.gif)
EU 디지털 정책 핵심은 ‘사이버 보안’, 조직 복원력 향상 위한 국가 프레임워크 구성
‘사람 중심’의 디지털 정책 추진으로 미래 디지털 주도권 확보 단계적 수립 계획
다양한 관련 지침·법제 개정 및 도입...NIS2·CER·DORA·사이버복원력·연대·보안법 등
[보안뉴스 이소미 기자] EU(유럽연합)가 정치적 가이드라인에 따라 정책 우선순위 6대 핵심목표 가운데 ‘디지털 정책’을 포함시켰다. 우리가 눈여겨 볼 것은 EU의 디지털 정책 추진과 함께 사이버보안에 대한 중요성이 더욱 강조됐다는 점과 신기술이 아닌 ‘사람’에 중심을 뒀다는 점이다. 이에 우리나라 디지털 정책 및 사이버 보안의 방향성 등에 시사점을 주는 사안들을 한국인터넷진흥원(KISA)의 윤주연 법제연구팀장이 소개하는 자리를 가졌다.
[이미지=gettyimagesbank]
EU의 공통 목표는 유럽 전반의 사이버보안 수준 향상을 통한 집단적 ‘회복력’ 강화 및 안전한 디지털 환경 조성을 목표로 크게 △사이버 복원력 △제품 안전성 △공동 대응력을 중심으로 사이버보안 입법 토대를 마련했다.
먼저, 사이버 복원력 강화를 위해 사이버보안 지침(NIS2·CER 지침)을 개정하면서 기존에 해커·사이버공격에 대한 처벌 중심에서 어떻게 ‘방어’할 것인가에 대한 ‘보안’에 초점이 맞춰졌다. 이를 위해 △규율대상 확대 및 중요도 등에 따른 차등화 △사이버보안 규제의 구체적 기준 제시 △국가 사이버보안 프레임워크 △정보공유 촉진 △회원국간 협력 매커니즘 △주요 조직의 복원력에 관한 국가 프레임워크 △주요 조직의 복원력 조치 규제 등이 마련됐다.
▲‘EU 디지털 미래 구축 사이버보안 방향’을 주제로 발표 중인 KISA 윤주연 법제연구팀장[사진=KISA]
또한, 2025년 1월부터 적용 예정인 디지털 운영 복원력법(DORA)은 EU 내 전체 금융기관 대상으로 포괄적인 범위의 ICT 위험관리 체계를 갖춰야 한다는 내용이다. 세부 항목으로 △거버넌스 △사고보고 △ICT 위험관리 △ICT 서드파티 관리가 있다.
이와 관련 KISA 윤주연 법제연구팀장은 “특히 ‘거버넌스’는 ICT 금융기관이 높은 수준의 디지털 운영 복원력을 위해 ICT 위험에 대한 효과적인 관리와 내부 거버넌스 통제 체계를 갖춰야 한다는 의미”라면서, “여기에 경영진이 위험관리 프레임워크와 관련된 모든 조치를 승인·감독·책임져야 한다는 점은 참고할 만한 부분으로 가장 의미있다고 생각한다”고 전했다.
다음은 사이버 복원력 강화를 위한 ‘디지털 제품 안전성 확보’와 관련된 사이버 복원력법(안)이다. EU는 시장에 출시되는 단순한 IoT 연결 장치가 아닌 장치·네트워크에 직간접적 또는 논리적인 데이터 연결 기본 요소와 디지털 요소가 함께 있는 제품을 말한다. 또한, 제조업체 사업자 의무로 △기본 사이버보안 요건(Essential Cybersecurity Requirements) 준수 △적합성 평가 수행을 통한 CE 마크 부착 의무화 △보안 사고 발생 시 24시간 이내 사고 보고 등을 수행해야 한다.
특히, 디지털 요소 포함 제품의 설계·개발·생산 시 ‘제품 보안 요건’을 준수해야 하며, 취약점·구성요소 식별 등을 위한 SBoM(SW Bill of Material)를 도입해 투명하게 공개해야 한다. 무엇보다 이슈가 되고 있는 사이버보안 관련 규제대상 범위와 오픈소스 개발자 및 유지·관리자, 중소기업 등에 과도한 부담이 더해진다는 논란으로 의회에서는 법안 재검토 및 최종 3자 협상을 앞두고 있다.
마지막으로, 갑작스럽게 발생하는 대규모 사이버보안 위협에 대해 EU가 공동대응할 수 있는 위기 대응체계 구축을 위한 사이버연대법(안)을 마련했다. 여기에는 △EU 사이버보안 쉴드 설립 △사이버 비상 매커니즘 구축 △EU 사이버보안 리저브 구축이 포함된다. 또한, EU 공통의 사이버보안 인증프레임워크 구축을 핵심으로 둔 사이버보안법 개정(안)이 제시됐다. 이는 사고 대응·침투 테스트·보안 감사·컨설팅 등의 사이버 보안 위험 관리 활동에 대한 EU 차원의 공통 인증 체계를 만든다는 내용이다.
윤주연 법제연구팀장은 “이제 사이버 위협은 국경과 경계가 없어지며 전 세계적인 위협으로 확대돼 국제적으로 공동 대응 형태로 가는 추세”라면서, “국내 정책 방향에 있어 참조할만한 내용은 사이버 보안 규제에 대한 조직 대상으로의 규범적 접근 제도와 보안 대상 범위 확대, 그리고 의무 보안 요구사항 표준화·법체계의 상호 조화로운 연계 필요성이 중요하다”고 말했다.
[이소미 기자(boan4@boannews.com)]
‘사람 중심’의 디지털 정책 추진으로 미래 디지털 주도권 확보 단계적 수립 계획
다양한 관련 지침·법제 개정 및 도입...NIS2·CER·DORA·사이버복원력·연대·보안법 등
[보안뉴스 이소미 기자] EU(유럽연합)가 정치적 가이드라인에 따라 정책 우선순위 6대 핵심목표 가운데 ‘디지털 정책’을 포함시켰다. 우리가 눈여겨 볼 것은 EU의 디지털 정책 추진과 함께 사이버보안에 대한 중요성이 더욱 강조됐다는 점과 신기술이 아닌 ‘사람’에 중심을 뒀다는 점이다. 이에 우리나라 디지털 정책 및 사이버 보안의 방향성 등에 시사점을 주는 사안들을 한국인터넷진흥원(KISA)의 윤주연 법제연구팀장이 소개하는 자리를 가졌다.
[이미지=gettyimagesbank]
EU의 공통 목표는 유럽 전반의 사이버보안 수준 향상을 통한 집단적 ‘회복력’ 강화 및 안전한 디지털 환경 조성을 목표로 크게 △사이버 복원력 △제품 안전성 △공동 대응력을 중심으로 사이버보안 입법 토대를 마련했다.
먼저, 사이버 복원력 강화를 위해 사이버보안 지침(NIS2·CER 지침)을 개정하면서 기존에 해커·사이버공격에 대한 처벌 중심에서 어떻게 ‘방어’할 것인가에 대한 ‘보안’에 초점이 맞춰졌다. 이를 위해 △규율대상 확대 및 중요도 등에 따른 차등화 △사이버보안 규제의 구체적 기준 제시 △국가 사이버보안 프레임워크 △정보공유 촉진 △회원국간 협력 매커니즘 △주요 조직의 복원력에 관한 국가 프레임워크 △주요 조직의 복원력 조치 규제 등이 마련됐다.
▲‘EU 디지털 미래 구축 사이버보안 방향’을 주제로 발표 중인 KISA 윤주연 법제연구팀장[사진=KISA]
또한, 2025년 1월부터 적용 예정인 디지털 운영 복원력법(DORA)은 EU 내 전체 금융기관 대상으로 포괄적인 범위의 ICT 위험관리 체계를 갖춰야 한다는 내용이다. 세부 항목으로 △거버넌스 △사고보고 △ICT 위험관리 △ICT 서드파티 관리가 있다.
이와 관련 KISA 윤주연 법제연구팀장은 “특히 ‘거버넌스’는 ICT 금융기관이 높은 수준의 디지털 운영 복원력을 위해 ICT 위험에 대한 효과적인 관리와 내부 거버넌스 통제 체계를 갖춰야 한다는 의미”라면서, “여기에 경영진이 위험관리 프레임워크와 관련된 모든 조치를 승인·감독·책임져야 한다는 점은 참고할 만한 부분으로 가장 의미있다고 생각한다”고 전했다.
다음은 사이버 복원력 강화를 위한 ‘디지털 제품 안전성 확보’와 관련된 사이버 복원력법(안)이다. EU는 시장에 출시되는 단순한 IoT 연결 장치가 아닌 장치·네트워크에 직간접적 또는 논리적인 데이터 연결 기본 요소와 디지털 요소가 함께 있는 제품을 말한다. 또한, 제조업체 사업자 의무로 △기본 사이버보안 요건(Essential Cybersecurity Requirements) 준수 △적합성 평가 수행을 통한 CE 마크 부착 의무화 △보안 사고 발생 시 24시간 이내 사고 보고 등을 수행해야 한다.
특히, 디지털 요소 포함 제품의 설계·개발·생산 시 ‘제품 보안 요건’을 준수해야 하며, 취약점·구성요소 식별 등을 위한 SBoM(SW Bill of Material)를 도입해 투명하게 공개해야 한다. 무엇보다 이슈가 되고 있는 사이버보안 관련 규제대상 범위와 오픈소스 개발자 및 유지·관리자, 중소기업 등에 과도한 부담이 더해진다는 논란으로 의회에서는 법안 재검토 및 최종 3자 협상을 앞두고 있다.
마지막으로, 갑작스럽게 발생하는 대규모 사이버보안 위협에 대해 EU가 공동대응할 수 있는 위기 대응체계 구축을 위한 사이버연대법(안)을 마련했다. 여기에는 △EU 사이버보안 쉴드 설립 △사이버 비상 매커니즘 구축 △EU 사이버보안 리저브 구축이 포함된다. 또한, EU 공통의 사이버보안 인증프레임워크 구축을 핵심으로 둔 사이버보안법 개정(안)이 제시됐다. 이는 사고 대응·침투 테스트·보안 감사·컨설팅 등의 사이버 보안 위험 관리 활동에 대한 EU 차원의 공통 인증 체계를 만든다는 내용이다.
윤주연 법제연구팀장은 “이제 사이버 위협은 국경과 경계가 없어지며 전 세계적인 위협으로 확대돼 국제적으로 공동 대응 형태로 가는 추세”라면서, “국내 정책 방향에 있어 참조할만한 내용은 사이버 보안 규제에 대한 조직 대상으로의 규범적 접근 제도와 보안 대상 범위 확대, 그리고 의무 보안 요구사항 표준화·법체계의 상호 조화로운 연계 필요성이 중요하다”고 말했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
