[데이터넷] ESG의 일환으로 사이버 보안 책임을 강화해야 한다는 목소리가 높다. 특히 공공 서비스나 시민들의 일상 생활에 영향을 주는 서비스는 공격을 당하거나 장애 발생 시 사회와 시민에게 막대한 피해를 입히기 때문에 사회적 책임 영역에서 보안 강화가 필요하다는 주장이다.

윤주연 한국인터넷진흥원 법제연구팀장은 “사이버 공격이 사회 안전을 위협하는 상황이 되면서, 사이버 보안에 대한 기술적 접근뿐만 아니라 제도적이고 규범적인 측면에서도 강조되고 있는 추세다. 공격자는 국경 제한 없이 위협 행위를 펼치고 있으며, 이것이 사회안전과 시민의 일상을 위협하고 있다. 사이버 안보에도 심각한 위협이 되고 있다”고 기업·기관의 사이버 보안 책임 강화 이유에 대해 설명했다.

NIS2 위반시 1000만유로 or 전 세계 매출 2% 벌금

유럽연합(EU), 미국 등에서는 사이버 보안과 관련한 강력한 규제를 제정하면서 기업·기관은 물론이고 전 세계 공급망까지 강력한 보안을 적용하도록 하고 있다. 미국의 경우 사이버 보안에 관한 행정명령을 비롯해 공공은 물론 민간영역, 주요 인프라 영역까지 강력한 보안을 적용하며, 사고 시 유관기관에 보고하는 등 투명하게 공개할 것을 의무화하고 있다.

유럽집행위원회는 2019년 발표한 EU 정책 핵심목표에서 디지털 기술의 확산에 방점을 찍었으며, 이후 신뢰할 수 있는 디지털 미래를 위한 사이버 보안 정책을 지속적으로 개선, 추진하고 있다. EU의 사이버 보안 전략은 사이버 복원력과 기술 주권·리더십 확보, 예방·억제·대응 역량 강화, 글로벌 사이버 공간 발전을 위한 협력 등을 주요 내용으로 한다.

구체적인 이행 방안으로 여러 지침이 등장하고 있는데, 그 중 우리 기업이 가장 주목하고 있는 것은 NIS2 지침이다. NIS2는 지난 1월 발효됐으며, EU 회원국은 내년 10월까지 이행입법을 마련해 시행해야 한다.

NIS2는 EU 전역의 높은 공통 수준의 사이버 보안을 위한 조치를 담고 있으며, 사이버 사고 뿐만 아니라 위협에 대한 정보공유도 포함하고 있다. 규율 대상이 공공행정, B2B ICT 서비스 관리, 우주, 데이터센터, 클라우드 서비스, 전기통신네트워크 제공자 등으로 확대됐다.

중대한 사고 발생 시 24시간 내에 조기 경고하고, 72시간 내에 통지하며, 1개월 내에 최종 보고서를 제출하도록 했다. 위험관리와 통지 의무 위반 시 필수조직은 1000만유로(약 142억원) 혹은 직전 회계연도의 전 세계 총 매출액 2% 중 더 높은 금액을 부과한다. 중요조직은 700만유로 혹은 1.4% 중 더 높은 금액을 부과한다.

SBOM·취약점 관리 포함된 CRA

중요하게 살펴봐야 할 규제 중 사이버복원력법(CRA)이 있다. 이는 제조사에 디지털 요소를 포함한 제품 설계와 개발, 생산 시 사이버 보안이 보장되도록 해야 한다는 점을 명시하고 있다. 제품 기획부터 설계, 개발, 생산, 납품, 유지보수까지 사이버 보안 위혐을 평가하고 최소화해야 해야 한다. 취약점 관리 부분에서 SBOM 도입과 취약점에 대한 책임있는 관리와 보안 업데이트 등으로 안전한 제품을 공급하도록 했다.

CRA는 규제대상이 너무 광범위하며, 오픈소스 개발자와 유지·관리자, 중소기업에 과도한 부담이 된다는 저항에 직면한 상황이다. 지난 7월 유럽 이사회에서 일부 규제를 개선하고 중소기업 지원 규정을 신설하는 등의 수정안을 채택, 최종 삼자협상을 진행하고 있다. 따라서 유럽으로 수출하는 우리나라 제조사들은 이 규정에 대한 대안 마련에 빠르게 나서야 한다.

주요 복원력 지침(CER)도 주목해야 할 규제다. 에너지, 교통, 은행, 금융 인프라, 의료, 식수, 폐수, 디지털 인프라, 공공행정, 우주, 식품 등 11개 분야 필수 서비스 조직이 대상이다. 자연재해, 테러, 사이버 위협 등 서비스 중단 가능성이 있는 사고를 예방하며, 피해 시 빠르게 복원할 수 있는 대안 마련을 주문하고 있다.

2025년 1월 적용 예정인 디지털 운영 복원력법(DORA)은 EU 전역 금융기관을 대상으로 하며, ICT 위험의 효과적 관리를 위한 내부 거버넌스와 통제 체제 구현을 명시하고 있다. 여기에는 서드파티 리스크 전략 수립과 위험 관리도 포함하고 있으며, 중요 ICT 서비스 제공업체는 유럽감독기구(ESA)가 감독·평가를 수행한다.

4월 제안된 사이버보안법에서는 관리형 보안 서비스를 EU 사이버 보안 인증체계에 추가했으며, 사고대응, 침투테스트, 보안감사와 컨설팅 등 사이버 보안 위험 관리 활동을 수행하거나 지원하는 서비스를 포함하도록 했다.

데이터·사람 중심 보안 규제 마련해야

윤주연 팀장은 “EU 사이버 보안 입법 방향은 디지털 시대를 이한 촘촘한 규법체계를 마련하고, 사이버 복원력을 강조하며, 디지털 제품의 보안과 신뢰성 확보에 중점을 두었다. 그리고 사이버 위협에 대한 EU 공동 대응역량 강화를 주문하고 있다”며 “EU는 단일시장을 위한 공통의 사이버보안 규범체계를 통해 글로벌 정책방향을 선도하고 있다. 이러한 정책 방향을 잘 살펴 우리 기업의 EU 진출을 돕는 한편, 우리나라 사이버 보안 규제도 글로벌 트렌드와 국내 환경에 맞게 개선해 나가야 할 필요가 있다”고 설명했다.

그는 “사이버 보안 규제는 IT 시스템 보호에만 집중해서는 안되며, 데이터와 기기, 사람 등 연결되는 모든 대상을 보호하는 것에 중점을 둬야 한다. 또 사이버 공격 시 빠르게 복원할 수 있는 방안 마련에도 나서야 한다”고 말했다.

김선애 기자 다른기사 보기