수년간 개발이 진행돼 왔던 EU의 NIS2(네트워크 및 정보 보안) 지침이 지난 18일 발효됐다. NIS2는 기존의 필수 서비스 운영자(에너지, 운송, 통신, 은행 등) 외에도 제조업, 디지털 서비스 제공업체(온라인 마켓, 소셜 네트워크), 우편 서비스 등 15개 부문으로 범위를 확장했다.
이에 따라 더 많은 조직이 위험 관리, 사고 대응, 취약점 공개, 복원력, 공급망 보안 등을 다루는 규정을 준수해야 한다.
NIS2 지침이란?
NIS2 지침은 EU 회원국 전체에 공통된 수준의 사이버 보안을 제공하는 것을 목표로 한다. NIS1을 기반으로 더 엄격한 보안 요구 사항을 설정하고 적용 범위를 확대했다.
NIS2는 다양한 부문에서 필수적이고 중요한 서비스 업체의 사이버 보안 복원력을 강화하는 데 중점을 두고 있다. 유럽 전역의 16만 개 이상의 조직과 EU 내에서 서비스를 제공하는 역외 기업에도 영향을 미칠 것으로 예상된다.
NIS2 지침은 2023년 1월에 처음 공표됐으며, EU 회원국은 지난 18일까지 이를 국내법으로 전환해야 했다.
NIS가 업데이트된 이유는?
NIS2는 이전 지침의 단점을 개선하기 위해 도입됐다. 구체적으로는 사이버 복원력 규정을 강화하고 개정된 규정을 더 많은 부문으로 확대한다는 내용이다.
래피드7(Rapid7)의 글로벌 정부 관계 및 공공 정책 담당 부사장인 사빈 말릭은 “팬데믹 기간 동안 급속한 디지털화, 부문 간 상호 연결성 증가, 그리고 이에 따른 사이버 위험 증가로 인해 NIS1 시행의 한계가 드러났기 때문에 NIS2가 도입됐다”라고 설명했다.
NIS2 처벌 및 공개 규정
NIS2는 규정 위반 시 최대 1,000만 유로(약 1,086만 달러) 또는 전 세계 연간 매출의 2%에 달하는 벌금을 부과하는 엄격한 시행 조치를 도입한다.
또한 공개 규정도 강화됐기 때문에 기업은 위반 사항을 신속하게 보고해야 한다. 예를 들어 중대한 사고는 24시간 이내에 보고해야 하며 72시간 이내에 상세 내용을 제출해야 한다.
NIS2 비용 계산
지난해 프론티어 이코노믹스는 NIS2 시행에 따른 EU 기업의 총비용이 연간 312억 유로(약 339억 달러)로 예측하면서, 지침의 영향을 받는 부문 총매출액의 0.31% 수준이라고 밝혔다. 이 비용에는 사이버 보안 전문가와 지원 인재 고용, 하드웨어 및 소프트웨어 구매 및 설치, 새로운 사이버 보안 프로세스 유지 등의 비용이 포함된다.
영국 법무법인 플래드게이트의 파트너이자 기술 변호사인 팀 라이트는 “NIS2가 CISO들의 예산에 타격을 주고 있다”라고 전했다. CISO는 규정 준수를 위해 상당한 노력과 비용을 투자할 가능성이 높다. 일부 전문가는 조직이 사이버 보안 지출을 최대 22%까지 늘려야 할 수 있다고 언급했다.
라이트는 “NIS2 관련 비용이 EU 전역에서 연간 100억 유로(109억 달러)에 육박할 수 있다. 그러나 ISO 27001 인증을 받은 기업들은 NIS2 요구사항의 약 70%를 이미 충족하고 있어 유리한 출발점에 있다”라고 설명했다.
한편 알카텔-루슨트 엔터프라이즈의 최고기술보안책임자인 뱅상 롬바는 “많은 기업이 엔드포인트 탐지 및 대응(EDR)과 웹 애플리케이션 방화벽(WAF) 등 새로운 기술에 투자해야 할 것이다. 또한 잠재적 보안 위협을 더 잘 탐지하고 사이버 위기를 관리하기 위해 보안운영센터(SOC) 운영 관련 교육이나 신규 채용에도 투자해야 할 것”이라고 말했다.
롬바는 “그러나 기업의 실제 비용은 대부분 새로운 기술이 아니라 직원들의 사고방식과 기업 문화를 바꾸는 데 필요한 투자일 것”이라고 덧붙였다.
기업의 준비 수준
ISO 27001을 준수하는 조직들은 NIS2 준수에 유리한 위치에 있다고 평가된다. 하지만 프랑스 국가 사이버 보안 기관(ANSSI)은 전체 조직의 단 10%만이 적절한 사이버 보안 프로세스를 갖추고 있다고 추정했다.
NIS2 기한 준수와 관련된 문제는 프랑스 기업에만 국한된 문제가 아니다. 백업 솔루션 업체 비임(Veeam)이 영국과 유럽의 IT 보안 의사결정권자를 대상으로 실시한 최근 설문조사에 따르면, 기업의 약 80%가 결국 NIS2 지침을 준수할 수 있다고 확신했지만 3분의 2(66%)는 이번 마감일을 지키지 못할 것을 우려했다.
해당 설문조사에서 NIS2 규정 준수의 걸림돌로는 기술 부채(24%), 경영진의 이해 부족(23%), 예산/투자 부족(21%) 등이 꼽혔다.
표준에 부합한 내용
NIS2 지침은 리스크 기반 보안 조치, 사고 보고, 공급망 보안 등을 요구하며, 이는 GDPR 및 ISO 표준과 같은 다른 프레임워크에도 부합한다. IT 거버넌스 유럽의 GRC 컨설팅 유럽 책임자인 앤드류 패티슨은 “이미 ISO 27001이나 ISO 22301과 같은 인증을 보유하고 있다면, 추가 요구사항은 미미하거나 없을 것”이라고 진단했다.
사이버 리스크 관리, 공급망 보안, 비즈니스 연속성 등 NIS2가 요구하는 조치는 조직의 회복탄력성을 강화하는 데 유용한 관행이다. 업계 전문가들은 NIS2를 준수하는 데 필요한 노력과 비용이 더 광범위한 사이버 보안 목표와 연결되기 때문에 정당성이 있다고 언급했다.
트렌드마이크로의 영국 및 아일랜드 기술 이사인 바라트 미스트리는 “NIS2 준수는 법률, 기술, 관리 노력 등 다분야 접근이 필요한 중요한 과제다. 이에 대한 투자는 보안 태세 강화, 사이버 사고 위험 감소, 법적 의무 준수를 통해 벌금과 평판 손상을 방지할 수 있다는 점에서 정당화될 수 있다”라고 설명했다.
체크포인트 소프트웨어의 영국 및 아일랜드 채널 이사인 마틴 러더포드는 “NIS2 준수를 향한 여정은 더 넓은 사이버 보안 목표와 직접적으로 일치될 수 있다. 지속적인 개선 문화를 조성하는 일이기 때문이다. 이는 조직이 더 강력한 보안 태세를 채택하고, 복원력을 향상시키며, 위협 탐지 및 대응 능력을 개선하도록 강제해 전반적인 보안 프레임워크 강화에 기여한다”라고 조언했다.
NIS2의 세계적 영향
GDPR이 전 세계 개인정보 보호 관행에 영향을 미친 것처럼, NIS2도 EU를 넘어 사이버 복원력에 대한 표준과 모범 사례에 영향을 미칠 것으로 예상되고 있다. 다만 데이터 프라이버시를 중심으로 한 GDPR의 막대한 영향력과 달리, NIS2의 영향력은 이미 규제가 엄격한 중요 부문에 집중될 가능성이 높다.
플래드게이트의 라이트는 “NIS2가 글로벌 사이버 보안 관행에 큰 영향을 미칠 수 있지만 GDPR만큼 보편적이지는 않을 것”이라고 전망했다. 그는 “NIS2는 EU 지침으로 각 회원국이 자국법으로 전환해야 하는 반면, GDPR은 직접적인 효력을 갖는 규정이기 때문”이라고 말했다.
그는 또한 “NIS2가 주로 중요 부문을 대상으로 하는 반면 GDPR은 개인 데이터 처리에 더 광범위하게 적용된다. GDPR의 벌금과 역외 적용 범위는 전 세계에 더 즉각적인 영향을 미쳤다”라고 설명했다.
KPMG UK의 사이버 책임자인 델 헤펜스톨은 “사이버 보안 위험 관리와 관련된 보고 의무와 요구 사항이 GDPR보다 더 까다롭기 때문에 준비 상태가 핵심이 될 것이다. 사이버 보안 위험 평가는 기준선을 설정하고 주요 위험을 식별하는 데 필수적이다”라고 진단했다.
NIS2 지침은 특히 에너지 및 의료와 같은 중요 부문에서 사이버 보안 모범 사례의 사실상 표준이 될 수 있다. 미국에서는 2025년 10월 시행 예정인 CISA의 중요 인프라 사이버 사고 보고법(CIRCIA)이 NIS2의 많은 요구사항을 반영할 것으로 예상되고 있다.
기업은 NIS2를 EU의 디지털 운영 복원력법(DORA), GDPR, EU AI 법과 같은 다른 국가, 지역, 국제 규정과 함께 고려해야 할 수 있다.
헤펜스톨은 “단편적인 접근 방식 대신 ‘한 번 테스트하고 여러 규정을 준수하는’ 방법이 훨씬 더 효율적이고 비용을 절감할 수 있다. 통합된 제어 프레임워크를 갖추면 조직은 단일 테스트로 다양한 규제 프레임워크에 걸쳐 규정 준수를 보장할 수 있다”라고 조언했다.
[email protected]
Read More from This Article: EU, NIS2 사이버 보안 지침 발효··· 전문가들 “다분야 접근 필요한 과제”
Source: News