다수 회원국들, 자국 법체계 편입 차질, ‘일률적 시행 늦춰져’
엄격한 의무조항, 강력 처벌규정으로 유명, ‘오랜 논란끝 제정’
[애플경제 김예지 기자] 사이버보안을 위해 엄격한 의무규정을 담은 것으로 유명한 EU ‘사이버보안법’(또는 ‘사이버복원력법’)이 제정되었지만, 의도했던 것과는 달리, 출발부터 난항을 겪고 있다. 많은 회원국들이 이를 채택하지 못하면서 ‘어수선한’ 출발을 한 것이다.
EU의 새로운 사이버보안법은 ‘NIS 2’ 또는 ‘네트워크 및 정보 보안 지침 2’로 불린다. 이는 17일부터 각 회원국에서 시행되기 시작했다. 기업의 내부 사이버 복원력을 강화할 것과, 내부 보안 관행에 대한 더 엄격한 의무를 부과하는 것을 골자로 하고 있다.
‘법취지 무색, 실현 불투명’ 우려까지 제기
그러나 대부분의 EU 회원국이 ‘NIS 2’를 자국의 법체계에 통합하지 못하면서 전면 시행에 차질을 빚게 되었다. 외신을 종합하면, 많은 회원국들이 시행 기한을 맞추기 위한 일정을 제대로 지키지 못했다. 이로 인해 EU의 기업들에게 사이버 방어책을 한층 강화하도록 요구하기로 한 법취지가 무색해지면서, 그 실현 여부마저 불투명해지고 있다.
EU의 ‘NIS 2’ 사이버 보안 규정은 기업의 내부 사이버 보안 시스템에 대해 매우 철저한 기준을 세우도록 의무화하고 있다 사이버 침해가 발생할 경우 위험 관리, 투명성 의무 및 사업 연속성 계획에 대한 의무 사항을 더욱 엄격하게 부과했다.
공식적으로는 17일부터 일제히 모든 회원국에서 이를 시행하기로 되어있었다. 모든 기업들이 이날부터 해당 법률의 규정을 준수하도록 한 것이다. 그러나 대부분의 EU 회원국들은 미처 자국 법체계에 ‘NIS 2’를 편입하지 않고 있다. 인터넷 연구 기관 ‘DNS Research Federation’의 분석에 따르면 포르투갈과 불가리아의 경우, EU 회원국이긴 하지만, 아예 ‘NIS 2’의 자국 법체계 편입 절차를 시작도 하지 않았다.
보안역량 취약 기업들, 공포의 ‘NIS 2’
NIS 2는 EU 전체의 IT 시스템과 네트워크의 보안을 강화하는 것을 목표로 하는 법률이다. 2020년에 처음 발의된 이 법은 그 동안 논란과 협의를 거듭한 끝에 어렵사리 제정된 것이다. 단순히 ‘NIS’라고 불렸던 이전 법률을 한층 강화한 것이다.
NIS 2는 범죄자들이 회사를 해킹하고 민감한 데이터를 손상시키는 새로운 수법에 대응하는 의미도 있다. 최근의 사이버 보안 과제와 위협을 해결하기 위해 이전 법률의 범위를 확대한 것이다. 해당 법률은 은행, 에너지 공급업체, 의료 기관, 인터넷 공급업체, 운송 회사, 폐기물 처리업체 등을 망라하고 있다.
EU 역내 기업들은 새로운 규정에 따라 사이버 취약성과 해킹에 대한 정보를 다른 기업과 보고하고 공유하기 위한 ‘주의 의무’가 있다. 즉, 사이버 침해의 희생자임을 결코 쉬쉬해서도 안되고, 공개적이고 투명하게 인정해야 한다는 의미도 들어있다.
예를 들어 만약 특정 기업이 사이버 침해의 희생자가 되면 24시간 이내에 당국에 조기 경고를 담은 통지를 해야 한다. 이는 EU의 별도 데이터 프라이버시법인 ‘GDPR’(일반 데이터 보호 규정)보다 더욱 엄격하다. GDPR은 사이버피해를 당한 기업은 72시간 내에 당국에 통지하도로 했다. NIS 2는 그 보다 3분의 1에 불과한 시간에 통지해야 하는 것이다. 기업들은 또한 사이버 위협과 취약성 여부에 대해 사전에 기술 공급업체를 일일이 조사해야 할 의무도 주어졌다.
회원국 전체 일관된 시행해야 ‘효과’
그러나 ‘NIS 2’가 강행법규로서 효과를 거두려면, EU 회원국 전체에서 일관된 구현과 집행이 되어야 한다는 지적이다. 즉, 악성 사이버공격자들은 ‘NIS2’ 전환 속도가 더디거나, 뒤처진 국가를 표적으로 삼을 가능성이 크다. 또 그런 나라의 공급망의 약점을 찾아 더 작고 보안이 취약한 공급업체를 표적으로 삼으면서, 이를 발판으로 더 크고 보호가 잘 된 조직에 접근할 수 있다.
앞서 EU 기업들은 17일 시행일을 앞두고, 지난 수년 동안 사이버 보안에 대한 내부 프로세스, 통제 및 광범위한 보안 문화를 나름대로 구축하느라 애를 써왔다. 그러나 엔터프라이즈 기술 회사인 시스코의 EU 공공 정책 책임자인 크리스 고우는 “‘NIS 2 구현’의 불안정한 특성이 회원국 모두의 일률적인 적용에 실패함으로써 상황이 악화되었다”고 CNBC에 밝혔다.그는 “시행이 늦처진 나라에선 특히 리소스가 제한된 소규모 기업들이 사이버보안의 집중 공격 대상이 되기 쉽다”고 우려했다.
법 위반시 초강력 처벌 규정
한편 NIS2는 엄격한 의무조항과 함께 엄한 처벌 규정도 두고 있다. 운송, 금융 및 수도 회사와 같은 ‘필수’ 기관의 경우 ‘NIS 2’를 준수하지 못하면 최대 1,000만 유로(1,090만 달러) 또는 글로벌 연간 매출의 2%(둘 중 더 높은 금액)의 벌금을 부과받을 수 있다. 작은 기업들로선 회사의 존립이 흔들릴 만큼 큰 액수다.
특히 식품 회사, 화학 기업, 폐기물 관리 서비스 등과 같은 중요 기업들은 위반할 경우 최대 700만 유로 또는 글로벌 연간 매출의 1.4%의 벌금을 부과받을 수 있다. 또한 NIS 2를 준수하지 않으면 서비스 중단과 엄격한 감독을 받을 수 있다.
보안업체 ‘Proofpoint’는 “‘NIS 2’는 거액의 벌금, 서비스 중단 가능성, 규정 준수 모니터링을 통해 기업들이 사이버보안 위협에 철저히 대응할 수 있도록 감독하고 있다”면서 “결국 사이버보안에 대한 주의를 강화하는 지렛대 역할을 할 것”이라고 평가했다.