전체메뉴

[애플경제 전윤미 기자] EU의 새로운 NIS 2는 사이버보안을 위해 역내 기업들에게 필수적인 강행규정을 다수 포함하고 있다. 대표적으로 횟 내부 취약성뿐만 아니라 공급망 내의 취약성도 위험 평가의 대상으로 인식하고, 이를 분석, 대응할 것을 규정하고 있다.

이는 이른바 ‘제3자’격인 공급망이 위험을 고려한 것이다. 실제로 많은 기업들은 클라우드 네이티브 등 외부 서비스에 의존함으로써 취약점을 노출하고 있다. 사이버위협 행위자들은 단 한 번의 공격으로 여러 진입점을 확보할 수 있기 때문이다. NIS 2의 제21조는 특히 “기업이 공급업체와 서비스 제공자의 제품 품질과 사이버 보안 관행을 감독할 것”을 의무화하고 있다. 외부 거래업체들을 경로로 삼은 사이버공격을 철저히 방지하라는 뜻이다.

NIS 2를 준수해야 하는 필수 내지 중요기관은 자체적으로 포괄적인 사이버 보안 정책을 개발하고 시행해야 한다. 이는 사고 탐지, 대응 및 복구를 위한 조치와 제21조 준수를 보장하기 위한 정기적인 보안 감사가 포함되어야 한다. 또한 동법률은 다중 인증, 사이버 보안 교육, 기밀 데이터에 대한 액세스 제어와 같이 사이버보안을 위해 준수해야 할 구체적인 조치가 많이 언급되어 있다.

‘24시간 내 사고 보고’ 등 엄격한 의무사항

특히 중대한 보안 사건의 경우 반드시 그 원인과 결과를 파악, 보고해야 한다. 이같은 규정 준수 여부를 감독하는 관리 기관도 각 회원국들은 설치 내지 임명해야 한다. NIS 2는 이같은 규정을 준수하지 않는 기업과 경영진에겐 매우 강력하면서도 구체적인 법적 책임을 부과하고 있다.

회원국은 NIS 2를 넘어서 자체 사이버 보안대책이나, 보고 의무 사항을 추가로 도입할 수도 있다. 대표적으로 벨기에, 크로아티아, 그리스, 헝가리, 라트비아, 리투아니아 등은 이같은 자체 의무를 추가함으로써 더욱 강력한 사이버보안책을 실행하고 있다. 발트3국의 경우 ‘디지털 소강국’으로 인식된 만큼 한층 강력한 대응책을 자체적으로 실시하고 있는 셈이다.

그러나 정책 전문가들은 각자의 시각에 따라 NIS 2를 다양하게 평가하고 있다. 물론 NIS 2느 EU 기업의 사이버 보안 시스템을 개선, 사이버 공격 피해를 예방하고 완화할 수 있도록 하려는 의도이다. 그러나 모든 정책 전문가가 이를 긍정적으로 평가하고 있는 것은 아니다.

우선 가장 큰 지적사항은 “기업들이 이처럼 엄격한 보안 규정을 준수하기 이해 준비할 시간이 충분하지 않다”는 것이다. 실제로 EU의 NIS 2를 꼼꼼히 분석해봤다는 국내 보안업체 ‘시큐어’의 한 관계자는 “효과적이고 현실적이기 위해서는 NIS 2 규정에 정한 ‘사고 보고’나 ‘보안 조치’가 실용적이고 실현 가능한 것이어야 한다”고 말했다.

실제로 각 회원국 기업들은 2027년 4월 18일까지 NIS 2에 규정한 사이버 보안 조치를 구현해야 한다. 그러나 “그 기간엔 NIS 2 규정에 못미치더라도, 기업 자체적으로 그 전에 미리 사이버보안 규정에 맞는 로드맵을 구축해야 한다”는 것이다. 그 만큼 시간이 촉박하다는 지적이다.

정책 전문가들, 비판적 의견도 많아

또 다른 전문가들은 시일은 임박한데도 불구하고, EU 회원국마다 NIS 2 실행을 위한 준비 상태가 각기 다른 것독 문제다. 이들에 의하면 역내 기업들이 아직은 NIS 2를 완전히 준수하기 어려운 데에는 몇 가지 이유가 있다.

IT보안 관리자들 상당수가 이를 관리할 만한 기술이 부족하다. 또 이에 입각한 회사 차원의 보안정책에 대한 공감도가 높지않으며, 예산 부족으로 어려움을 겪는 경우도 많다. 실제로 현지 매체들에 의하면 NIS 2가 2023년 1월에 발효된 이후로 IT 예산이 감소한 기업들이 많은 것으로 전해지고 있다.

또한 기술 격차, 수익성, 디지털 변환 등 당장 이를 시행할 수 없게 하는 걸림돌이 많다. 그렇다보니 회원국들마다 격차가 크다. 앞서 언급했듯이 벨기에, 크로아티아, 헝가리, 라트비아 같은 국가는 이미 NIS2를 준수하는 법률을 채택했다. 그러나 불가리아, 에스토니아, 포르투갈과 같은 국가는 아직 진전이 거의 없는 상태다. 그럼에도 “해당 법률이 모든 회원국에서 일관되게 시행되어야만 효과가 있을 것”이라는데엔 큰 이견이 없다. 즉, NIS 2을 계기로 잔뜩 긴장한 사이버공겨자들은 한층 결의에 찬 모습으로 약점을 찾으려 혈안이 될 것이란 예상이다.

‘보안 사고’ 여부 가름할 명확한 ‘기준’ 필요

또한 사이버 사고 보고 체계의 정확성도 중요하다. 이를 위해선 사고 여부를 판단케하는 적정한 ‘임계값’이 공유되어야 한다는 얘기다. 예를 들어, 10분 이상 지속되는 클라우드 서비스 중단이 그런 경우다. 이처럼 일정한 사고 기준 내지 임계값이 올바르게 설정되지 않으면 사소한 해프닝도 부풀려 보고할 수도 있다. 그 때문에 가뜩이나 부족한 회사 자원을 실제 보안 사고가 아닌, 중요하지 않은 일로 낭비하며, 온갖 허드렛 보고서로 규제 기관을 힘들게 할 수도 있다는 지적이다.

NIS 2가 다른 국제 보안 표준과 일치하지 않는 부분이 많은 것도 문제로 지적되고 있다. EU 정책에 밝은 전문가들은 “NIS 2가 다른 국제 보안 표준과 잘 일치하지 않아 다국적 기업의 규정 준수가 특히 어려울 것”이라고 지적했다. 글로벌 빅테크의 경우는 개별 지역이나 국가마다 다른 표준에 적응할 수 있다. 그러나 소규모 기업의 경우 이는 엄청나게 부담스러울 수 밖에 없어, 혁신과 경쟁력을 저해할 수 있다는 지적이다. 이같은 숙제를 어떻게 해결하느냐에 따라 NIS 2의 성패가 결정된다는 의견도 많다.