긴급개선 프로그램 수립 방안 제안…거버넌스 책임 설명
[데이터넷] 삼정KPMG는 지난해 12월 개정된 유럽연합(EU)의 사이버 보안 지침 ‘NIS2’을 설명하는 ‘EU NIS2 대응을 위한 IT와 OT보안 이해하기’를 발간했다고 31일 밝혔다. NIS2는 내년 10월 세부사항이 공개되며, 2025년부터 적용돼 EU 지역 내 기업의 사이버 보안과 인프라 보호 역량을 강화하도록 했다.
NIS2 규정에는 핵심 산업 인프라 공급망에 필수적인 기업 외에도 새로운 산업군들을 포함하는 등 범위를 넓혔다. 또한 기존 NIS 지침은 7개의 핵심 분야를 다룬 반면, 새 지침에서는 안전 및 효율, 사회에 중요한 것으로 간주되는 부문까지 관점을 확장해 9개의 부문이 추가됐으며, 이에 해당하는 기업 대상 또한 확대됐다.
규제 대응을 지원하기 위해 발표한 삼정KPMG의 이번 보고서에서는 ▲최고경영진의 인식 촉구 ▲표준·프레임워크 구현 ▲긴급개선(Fix-it) 프로그램 수립과 실행 ▲거버넌스 책임 확대 등 4가지를 제시했다.
IT·OT 자원·조직 만들어 대응해야
NIS2가 발효되기까지 준비 기한이 짧은 만큼 최고경영진의 관심 아래 새로운 사이버 보안 법률 의무를 준비해야 한다. 규정을 준수하지 못할 경우 C레벨이 법적 책임을 지게 되며, 기업에는 징벌적 과징금이 부과된다. 이에 최고경영진은 NIS2가 가져오는 영향에 대해 IT·OT 측면에서 자원과 조직을 갖추고 대응 전략을 고민해야 한다.
NIS2는 사이버 리스크 관리를 의무화해 기업의 회복력과 연속성을 보장하면서 사이버 보안 요구사항을 준수하는 것을 목표로 하고 있다. 따라서 조직 내 인프라 취약점을 식별하고 신속하게 해결하는 것이 중요하다. 그러나 NIS2에서 요구하는 사항이 아직은 모호하기 때문에 IEC 62443과 같은 OT 산업보안 관련 국제 표준을 따를 것을 권장했다.
현재 기업이 가지고 있는 심각한 보안 취약점을 파악하는 ‘긴급개선 프로그램’을 수립하고, 개선을 위한 활동인 보안 아키텍처 구현부터 조직개편 등을 지원해 조직에서 파악된 사이버 보안 문제점을 기한 내 즉시 경감시킬 것을 제안했다.
NIS2 새 규정에 따라 사이버 보안이 경영 이사회의 필수 안건이 될 것으로 기대되는 가운데 경영진은 사이버 보안 리스크를 식별하고 관리하는 데 필요한 지식과 기술을 갖출 것이 요구되고 있다. 경영진은 NIS2 영향에 대해 교육을 받아야 할 뿐만 아니라 직원들도 정기적으로 사이버 보안 교육을 받도록 권장해야 한다. 또한 실제로 사이버 공격이 발생한 경우 이사회는 조직 내 검증된 사이버 보안 프로그램이 있음을 입증할 수 있어야 해 관련 프로그램 구축도 반드시 필요하다.
삼정KPMG OT보안팀 리더인 최민화 상무는 “NIS2는 EU 내 기업들에게 다양한 사이버 보안 규정을 요구하고 있어, 관련 기업들은 안전한 디지털 신기술 도입과 핵심 기밀 보호를 위한 산업표준수립 등의 보안 거버넌스 체계를 수립하고 이상 징후 사전탐지, 사고 모니터링, 사고 대응 시스템 구축을 통해 기업의 사업전략 방향과 디지털 혁신 속도에 맞춘 현실적인 대응책을 마련하는 것이 중요하다”고 강조했다.
