NIS2와 DORA는 핵심 인프라 및 금융 부문 조직에 사이버보안 및 운영 복원력 요건을 부과하는 EU 규정입니다. 두 규정 모두 2025년에 발효되어 EU 산업 전반에 폭넓게 적용됩니다.
NIS2 지침
네트워크 및 정보 보안 지침 2(NIS2)는 에너지, 운송, 의료, 디지털 인프라, 공공 행정 등 여러 부문에 걸쳐 “필수” 및 “중요” 기관에 대한 사이버보안 요건을 정립합니다.
NIS2 요건 매핑
| NIS2 요건 | Rediacc 기능 |
|---|---|
| 위험 관리 조치 (제21조) | 저장 시 LUKS2 암호화, 리포지토리당 네트워크 격리, SSH 전용 접근, 감사 로깅(머신 작업 포함 70가지 이상의 이벤트 유형) |
| 사고 처리 (제21조(2)(b)) | 70가지 이상의 이벤트 유형(인증, 토큰, 설정, 라이선싱, 머신 작업)이 포렌식 추적을 제공합니다. 리포지토리당 격리로 피해 범위를 제한합니다. |
| 비즈니스 연속성 (제21조(2)(c)) | rdc repo backup push/pull을 사용한 다중 목적지 암호화 백업. 즉각적인 롤백을 위한 CoW 스냅샷. |
| 공급망 보안 (제21조(2)(d)) | 자체 호스팅으로 SaaS 공급망 위험이 제거됩니다. 제3자 클라우드 제공자가 귀하의 데이터를 처리하지 않습니다. |
| 네트워크 보안 (제21조(2)(e)) | 리포지토리당 Docker 데몬, iptables 규칙, 루프백 IP 격리(/26 서브넷). |
| 암호화 (제21조(2)(h)) | LUKS2 AES-256 필수 암호화. AES-256-GCM을 사용한 제로 지식 설정 저장소. |
| 접근 제어 (제21조(2)(i)) | SSH 키 인증, IP 바인딩이 있는 범위 지정 API 토큰, 이중 인증(TOTP). |
| 사고 보고, 24시간 조기 경보 (제23조) | 감사 로깅으로 신속한 사고 탐지 및 범위 파악이 가능합니다. |
공급망 위험
공급망 보안은 NIS2의 핵심 우려 사항입니다(제21조(2)(d)). 조직은 ICT 서비스 제공자 및 공급업체로부터의 위험을 평가하고 관리해야 합니다.
자체 호스팅 Rediacc는 가장 큰 공급망 공격 표면을 제거합니다. 제3자 SaaS가 귀하의 데이터를 처리하지 않고, 클라우드 제공자가 귀하의 인프라에 논리적으로 접근하지 않으며, 공유 테넌트 환경으로 인해 다른 고객의 보안 취약점에 노출되지 않습니다. SaaS 공급업체 침해는 수천 개의 조직에 연쇄적인 피해를 야기했습니다. Blackbaud의 2020년 랜섬웨어 공격으로 13,000개 이상의 고객 조직 데이터가 노출되어 4,950만 달러의 합의금이 발생했습니다.
DORA (디지털 운영 복원력 법)
DORA는 EU 금융 부문의 ICT 위험 관리, 사고 보고, 복원력 테스트 및 제3자 위험 관리 요건을 정립합니다. 은행, 보험사, 투자회사, 암호화폐 서비스 제공자 및 중요 ICT 제3자 제공자에게 적용됩니다.
DORA 요건 매핑
| DORA 요건 | Rediacc 기능 |
|---|---|
| ICT 위험 관리 프레임워크 (제6조) | 암호화, 격리, 감사 로깅 및 백업이 기술 통제 레이어를 구성합니다. |
| 보호 및 예방 (제9조) | 저장 시 LUKS2 AES-256 암호화. 네트워크 격리로 측면 이동을 방지합니다. SSH 전용 접근. |
| 탐지 (제10조) | 머신 작업(리포지토리 수명 주기, 백업, 동기화, 터미널)을 포함한 70가지 이상의 이벤트 유형. 사용자별, 팀별 필터링이 있는 관리자 대시보드 및 포털. 심층 방어를 위해 머신 작업이 시스템 로그에도 기록됩니다. |
| 대응 및 복구 (제11조) | 즉각적인 롤백을 위한 CoW 스냅샷. 다중 목적지 복구를 위한 rdc repo backup push/pull. 포크 기반 재해 복구 테스트. |
| ICT 제3자 위험 (제28-30조) | 자체 호스팅으로 “중요 ICT 제3자 제공자” 분류 자체가 완전히 제거됩니다. |
| 디지털 운영 복원력 테스트 (제24-27조) | CoW 클로닝으로 데이터 노출 없이 프로덕션 유사 환경에서 위협 주도 침투 테스트가 가능합니다. 클론, 테스트, 삭제. |
제3자 ICT 제공자 위험
DORA에서 가장 부담이 큰 요건은 중요 ICT 제3자 제공자 관리에 관한 것입니다(제28-30조). 금융 기관은 ICT 제공자 등록부를 유지하고, 위험 평가를 수행하고, 특정 계약 조항을 협상하고, 출구 전략을 수립해야 합니다.
자체 호스팅 Rediacc는 이 문제를 완전히 회피합니다. 등록, 평가 또는 모니터링할 ICT 제3자 제공자가 없습니다. 금융 기관이 자체 인프라를 직접 관리합니다.
복원력 테스트
DORA는 대형 기관에 대한 위협 주도 침투 테스트(TLPT)를 포함한 디지털 운영 복원력 테스트를 의무화합니다(제26조). CoW 클로닝이 이를 직접 처리합니다.
- 프로덕션 환경 포크 (즉각적, 동일 머신, 데이터 이전 없음)
- 포크에 대해 침투 테스트 실행
- 완료 후 포크 삭제
프로덕션은 전혀 영향을 받지 않으며 테스트 환경은 완벽한 복제본입니다. 데이터가 머신을 벗어나지 않습니다.