불가리아 2026년 EU NIS2 지침을 반영한 개정 사이버보안법 발효
18개 핵심 산업군으로 규제 대상 확대 및 경영진 책임 강화
ICT, CCTV 등 물리 보안과 네트워크 보안 솔루션의 융합 수요 증대 기대
[보안뉴스 원병철 기자] 불가리아는 EU의 강화된 네트워크 및 정보 보안 지침인 NIS2(Network and Information Systems 2)를 자국법에 반영하기 위해 2026년 2월 5일 ‘사이버보안법’(Cybersecurity Act) 개정안을 통과시켰다. 법안은 2026년 2월 17일부터 정식 발효됐으며, 이는 기존 2018년 제정되었던 법령을 디지털 환경 변화에 맞게 전면 개편한 것이다.
[출처: gettyimagesbank]
불가리아 정부는 이번 개정을 통해 국가 핵심 인프라의 회복탄력성을 높이고, 특히 공급망 보안에 대한 정부의 감독권한을 대폭 강화함으로써 EU 내에서도 높은 수준의 디지털 보안 체계를 구축하겠다는 의지를 보이고 있다고 KOTRA 소피아무역관은 밝혔다.
EU NIS2 지침
NIS2는 2016년에 시행된 기존 NIS1 지침을 개정·확대한 법안으로, 2022년 채택되었으며 각 EU 회원국은 이를 자국 법제에 반영해 2024년부터 본격적으로 적용하고 있다. NIS2의 가장 큰 특징은 적용 범위의 대폭 확대이다. 기존NIS1이 에너지, 운송, 금융, 보건 등 제한된 분야에 초점을 맞췄다면, NIS2는 디지털 인프라, 공공행정, 우편 및 택배 서비스, 폐기물 관리, 우주 산업 등 다양한 분야까지 포함하여 총 18개 산업 분야로 적용 대상을 넓혔다.
또한 사이버보안의 규제 대상을 ‘핵심기관’(Essential Entity)과 ‘중요기관’(Important Entity)으로 구분하고, 일정 규모 이상(직원 50인 이상 또는 연 매출 1000만유로 이상)의 기업이나 기관에 대해 보안 의무를 적용함으로써 보다 광범위한 조직이 사이버 보안 규제의 대상이 되도록 적용했다. 사실상 거의 모든 산업분야 및 기업에 적용 되는 지침으로, GDPR(개인정보보호), AI Act(인공지능)과 같이 EU의 정체성이 강한 범적용적 규제다.
NIS2 지침의 주요 항목으로 △공급망 보안(Supply Chain Security) △위험 관리(Risk Management) △보고체계 강화(Incident Reporting) 등이 있다. 공급망 보안의 경우 과거에는 자사 시스템에만 유의했다면, 현재는 자사가 이용하고 있는 하드웨어, 소프트웨어, 부품 등 타사의 보안까지 공동책임을 강조하고 있다. 이전에는 자사 내부 서버의 방화벽 설정에만 집중하고, 협력사 계약시 보안조항은 형식적인 선언문에 그쳤다면, 현재는 협력사에 대한 보안실사, 보안인증(ISO 27001 등) 검증, 정기 보안 감사권 요청 등 보다 강화된 ┖인증┖절차를 요구하고 있다.
위험관리는 백업 데이터·네트워크 완전 분리 다요소 인증(두가지 이상의 인증 방식), 제로트러스트(모든 서버 및 네트워크 접근 요청의 철저한 인증 및 권한 최소화) 방식과 같이 사이버 공격 예방을 위해 취하는 기술적·조직적 조치를 의미한다. 일례로 유럽의 한 식품 제조사의 경우 위험관리를 위해 모든 백업 데어트를 네트워크와 완전히 분리된 오프라인 공간에 저장하고, 랜섬웨어 공격 시 48시간 내에 핵심 공정을 복구 할 수 있는 시나리오 훈련을 분기별로 시행하고 있다.
보고체계의 경우 사이버 보안 사고 발생 시 24시간 이내에 국가·기업 CRIST(Computer Security Incident Response Team, 보안 사고 대응팀)에 신속 보고하도록 의무화하고 있다. 24시간 이내 ‘초기경고’, 72시간 이내 ‘사고알림’, 1개월 이내 ‘최종보고’를 제출하는 3단계 보고 절차가 적용된다. 국내의 한국인터넷진흥원과 같은 보안 컨트롤 타워 내 보고 체계를 강화해, 국가적 사이버 사고 손해를 최소화하려는 목적이다. 불가리아의 경우 전자정부청 산하 기관인 CERT-BG가 존재한다.
이러한 규정을 준수하지 못할 시 EU 각 회원국이 지정한 국가 규제 당국이 핵심기관, 중요기관 별로 각각 최대 1000만유로 또는 전세계 연간 매출의 2%, 700만유로 또는 전세계 연간매출의 1.4%의 벌금을 부과하게 된다. 또한 규제 당국은 벌금 뿐만아니라 보안시정 명령, 보안 관련 인증 취소, 경영진 직무 정지 등 강력한 권한을 행사할 수 있기에, 현재 많은 EU 역내국가들이 NIS2를 준수하는 기관·기업 보안 프로토콜을 재정비하고 있는 시점이다.
▲EU NIS2 - 불가리아 사이버보안법 비교 [출처: KOTRA]
불가리아 사이버보안법의 개정과 공급망 재편
올해 2월에 개정된 불가리아 사이버보안법의 경우 NIS2가 요구하는 글로벌 표준을 그대로 이행하고 있다. 18개의 산업분야 확대, 보고체계 절차, 경영진 책임, 벌금 규모 등 NIS2와 일맥상통한 국내법을 개정했다.
주요 차이점으로는 먼저 일정기간 동안 벌금 감경 유예기간이 적용된다. 2026년 6월 1일까지 발생하는 위반 사항에 대해서는 법정 과징금 및 벌금의 50%를 감경해준다. 또한 불가리아 전자정부부(Ministry of e-Government) 장관의 경우 정부 지급 기기에 특정 어플리케이션이나 웹사이트 사용을 금지할 수 있는 권한을 법적으로 명시했다.
아울러 불가리아 국무회의는 국무총리, 각부처 장관으로 구성된 사이버보안위원회의 제안에 따라, 특정 국가나 특정 기술을 사용하는 제품의 구매를 제한하거나 기존 장비의 철거를 명령할 수 있는 권한을 가지게 된다. 법령 통과 이후 8개월 이내 최소 사이버보안 조치에 관한 법령을 별도로 제정하여, 보안 및 산업 섹터별로 더 구체적인 기술 표준을 강제할 예정(2026년 10월 예상)이다.
이러한 사이버보안법 개정은 단순히 NIS2 지침을 반영하려는 목적이 아니라, 중국, 러시아와 같은 외교 및 보안 고위험 국가를 직접 겨냥한 법이라는 평가가 이뤄지고 있다. 실질적으로 불가리아 사이버보안위원회는 최근 개정법 통과와 함께 정부 지급 기기 내 틱톡 사용금지를 시켰으며, 에너지 및 운송 등 주요 섹터 기업들에게 EU/NATO 회원국이 아닌 제3국의 정부의 통제를 받을 가능성이 있는 기술 및 업체에 대해 3년 이내 교체할 것을 요구했다.
CCTV의 경우 화웨이(Huawei), ZTE, 하이크비전(Hikvision), 다후아(Dahua)와 같은 중국 ICT·네트워크·CCTV 업체와 카스퍼스키(Kaspersky)와 같은 러시아계 보안 소프트웨어의 장비퇴출과 사용금지를 촉진시켰으며, 이미 현재 많은 기업들이 공급망 재편을 추진 중에 있다.
법안 통과 과정에서 일부 불가리아 야당 의원들은 “사실상 화웨이와 중국 업체들을 겨냥한 법안”이라며 강력하게 반발했으나, 정부 측은 “국가 안보를 위한 필수적 조치”라고 답하며 사실상 시인하는 모양새를 보였다. 통신의 경우 불가리아 주요 통신사인 A1, Vivacom, Yettel은 모두 보안 규제 강화에 대응해 네트워크 구조를 재정비하는 가운데, 특히 장비 벤더 전략에서 뚜렷한 차이를 보이고 있다.
A1은 이미 Nokia와 Ericsson 중심의 유럽 벤더 체계를 구축하며 비교적 안정적인 대응 기반을 확보한 반면, Vivacom은 기존 혼합형 구조에서 점진적인 탈중국 전환을 모색하는 단계에 있다. 반면 Yettel은 과거 화웨이 의존도가 높은 네트워크 구조로 인해 향후 장비 교체 및 추가 투자 부담이 클 것으로 예상된다.
고위험 공급업체에 대한 법적 규제가 실질적인 강제력을 갖게 되면서, 그간 가격 경쟁력을 앞세웠던 중국 및 러시아산 장비와 솔루션의 빈자리가 빠르게 대체될 것을 예상되며, 한국산 기술이 일부 자리매김할 것으로 전망된다. 에너지 및 핵심 인프라시설의 경우 불가리아의 핵심 국가 과제인 ┖코즐로두이(Kozloduy) 원전 신규 건설┖ 프로젝트와 맞물려, 한국산 산업용 제어시스템 및 OT(Operational Technology) 보안 솔루션에 대한 수요가 증가할 것으로 예측된다.
망 분리와 실시간 모니터링이 필수적인 인프라 시설 보안 시장에서 한국의 통합 보안 관제 시스템은 기술적·정치적 리스크를 동시에 해결할 최적의 솔루션으로 평가될 가능성이 높다. 공공 안전 및 지능형 영상 감시(VSS) 섹터의 경우 하이크비전 등 중국산 업체들이 고위험 공급업체로 분류되며 공공 섹터에서 밀려나고 있어, 관련 국내기업들에게긍정적 기회를 제공한다.
한국산 제품은 미 국방수탁법(NDAA) 준수와 EU의 최신 보안 인증을 확보하고 있는 경우가 많아, 별도의 법적 검토없이도 즉시 현장에 투입 가능하다는 강력한 장점을 지닌다. 다만, 가격 경쟁력을 갖춘 대만산이나 강력한 브랜드 파워를 지닌 유럽 로컬 기업들과의 치열한 2차전이 예고된다.
또한, 최근 국경 보안 및 주요 시설 감시를 위해 드론의 역할이 커지면서, 불가리아 정부는 보안이 검증된 드론 도입에 박차를 가하고 있다. 그간 시장을 장악했던 중국산 민수용 드론이 데이터 유출 우려로 공공 입찰에서 배제되는 추세는 우리 기업에게 분명한 기회다.
시사점
이처럼 불가리아의 NIS2 지침과 개정 사이버보안법 시행은 한국 기업에 중국산 장비 대체 가능성에 따른 시장 선점의 기회를 제공한다. 실제로 최근 한 불가리아의 대형 ICT 시스템 통합 기업 대표는 중국산 솔루션에 의존하고 있는 비즈니스 구조에서 발생하는 리스크를 인지하고, 이에 대한 명확한 대안으로 한국 기업과의 파트너십을 강력히 희망한다고 밝혔다.
KOTRA는 다만 “기회와 동시에 공급망 투명성 입증이라는 엄격한 과제가 남았다”면서, “이제 우리 기업은 제품 성능을 넘어 제조 공정 전반에 고위험 국가의 요소가 없음을 스스로 증명해야 하며, 보안 사고 발생 시 이사회 차원의 리스크 관리 체계를 필수적으로 구축해야 한다”고 강조했다.
[원병철 기자(boanone@boannews.com)]
18개 핵심 산업군으로 규제 대상 확대 및 경영진 책임 강화
ICT, CCTV 등 물리 보안과 네트워크 보안 솔루션의 융합 수요 증대 기대
[보안뉴스 원병철 기자] 불가리아는 EU의 강화된 네트워크 및 정보 보안 지침인 NIS2(Network and Information Systems 2)를 자국법에 반영하기 위해 2026년 2월 5일 ‘사이버보안법’(Cybersecurity Act) 개정안을 통과시켰다. 법안은 2026년 2월 17일부터 정식 발효됐으며, 이는 기존 2018년 제정되었던 법령을 디지털 환경 변화에 맞게 전면 개편한 것이다.
[출처: gettyimagesbank]
불가리아 정부는 이번 개정을 통해 국가 핵심 인프라의 회복탄력성을 높이고, 특히 공급망 보안에 대한 정부의 감독권한을 대폭 강화함으로써 EU 내에서도 높은 수준의 디지털 보안 체계를 구축하겠다는 의지를 보이고 있다고 KOTRA 소피아무역관은 밝혔다.
EU NIS2 지침
NIS2는 2016년에 시행된 기존 NIS1 지침을 개정·확대한 법안으로, 2022년 채택되었으며 각 EU 회원국은 이를 자국 법제에 반영해 2024년부터 본격적으로 적용하고 있다. NIS2의 가장 큰 특징은 적용 범위의 대폭 확대이다. 기존NIS1이 에너지, 운송, 금융, 보건 등 제한된 분야에 초점을 맞췄다면, NIS2는 디지털 인프라, 공공행정, 우편 및 택배 서비스, 폐기물 관리, 우주 산업 등 다양한 분야까지 포함하여 총 18개 산업 분야로 적용 대상을 넓혔다.
또한 사이버보안의 규제 대상을 ‘핵심기관’(Essential Entity)과 ‘중요기관’(Important Entity)으로 구분하고, 일정 규모 이상(직원 50인 이상 또는 연 매출 1000만유로 이상)의 기업이나 기관에 대해 보안 의무를 적용함으로써 보다 광범위한 조직이 사이버 보안 규제의 대상이 되도록 적용했다. 사실상 거의 모든 산업분야 및 기업에 적용 되는 지침으로, GDPR(개인정보보호), AI Act(인공지능)과 같이 EU의 정체성이 강한 범적용적 규제다.
NIS2 지침의 주요 항목으로 △공급망 보안(Supply Chain Security) △위험 관리(Risk Management) △보고체계 강화(Incident Reporting) 등이 있다. 공급망 보안의 경우 과거에는 자사 시스템에만 유의했다면, 현재는 자사가 이용하고 있는 하드웨어, 소프트웨어, 부품 등 타사의 보안까지 공동책임을 강조하고 있다. 이전에는 자사 내부 서버의 방화벽 설정에만 집중하고, 협력사 계약시 보안조항은 형식적인 선언문에 그쳤다면, 현재는 협력사에 대한 보안실사, 보안인증(ISO 27001 등) 검증, 정기 보안 감사권 요청 등 보다 강화된 ┖인증┖절차를 요구하고 있다.
위험관리는 백업 데이터·네트워크 완전 분리 다요소 인증(두가지 이상의 인증 방식), 제로트러스트(모든 서버 및 네트워크 접근 요청의 철저한 인증 및 권한 최소화) 방식과 같이 사이버 공격 예방을 위해 취하는 기술적·조직적 조치를 의미한다. 일례로 유럽의 한 식품 제조사의 경우 위험관리를 위해 모든 백업 데어트를 네트워크와 완전히 분리된 오프라인 공간에 저장하고, 랜섬웨어 공격 시 48시간 내에 핵심 공정을 복구 할 수 있는 시나리오 훈련을 분기별로 시행하고 있다.
보고체계의 경우 사이버 보안 사고 발생 시 24시간 이내에 국가·기업 CRIST(Computer Security Incident Response Team, 보안 사고 대응팀)에 신속 보고하도록 의무화하고 있다. 24시간 이내 ‘초기경고’, 72시간 이내 ‘사고알림’, 1개월 이내 ‘최종보고’를 제출하는 3단계 보고 절차가 적용된다. 국내의 한국인터넷진흥원과 같은 보안 컨트롤 타워 내 보고 체계를 강화해, 국가적 사이버 사고 손해를 최소화하려는 목적이다. 불가리아의 경우 전자정부청 산하 기관인 CERT-BG가 존재한다.
이러한 규정을 준수하지 못할 시 EU 각 회원국이 지정한 국가 규제 당국이 핵심기관, 중요기관 별로 각각 최대 1000만유로 또는 전세계 연간 매출의 2%, 700만유로 또는 전세계 연간매출의 1.4%의 벌금을 부과하게 된다. 또한 규제 당국은 벌금 뿐만아니라 보안시정 명령, 보안 관련 인증 취소, 경영진 직무 정지 등 강력한 권한을 행사할 수 있기에, 현재 많은 EU 역내국가들이 NIS2를 준수하는 기관·기업 보안 프로토콜을 재정비하고 있는 시점이다.
▲EU NIS2 - 불가리아 사이버보안법 비교 [출처: KOTRA]
불가리아 사이버보안법의 개정과 공급망 재편
올해 2월에 개정된 불가리아 사이버보안법의 경우 NIS2가 요구하는 글로벌 표준을 그대로 이행하고 있다. 18개의 산업분야 확대, 보고체계 절차, 경영진 책임, 벌금 규모 등 NIS2와 일맥상통한 국내법을 개정했다.
주요 차이점으로는 먼저 일정기간 동안 벌금 감경 유예기간이 적용된다. 2026년 6월 1일까지 발생하는 위반 사항에 대해서는 법정 과징금 및 벌금의 50%를 감경해준다. 또한 불가리아 전자정부부(Ministry of e-Government) 장관의 경우 정부 지급 기기에 특정 어플리케이션이나 웹사이트 사용을 금지할 수 있는 권한을 법적으로 명시했다.
아울러 불가리아 국무회의는 국무총리, 각부처 장관으로 구성된 사이버보안위원회의 제안에 따라, 특정 국가나 특정 기술을 사용하는 제품의 구매를 제한하거나 기존 장비의 철거를 명령할 수 있는 권한을 가지게 된다. 법령 통과 이후 8개월 이내 최소 사이버보안 조치에 관한 법령을 별도로 제정하여, 보안 및 산업 섹터별로 더 구체적인 기술 표준을 강제할 예정(2026년 10월 예상)이다.
이러한 사이버보안법 개정은 단순히 NIS2 지침을 반영하려는 목적이 아니라, 중국, 러시아와 같은 외교 및 보안 고위험 국가를 직접 겨냥한 법이라는 평가가 이뤄지고 있다. 실질적으로 불가리아 사이버보안위원회는 최근 개정법 통과와 함께 정부 지급 기기 내 틱톡 사용금지를 시켰으며, 에너지 및 운송 등 주요 섹터 기업들에게 EU/NATO 회원국이 아닌 제3국의 정부의 통제를 받을 가능성이 있는 기술 및 업체에 대해 3년 이내 교체할 것을 요구했다.
CCTV의 경우 화웨이(Huawei), ZTE, 하이크비전(Hikvision), 다후아(Dahua)와 같은 중국 ICT·네트워크·CCTV 업체와 카스퍼스키(Kaspersky)와 같은 러시아계 보안 소프트웨어의 장비퇴출과 사용금지를 촉진시켰으며, 이미 현재 많은 기업들이 공급망 재편을 추진 중에 있다.
법안 통과 과정에서 일부 불가리아 야당 의원들은 “사실상 화웨이와 중국 업체들을 겨냥한 법안”이라며 강력하게 반발했으나, 정부 측은 “국가 안보를 위한 필수적 조치”라고 답하며 사실상 시인하는 모양새를 보였다. 통신의 경우 불가리아 주요 통신사인 A1, Vivacom, Yettel은 모두 보안 규제 강화에 대응해 네트워크 구조를 재정비하는 가운데, 특히 장비 벤더 전략에서 뚜렷한 차이를 보이고 있다.
A1은 이미 Nokia와 Ericsson 중심의 유럽 벤더 체계를 구축하며 비교적 안정적인 대응 기반을 확보한 반면, Vivacom은 기존 혼합형 구조에서 점진적인 탈중국 전환을 모색하는 단계에 있다. 반면 Yettel은 과거 화웨이 의존도가 높은 네트워크 구조로 인해 향후 장비 교체 및 추가 투자 부담이 클 것으로 예상된다.
고위험 공급업체에 대한 법적 규제가 실질적인 강제력을 갖게 되면서, 그간 가격 경쟁력을 앞세웠던 중국 및 러시아산 장비와 솔루션의 빈자리가 빠르게 대체될 것을 예상되며, 한국산 기술이 일부 자리매김할 것으로 전망된다. 에너지 및 핵심 인프라시설의 경우 불가리아의 핵심 국가 과제인 ┖코즐로두이(Kozloduy) 원전 신규 건설┖ 프로젝트와 맞물려, 한국산 산업용 제어시스템 및 OT(Operational Technology) 보안 솔루션에 대한 수요가 증가할 것으로 예측된다.
망 분리와 실시간 모니터링이 필수적인 인프라 시설 보안 시장에서 한국의 통합 보안 관제 시스템은 기술적·정치적 리스크를 동시에 해결할 최적의 솔루션으로 평가될 가능성이 높다. 공공 안전 및 지능형 영상 감시(VSS) 섹터의 경우 하이크비전 등 중국산 업체들이 고위험 공급업체로 분류되며 공공 섹터에서 밀려나고 있어, 관련 국내기업들에게긍정적 기회를 제공한다.
한국산 제품은 미 국방수탁법(NDAA) 준수와 EU의 최신 보안 인증을 확보하고 있는 경우가 많아, 별도의 법적 검토없이도 즉시 현장에 투입 가능하다는 강력한 장점을 지닌다. 다만, 가격 경쟁력을 갖춘 대만산이나 강력한 브랜드 파워를 지닌 유럽 로컬 기업들과의 치열한 2차전이 예고된다.
또한, 최근 국경 보안 및 주요 시설 감시를 위해 드론의 역할이 커지면서, 불가리아 정부는 보안이 검증된 드론 도입에 박차를 가하고 있다. 그간 시장을 장악했던 중국산 민수용 드론이 데이터 유출 우려로 공공 입찰에서 배제되는 추세는 우리 기업에게 분명한 기회다.
시사점
이처럼 불가리아의 NIS2 지침과 개정 사이버보안법 시행은 한국 기업에 중국산 장비 대체 가능성에 따른 시장 선점의 기회를 제공한다. 실제로 최근 한 불가리아의 대형 ICT 시스템 통합 기업 대표는 중국산 솔루션에 의존하고 있는 비즈니스 구조에서 발생하는 리스크를 인지하고, 이에 대한 명확한 대안으로 한국 기업과의 파트너십을 강력히 희망한다고 밝혔다.
KOTRA는 다만 “기회와 동시에 공급망 투명성 입증이라는 엄격한 과제가 남았다”면서, “이제 우리 기업은 제품 성능을 넘어 제조 공정 전반에 고위험 국가의 요소가 없음을 스스로 증명해야 하며, 보안 사고 발생 시 이사회 차원의 리스크 관리 체계를 필수적으로 구축해야 한다”고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
-1.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
