□ 목차

서론

- 배경

- 평가 범위

제도적 및 규제 프레임워크

- 법적 근거

- 기타 관련 규제 및 감독과 감시 기대사항

- 사이버 위험 감독 및 감시의 조직과 자원 배분

- 결론

- 권고사항

감독 및 감시 관행

- 은행 감독

- 금융시장인프라 감시

- 중요 제3자 제공업체 감시

- 테스트 및 위기 대응 훈련

- 사고 보고

- 조정 및 협력

- 집행

- 결론

- 권고사항

□ 주요내용

(배경 및 위험 동향) 디지털화 가속화와 신기술 도입 확산으로 사이버 위험이 금융부문에서 가장 중대한 운영 위험 범주로 부상하였으며, 시스템적 영향 가능성을 내포하고 있음. 2024년 유로지역 은행부문의 일반적 위험 수준은 2023년 대비 상대적으로 안정적 수준을 유지하였으나, ICT 보안 위험, ICT 아웃소싱 위험, ICT 변경 위험이 악화 추세를 보임.

(DORA 규제 도입) 2025년 1월부터 적용된 디지털운영회복력법(DORA)은 사이버 회복력 강화를 통해 EU 금융부문의 안정성과 신뢰성 개선을 목표로 하나, 피감독기관과 감독당국 모두에게 비용 부담을 야기하고 있음. 기존 ESA 지침의 ICT 및 사이버 보안 기대사항이 EU 전역에서 구속력 있는 법적 요구사항으로 확대됨.

(법적 권한의 적절성) 중요은행(SI)과 금융시장인프라(FMI)에 대한 효과적인 ICT/사이버 위험 감독 및 감시를 위한 법적 근거와 관련 규제는 적절한 권한을 부여하고 있음. 그러나 DORA 감시 프레임워크 하에서 중요 제3자 제공업체(CTPP)에 대한 시정조치 부과 권한은 제한적임.

(감독 관행의 강점) SI 감독의 주요 강점으로는 효과적인 위험 기반 접근법 적용, 상세하고 검증된 수평적 검토, 침투적 현장검사 등이 있음. FMI 감시의 주요 강점으로는 사이버회복력감시기대치(CROE)에 대한 포괄적 평가와 권고사항 이행계획의 철저한 후속조치가 있음.

(DORA 이행 도전과제) DORA 변화 대응이 당국이 직면한 가장 두드러진 운영상 과제임. CTPP 감시 프레임워크, 제3자 위험 관리, 위협 주도 침투 테스트, 사고 보고 등 영역에서 상당한 추가 자원이 필요함. 사이버 위험 전문성에 대한 채용 시장이 경쟁적이어서 모든 필요 인력 충원에 어려움이 있음.

(사고 보고 체계의 비효율성) DORA 하의 새로운 ICT 관련 사고 보고 체계는 대체로 분산화된 인프라로 운영되어 효율성 개선 여지가 상당함. 각 국가감독당국(NCA)이 자체 보고 인프라와 분석 도구를 운영하는 모델은 중앙집중화된 모델 대비 매우 비효율적이고 비용이 많이 소요됨.

(감독 및 감시의 약점) 사이버 위험 감독 및 감시에 부정적 영향을 미치는 주요 약점으로는 FMI 현장감독 부재로 인한 상대적으로 약한 위험 보증, FMI 감시 내 사이버 위험 전문성 부족, EU 시스템적 사이버 사고 조정 프레임워크 개발 미완료, SI 감독 내 검사결과 누적으로 인한 후속조치 병목현상 등이 있음.