최근 사이버 위협 고도화에 따라 각국은 보호막을 강화하고, 국가 간 협력을 통해 공동체적인 안보 체계를 더욱 더 견고하게 구축하고자 노력하고 있다. 세부적으로 디지털 시대에 정교해지는 공격에 대응하기 위해 국가마다 고유한 사이버 보안 전략을 정비하고, 국제적 수준의 규범제정에 적극적으로 참여하면서 글로벌 사이버 안전망을 구축하고 있다.
특히 유럽연합(EU) 국가에 있어서도 디지털 전환은 인터넷과 연결된 장치의 급증, 클라우드 컴퓨팅의 보편화, 사물인터넷(IoT)의 확산 등 혁신을 가져왔지만, 랜섬웨어, 피싱, 데이터 탈취 등과 같은 사이버 공격이 빈번해지면서 해당 위협의 범위와 복잡성을 증가시켰다.
이에 대한 효과적인 대응책을 마련하기 위해 EU 회원국별로 독립적인 사이버 보안 체계를 운영했지만, 각국의 대응 능력에 따라 일관성의 부족과 대응 속도의 차이가 드러났다. 또 국제적인 사이버 위협에 효과적으로 대응하기 위해서는 회원국 간의 협력과 통일된 기준이 필요하다는 인식이 확산됐으며, 2016년 유럽연합 최초의 사이버 보안 규정인 'NIS1(Directive on Security of Network and Information Systems 1)'을 도입했다. NIS1은 주요 기반 시설과 서비스 제공자에게 보안 조치를 요구하며, 유럽 전역의 사이버 보안 수준을 향상시키고자 했다.
그러나 해당 규정은 유럽 전역의 사이버 보안 수준을 개선하는데 중요한 역할을 했지만, 몇 가지 한계성이 있었다. 우선 주요한 기반 시설과 디지털 서비스 제공자에만 한정돼 중소기업 및 기타 산업 분야가 제외됐으며, 보안 조치의 세부 사항이 명확하지 않아 각국의 해석과 적용에 차이가 발생했다. 또 회원국 간의 정보 공유와 협력이 충분하지 않아, 국제적인 사이버 위협에 대한 통합적인 대응이 어려웠으며, 규제의 감독과 집행이 각국에 맡겨져 있어서 일관된 규제 이행이 어려웠다.
'NIS2(Directive on Security of Network and Information Systems 2)'는 NIS1의 한계를 보완하고, 더욱 강화된 사이버 보안 규제를 도입하기 위해 마련된 규정이다. 이는 2022년에 유럽 의회와 이사회에서 채택되었으며, 2024년부터 시행될 예정이다. EU 회원국들은 사이버 보안 관련 법률의 강화 및 일관성 확보를 위해 2024년 10월 17일까지 NIS2 내용을 국내법으로 전환해야 하며, 기존 NIS1 규정은 폐지된다. 이러한 상황에서 유럽에 진출한 국내 기업도 'GDPR(General Data Protection Regulation)'를 통해 겪었던 경험과 마찬가지로(규정 미준수에 따른 벌금 부과) 새로운 과제에 직면할 것으로 예상된다.
세부적으로 'NIS2'는 다양한 영역에서 보안요구사항과 대응 조치를 포함하고 있다. 주요 영역은 위험 관리, 보안정책과 절차, 기술 및 조직적 보안 조치, 공급망 보안, 지속적인 감사 및 평가, 사고 대응 및 보고, 정보 공유 및 협력, 법적 및 규제 요구사항 등으로 정리될 수 있다.
특히 일반적인 정보보호 통제 항목 체계와 차별적인 특성으로 보이는 '공급망 보안'과 '정보 공유 및 협력' 영역에 대해 좀 더 살펴볼 필요가 있다. 먼저 '공급망 보안' 영역의 경우, 공급망 전반에 걸쳐 다양한 보안 조치를 요구하고 있으며, 모든 공급업체(협력사)에 통일된 보안 기준의 설정, 공급망 위험평가와 관리, 협력사 보안 감사(정기 감사와 함께 보안 성숙도 평가 포함), 공급업체가 NIS2 규정을 준수하도록 계약서에 명시(보안 사고 발생에 따른 책임과 대응 방안을 명확히 규정), 공급망 전반에 대한 실시간 모니터링과 위협탐지 시스템 구축 등을 규정하고 있다.
다음으로, '정보 공유 및 협력' 영역은 사이버 보안 위협에 효과적으로 대응하기 위해 국가 간 국제적으로 협력하는 것을 목표로 한다. 세부적으로 사이버 위협 정보를 공유하고 공동의 데이터베이스를 구축해 원활한 정보 교환을 지원, 사이버 위협에 공동 대응하기 위한 협력 체계를 구축하고, 국제적 수준의 사이버 보안 협력 프로그램을 개발, 국가별로 다른 사이버 보안 관련 법률과 규제 내용을 일관되게 조정하고, 국제적인 규제 표준을 수립하여 이를 준수하기 위한 공동 규제 체계를 마련, 마지막으로 국제적인 비상 대응계획을 수립하고, 공동의 사이버 보안 훈련을 실시해 대응 역량을 강화하는 내용을 담고 있다.
한편 'NIS1'과 대비해 'NIS2'의 변화된 내용은 보안 기준 강화, 적용 범위 확대, 감독과 집행 강화, 사이버 사건 대응체계 개선 등으로 요약될 수 있다. 먼저 'NIS1'에서는 기본적인 보안 조치와 사건 보고를 요구했지만, 개정된 내용에서는 위험 관리, 공급망 보안, 정보 공유 및 협력 영역 등에서 더욱 구체적인 보안 기준이 제공됐다.
적용 범위에 있어서도 주로 에너지, 운송, 금융, 보건 등 특정한 기반 시설과 디지털 서비스에 한정된 내용이 디지털 서비스, 제조, 교통, 폐기물 관리, 공공행정, 우주 등에까지 확대됐으며, 특히 중소기업도 규정 준수 대상에 포함될 수 있게 됐다.
또, 기존 핵심 서비스 운영자와 디지털 서비스 제공자 사이에 구분을 없애고, 중요도에 따라 조직을 필수 그룹(Essential Entity)과 중요 그룹(Important Entity)으로 분류해 적용 범위를 확대하면서 차별적인 감독 체제를 적용하도록 규정했다.
감독 및 집행 강화 부분에서는 유럽의 각 회원국이 자체적으로 감독하고 규제를 집행했던 이전 규정과는 달리, 유럽 차원의 감독체계를 별도로 구축해 해당 권한을 가지고 강력한 집행이 가능하도록 개선했다. 마지막으로 사이버 사건이 발생할 경우, 더욱 체계적으로 효율적인 대응이 가능하도록 사건 관리 및 복구절차를 개선했다.
국내 일정 규모의 기업이 대부분 준수하고 있는 보안 관리체계인 'ISMS(Information Security Management System)'는 NIS2와 비교해 볼 때, 보안 규정 준수의 목적과 범위에서 차이점이 존재한다. ISMS는 개별 조직 자체의 보안 강화를 목적으로 보유자산에 대한 통제항목을 중심으로 설계돼 있지만, NIS2는 조직보다는 유럽 산업·사회의 지속가능성을 확보하기 위한 목적으로 국가 간의 협업을 강조하면서 이를 위한 규제항목에 중점을 두고 있다.
따라서 NIS2 규정의 시행은 유럽에 진출한 국내 기업에 중요한 영향을 미칠 것으로 예상되며, NIS2 규정 준수를 목적으로 보안 시스템 투자, 보안 전문가 고용, 보안 컨설팅 도입 등의 보안 지출이 크게 증가할 것으로 보인다.
또 GDPR와 달리 NIS2는 유럽 내에서 서비스를 제공하거나 활동하는 기업 자체뿐만 아니라, 유럽에 자회사를 두거나 운영 중인 한국 기업도 NIS2 규정을 준수해야 함을 의미한다. 따라서 사이버 위험 관리 요구사항이 공급망 전체에 적용될 수 있어 한국에 본사를 둔 모회사도 영향을 받을 수 있다.
또 NIS2에서는 보안 사고가 발생할 경우, 상세한 수준의 다양한 보고서의 제출을 요구하기 때문에 기업은 적시에 준수할 수 있도록 내부 보고 및 모니터링 체계를 구축해야 한다. 만약 이와 같은 보안 규정을 준수하지 못했을 경우, 최대 1000만유로 또는 글로벌 매출의 2%에 달하는 벌금을 부과받을 수 있다.
사이버공간은 물리적 공간에 비해 상대적으로 국가 간 경계의 구분이 모호하다. 이러한 상황에서 사이버 위협은 점점 더 복잡해지고 있으며, 이를 효과적으로 대응하기 위해서는 국가 간, 조직 간 협력이 필수적이다. 국제적 수준의 협력과 정보 공유, 표준화된 규제, 공동 훈련 및 대응 등을 통해 방어력을 높일 필요가 있다. 최근 한국에서 진행된 한일중 정상회의를 시작으로 안전한 사이버 환경 구현을 위해 유럽과 대비되는 아세안 사이버 보안 협력 체계도 마련되길 기대해 본다.
장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr
〈필자〉장항배 교수는 중앙대 산업보안학과 교수로 재직하면서, (사)한국산업보안연구학회 학회장을 역임했다. 현재 4단계 BK21 '사이버 물리공간 청정화 연구사업단' 단장을 수행하면서, 미래 융합 공간에서의 오염요소(기술유출과 탈취, 사이버범죄 등)를 최소화하기 위한 다학제적인 연구를 진행하고 있으며, 2024년부터 국가안보실 사이버보안 정책자문위원으로 활동하고 있다.