는 지난 25년 동안 BNY Mellon의 금융과 SWIFT의 결제/증권 인프라 및 표준을 결합해 왔으며 ONC(Onchain Custodian)에서의 블록체인 및 디지털 자산, 가장 최근에는 Citi Ventures에 이르기까지 특별한 경력을 쌓아 왔습니다. 알렉산더는 ONC의 공동 창립자이자 CEO로서 싱가포르 및 상하이 기반 팀을 이끌어 암호화폐 등의 디지털 자산 보관 및 중개 서비스를 바닥부터 쌓아 올렸습니다. 또한 Citi Ventures의 블록체인 및 디지털 자산 책임자로서 유럽 생태계에서의 증가하는 블록체인 기술과 디지털 자산 사용 사례에 대응하기 위한 팀을 만들었습니다.
그리고 산업 및 표준화 이니셔티브에도 참여하고 있습니다. ISO 24165 디지털 토큰 식별자(DTI)를 만든 ISO TC 68/SC8/WG3의 주관자로서 DTI 재단 제품 자문위원회의 회원이기도 합니다. 또한 최근 글로벌 디지털 금융(gdf.io) 수탁 실무 그룹의 공동 의장을 역임했습니다.
알렉산더는 번역학 학사 학위를 취득했고 Quantic School of Business and Technology에서 경영학 석사 학위를 받았으며, 이론을 실시간으로 실천하는 ONC(Onchain Custodian)을 구축했습니다.
