DORA란 무엇입니까?
디지털 운영 복원력 법(Digital Operational Resilience Act) — DORA로 알려진 — 은 규정 (EU) 2022/2554로, 2022년 12월 14일 유럽의회와 이사회에서 채택되었습니다. EU는 2022년 12월 27일 관보에 이를 게재했습니다. 2023년 1월 16일 발효되었으며 2025년 1월 17일부터 전면 적용되었습니다.
DORA는 EU 금융 규제의 특정 공백을 해소합니다. DORA 이전에는 금융기관이 주로 자본을 적립하는 방식으로 운영 리스크를 관리했습니다. 그러나 이 접근법은 ICT 관련 중단을 충분히 포괄하지 못했는데, 공동으로 사용하는 기술 제공업체에 장애가 발생하면 동시에 많은 기관에 영향을 미칠 수 있기 때문입니다. 이에 따라 DORA는 ICT 리스크 관리, 사고 보고, 운영 복원력 테스트, 제3자 기술 제공업체에 대한 감독을 위해 EU 전역에 통일된 프레임워크를 도입합니다.
누가 DORA를 준수해야 합니까?
DORA는 금융 부문 내 정보통신기술(ICT) 서비스에 관여하는 두 가지 주요 조직 그룹에 적용됩니다.
첫 번째 그룹은 금융기관입니다. 여기에는 신용기관, 지급기관, 전자화폐기관, 투자회사, 보험 및 재보험회사, 암호자산 서비스 제공업체, 중앙증권예탁기관, 중앙청산소, 거래소 등 규정 제2조에 열거된 기타 기관이 포함됩니다.
두 번째 그룹은 ICT 제3자 서비스 제공업체로, 금융기관에 기술 서비스를 제공하는 기업입니다. 여기에는 클라우드 컴퓨팅 제공업체, 소프트웨어 개발사, 데이터 분석 기업, 사이버보안 기업, 데이터센터 제공업체 및 규제 대상 금융기관의 운영을 지원하는 서비스를 제공하는 기타 모든 제공업체가 포함됩니다.
중요하게도 DORA는 EU 외 지역에 기반을 둔 ICT 제공업체도 포함합니다. 미국, 영국 또는 아시아의 기술 기업이 EU 규제를 받는 금융기관에 서비스를 제공하는 경우, 해당 관계에 DORA가 적용됩니다.
DORA 하의 LEI 요건
DORA는 금융기관이 모든 ICT 제3자 서비스 제공업체를 포괄하는 상세한 정보 등록부(Register of Information)를 유지하도록 요구합니다. 2024년 12월 2일 공표된 집행위원회 시행규정 (EU) 2024/2956은 이 등록부에 대한 표준 템플릿을 규정합니다.
해당 시행규정 제3조 제5항은 다음과 같이 명시합니다:
“금융기관은 사업 목적으로 활동하는 개인을 제외하고, 법인인 모든 ICT 제3자 서비스 제공업체를 식별하기 위해 유효하고 활성 상태인 법인식별자(LEI) 또는 지침 (EU) 2017/1132 제16조에 언급된 유럽 고유 식별자(‘EUID’)를 사용해야 하며, 가능한 경우 두 식별자를 모두 사용해야 한다.”
즉, 법인인 모든 ICT 제3자 제공업체는 유효하고 활성 상태인 LEI 또는 EUID 중 하나로 식별 가능해야 합니다. 두 식별자 모두 최신 상태여야 합니다. 갱신이 만료되었거나 유효기간이 지난 LEI는 이 요건을 충족하지 않습니다.
LEI 또는 EUID — 어느 것이 귀사에 적용됩니까?
두 식별자 모두 DORA 요건을 충족하지만, 적용되는 상황이 다릅니다. 차이를 이해하면 올바르게 선택하는 데 도움이 됩니다.
LEI(Legal Entity Identifier)는 ISO 표준 17442에 기반한 전 세계적으로 인정되는 20자리 영숫자 코드입니다. 글로벌 법인식별자 재단(GLEIF)은 글로벌 LEI 시스템을 관리하며, 모든 LEI 데이터를 글로벌 LEI 인덱스에서 공개합니다. LEI는 200개 이상의 관할권에 있는 법인을 포괄하며 소유 및 지배 구조 데이터도 포함합니다.
EUID(European Unique Identifier)는 EU의 기업등록 상호연계 시스템(BRIS)과 연결됩니다. EU 국가 등록부에만 독점적으로 연결되므로, EU 회원국에 등록된 기관만을 포괄합니다.
여기서 시행규정은 중요한 구분을 둡니다. EU 외 지역에 설립된 ICT 제공업체는 LEI로만 식별해야 합니다. 비EU 기관에는 EUID가 제공되지 않기 때문입니다. 따라서 EU 외에서 운영하는 모든 제공업체에 대해 LEI는 유일하게 유효한 식별자입니다.
EU 기반 제공업체의 경우 두 식별자 중 어느 것이든 사용할 수 있습니다. 다만 글로벌 운영을 하거나 비EU 노출이 있는 제공업체의 경우, 국제적 인정과 더 넓은 데이터 범위 때문에 LEI가 더 강력한 선택입니다.
실무에서 “유효하고 활성”의 의미
시행규정은 유효하고 활성 상태의 LEI를 명시적으로 요구합니다. 이는 GLEIF 글로벌 데이터베이스에 표시되는 상태를 의미합니다.
상태가 “Issued”로 표시된 LEI는 유효하고 활성 상태이므로 DORA를 충족합니다. “Lapsed”로 표시된 LEI는 갱신이 만료된 것이며, 따라서 요건을 충족하지 않습니다. 금융기관은 정보 등록부에서 준수 식별자로 만료된 LEI를 기록할 수 없습니다.
LEI는 발급일 또는 마지막 갱신일로부터 1년간 유효합니다. 이후 활성 상태를 유지하려면 소유자가 갱신해야 합니다. 갱신 과정에서 발급 기관은 법적 명칭, 등록 주소, 소유 구조를 포함한 기관의 참조 데이터를 공식 등록부 출처와 대조하여 재검증합니다. 이 절차는 글로벌 LEI 데이터베이스의 데이터가 정확하고 최신 상태로 유지되도록 보장합니다.
GLEIF LEI 검색 도구 또는 LEI System 검색을 통해 모든 LEI의 상태를 확인할 수 있습니다.
DORA 준수를 위한 실질적 표준으로서의 LEI
DORA 규제당국이 LEI를 선택한 이유는 어떤 국가 식별자도 해결할 수 없는 문제, 즉 단일한 전 세계 공인 형식으로 법인을 일관되게 국경 간 식별하는 문제를 해결하기 때문입니다.
국가별 회사 등록번호는 국가마다 크게 다르고, 항상 기계 판독이 가능한 것도 아니며, 비EU 기관은 전혀 포괄하지 못합니다. 반면 LEI는 설립 국가와 무관하게 모든 법인에 대해 하나의 일관된 코드를 제공합니다. 또한 LEI 데이터는 공개되어 있고 검증 가능하므로, 금융기관은 문서를 요청하지 않고도 제공업체 정보를 즉시 확인할 수 있습니다.
여러 국가에 걸쳐 많은 ICT 공급업체를 관리하는 금융기관에게 이러한 표준화는 DORA 준수의 행정적 복잡성을 크게 줄여줍니다. LEI를 한 번 조회하면 제공업체의 법적 명칭, 등록 정보, 소유 구조에 대한 검증된 정보를 얻을 수 있으며, 이는 모두 DORA의 제3자 리스크 관리 의무와 직접적으로 관련됩니다.
ICT 제공업체의 경우 유효한 LEI를 보유하면 금융기관 고객이 DORA 등록부에 제공업체를 정확히 포함시키기가 용이합니다. 반대로 유효한 LEI가 없는 제공업체는 고객에게 준수 공백을 만들며, 그 결과 비즈니스 관계에 악영향을 줄 위험이 있습니다. GLEIF는 LEI의 규제적 활용 개요에서 LEI가 이를 어떻게 지원하는지에 대한 추가 맥락을 제공합니다.
ICT 제공업체가 지금 해야 할 일
유효한 LEI가 있는지 확인하십시오. EU 규제를 받는 금융기관에 ICT 서비스를 제공하는 경우, 고객은 DORA 정보 등록부에서 귀사를 식별해야 합니다. 고객에게 연락하여 귀사의 LEI가 기록되어 있는지, 그리고 현재 활성 상태인지 확인하십시오.
LEI가 없다면 등록하십시오. 절차는 전면 디지털 방식이며 대부분의 관할권에서 24시간 이내에 완료됩니다. 회사의 법적 명칭, 등록 주소, 등록번호를 제공해야 합니다. 대부분의 경우 시스템이 공식 기업 등록부를 통해 이 데이터를 자동으로 검증합니다. LEI System은 GLEIF 공인 등록 대행사(Registration Agent)입니다. 오늘 LEI 등록을 시작할 수 있습니다.
LEI가 만료되었다면 갱신하십시오. 만료된 LEI는 고객이 DORA 등록부에서 사용하기 전에 갱신되어야 합니다. 갱신을 통해 “Issued” 상태가 복원되고 회사의 참조 데이터가 재검증됩니다. LEI System을 통해 LEI를 빠르게 갱신할 수 있습니다.
LEI 데이터를 최신 상태로 유지하십시오. 회사명, 등록 주소 또는 소유 구조가 변경된 경우 그에 맞게 LEI 참조 데이터를 업데이트하십시오. 오래된 LEI 데이터는 금융기관 고객이 등록부를 국가 당국에 제출할 때 준수상 복잡성을 초래합니다.
더 넓은 EU 규제 맥락에서의 DORA
DORA는 단독으로 작동하지 않습니다. MiFID II 거래 보고, EMIR 파생상품 보고, EU 즉시결제 규정 등 법인의 표준 식별자로 LEI를 사용하는 다른 EU 규정들과 함께 위치합니다. 이미 거래 보고에 LEI를 사용하고 있는 금융기관에게 DORA는 완전히 새로운 시스템이라기보다 추가적인 차원을 더하는 것입니다.
또한 DORA는 사이버보안에 관한 NIS2 지침(지침 (EU) 2022/2555)과 직접 연결됩니다. DORA는 금융기관에 대해 NIS2 하의 부문별 법령으로 기능합니다. 이 사이트의 NIS2 및 LEI 문서에서 NIS2와 LEI에 대해 더 알아볼 수 있습니다. EU 금융 규제 전반에서 LEI가 어떻게 작동하는지에 대한 더 넓은 개요는 EU에서 LEI가 실무적으로 작동하는 방식을 참조하십시오.
DORA와 LEI — 핵심 사실 요약
DORA란 무엇입니까? 금융 부문의 디지털 운영 복원력에 관한 규정 (EU) 2022/2554.
DORA는 언제부터 적용되었습니까? 2025년 1월 17일.
누가 준수해야 합니까? EU 금융기관 및 그들의 ICT 제3자 서비스 제공업체( EU 금융기관에 서비스를 제공하는 비EU 제공업체 포함).
ICT 제공업체 식별을 위해 DORA는 무엇을 요구합니까? 집행위원회 시행규정 (EU) 2024/2956에 명시된 유효하고 활성 상태인 LEI 또는 EUID.
비EU ICT 제공업체에는 어떤 식별자가 적용됩니까? LEI만 해당됩니다. EUID는 EU 등록 기관만을 포괄합니다.
어떤 LEI 상태가 DORA를 충족합니까? “Issued”만 해당됩니다. “Lapsed” LEI는 요건을 충족하지 않습니다.
LEI는 어디에서 등록하거나 갱신할 수 있습니까? LEI System과 같은 GLEIF 공인 등록 대행사를 통해 가능합니다.