전체메뉴

[애플경제 전윤미 기자] 비록 회원국들의 비준 과정에서 다소 난항을 겪고 있긴하지만, 최근 발효된 EU의 총체적인 사이버보안법인 ‘네트워크 및 정보 보안 2’(NIS 2 지침)는 우리로서도 눈여겨볼만 하다. EU의 모든 산업 부문에 대한 사이버보안법으로서 관련 기업이나 기관은 이를 반드시 준수해야 한다. 사실상 세계 최초의 포괄적 사이버보안법으로 평가되고 있어 주목된다.

EU집행위원회에 따르면 2022년 11월 유럽 의회에서 승인된 NIS 2는 모든 EU 회원국에서 일관되고 최소한의 사이버 보안 기준을 확립하는 것을 목표로 한다. NIS 2 지침의 적용을 받는 기업이나 기관이라면 ‘네트워크 및 정보 시스템의 보안에 대한 위험을 관리하기 위한 조치’를 취해야 한다. 또 ‘서비스 이용자와 다른 서비스에 대해 사고 가능성을 방지하거나 최소화’하도록 했다.

약칭 ‘NIS 2 지침’의 개념과 목적

NIS 2 지침은 EU 내에서 ‘경제와 사회에 중요한’ 서비스나 인프라를 제공하는 중대형 기업이나 기관에 적용되는 입법 조치다. EU권역에서 공통의 강력한 사이버 보안체계를 구축하기 위한 것이다. 이는 앞서 지난 2016년 EU에서 채택된 NIS 1을 기반으로 한다. 즉, NIS 1은 각 회원국에서 지정한 ‘필수 서비스 운영자’와, 온라인 마켓플레이스, 검색 엔진, 클라우드 서비스 제공자와 같은 모든 주요 ‘디지털 서비스 제공자’에 적용된다. 만약 이를 어길 경우 회원국별로 해당 기업이나 기관에 대해 자체적인 처벌을 할 수 있도록 했다.

NIS 2는 또 과거 NIS 1을 기반으로 에너지, 의료, 운송, 디지털 인프라를 포함한 중요 부문으로 범위를 확장하고, 더 엄격한 사이버 보안 기준을 도입했다. 최소 50명 이상의 기업들도 포함, NIS 1에서 제외되었던 많은 기업들도 NIS 2를 준수해야 한다.

또한 NIS 2의 조항은 여러 면에서 NIS 1과 다르다. 공급망 위험은 이를 악용하는 공격이 증가하고 있으므로 특히 강조하고 있다. 사이버공격에 의한 피해를 최소화하고 비즈니스 연속성을 의한 재해 복구 계획이 주요 조항이다. 또 시스템이 업데이트된 보안 표준을 충족하는지 확인하기 위해 ‘펜 테스트’ 및 ‘취약성 평가’를 포함한 보안 감사를 정기적으로 수행해야 한다. 이를 위해 규제 기관은 무작위 감사 및 현장 검사와 같은 강력한 시행 권한을 갖고 있다.

‘필수적’이거나 ‘중요한’ 기관이나 기업의 보안관리 조직은 회사에서 구현한 사이버 보안 위험 관리 조치를 승인하고 감독하되, 침해에 대해 ‘개인적’으로 책임을 질 수도 있다. 또한 제20조에 따라 정기적인 사이버 보안 교육을 받아야 한다.

사고 보고에 대한 의무 대폭 강화

NIS 2에는 사고 보고에 대한 의무도 강화되었다. 컴퓨터 보안 사고 대응팀이나 기타 산업별 규제 기관은 기업 경영에 ‘상당한 영향’을 끼치는 사고에 대해 반드시 통보를 받도록 했다. 심각한 운영 중단이 있거나, 재정적 손실, 다른 자연인이나 법인에게 상당한 피해를 입히는 경우 등이 이에 해당된다. NIS 1보다 더 많은 사고 유형이 포함된 점도 눈길을 끈다. 이 경우 먼저 24시간 이내에 규제 기관에 일차 보고한 다음, 다시 72시간 이내에 자세한 보고서를 제출토록 했다. 그로부터 다시 한 달 이내에 중간 및 최종 보고서를 모두 제출해야 한다. 서비스 이용자, 즉 소비자들도 서비스에 미치는 영향에 대해 통보를 받아야 한다. 해당 기업이나 기관은 소비자들의 불편을 최소화하도록 지원해야 한다.

특히 NIS 2의 사이버위험 관리를 위한 ‘최소 요구 사항’은 크게 강화되었다. 이처럼 강화된 조항도 회원국들이 일률적으로 비준을 하지 못한 원인 중 하나로 꼽힌다. 각 기업이나 기관이 준수해야 하는 정확한 NIS 2 규정은 규모, 위험 노출, 잠재적 사고의 심각성, 보안 기술 구현 비용과 같은 요인에 따라 달라진다. 그 중 대표적으로 10가지 위험 관리 조치가 법률에 명시되었다.

이에 따르면 ▲위험 분석 및 정보 시스템 보안에 대한 정책 ▲사고 대응 계획 ▲백업 관리 및 재해 복구와 같은 비즈니스 연속성 ▲공급망 보안 ▲취약성 처리를 포함한 네트워크 및 정보 시스템 인수, 개발 및 유지 관리의 보안 ▲사이버 보안 위험 관리 조치의 효과를 평가하기 위한 정책 및 절차 ▲기본 사이버 위생 관행 및 보안 교육 ▲암호화 및 암호화 사용에 대한 정책 ▲인적 자원 보안, 액세스 제어 정책 및 자산 관리 ▲다중 요소 인증 또는 연속 인증 솔루션 등이다.

NIS 2 준수해야 될 기업과 기관들

NIS 2는 EU 내에서 운영되는 ‘필수’ 또는 ‘중요’ 기업으로 분류된 조직들이 그 대상이다. EU에 본사를 둘 필요는 없다. 특히 ‘필수’ 기관은 ‘중요’ 기관보다 더 엄격한 요구 사항을 충족해야 한다. ‘필수’ 기관은 대표적으로 에너지, 운송, 은행, 금융 시장 인프라, 의료, 식수 및 폐수, 디지털 인프라, IT 서비스 관리자, 항공우주, 정부 서비스 등을 망라한 대기업이나 대규모 기관, 조직이다.

이와 함께 ‘필수’보단 한 단계 아래인 ‘중요’ 기관들은 디지털 공급자, 우편 및 택배 서비스, 폐기물 관리업체, 식품업체, 화학 물질 관련업체, 연구기관이나 기업, 제조업체 등을 망라한 중소 기업과 조직들이다.

여기서 말하는 대규모 조직은 최소 250명의 직원을 두거나, 연간 매출이 최소 5,000만 유로이고 대차대조표 총액이 최소 4,300만 유로인 경우다. 中규모 조직은 최소 50명의 직원을 두거나 연간 매출과 대차대조표 총액이 1,000만 유로 이상이다. 각 EU 회원국은 2025년 4월 17일까지 관할권 내에서 NIS 2를 준수해야 하는 ‘필수’ 및 ‘중요’ 기관 목록을 작성해야 한다. “필수 기관의 준수 여부는 사고 전과 후에 면밀히 조사되지만, 중요 기관은 사고가 발생한 후에만 검토된다”는 설명이다.

해당 법 어기면 최대 매출 2% 또는 1천만 유로 벌금

NIS 2를 준수하지 않을 경우 강력한 제재와 처벌이 따른다. 발효와 회원국 비준을 거친 후에도 NIS 2를 준수하지 않는 대상 기업이나 기관은 엄청난 벌금을 부과받을 수 있다. 예를 들어 필수 기업의 경우 해당 법을 어기면 연간 글로벌 매출의 2% 또는 최대 1,000만 유로가운데 더 많은 금액을 내야 한다. 중요 기업들의 경우 연간 글로벌 매출의 1.4% 또는 최대 700만 유로 중 더 많은 금액을 벌금으로 내야 한다. 특히 해당 법률은 “NIS 2를 준수하지 않아 ‘개인 데이터’ 침해가 발생하는 경우라도, NIS 2와 GDPR 등에 의해 이중 처벌을 받지는 않는다.”고 규정했다.

EU 내에서 운영되는 기업의 임원이 가장 먼저 해야 할 일은 NIS 2에 따라 기업이 필수 또는 중요 기관으로 분류되는지 확인하는 것이란 주문이다. 필수 및 중요 기관은 EU 사이버 보안 기관에 등록해야 한다.

회사가 지침의 적용을 받는지 여부에 관계없이 ‘위험 평가’를 실시해야 한다. NIS 2는 기업이 사이버 보안과 해킹 등을 방어할 수 있도록 위험 기반 접근 방식을 채택하도록 규정하고 있다. 그러나 사이버 공격이 점점 더 널리 퍼지고 있기 때문에 이는 이 법률 적용 대상이 아닌 기업들에게도 중요한 내용이란 평가다.

((2-②)에 평가와 전망 이어짐)