유럽연합(EU)이 사이버 보안 방어 체계와 협력 메커니즘 강화를 위해 두 가지 새로운 법안을 제정했다. 사이버 연대법(Cyber Solidarity Act)과 기존 사이버 보안법(CSA) 개정을 골자로 한 이번 법안은 포괄적인 사이버 보안 입법의 일환으로 마련되었다.
EU 이사회는 이번 조치가 사이버 위협 탐지, 대비, 대응 능력을 향상시키고 관리 보안 서비스의 통일성을 높이는 것을 목표로 한다고 전했다. EU 이사회는 “빠르게 변화하는 위협 환경에서 중요한 인프라에 심각한 혼란이나 피해를 줄 수 있는 대규모 사이버 보안 사고에 대비하기 위해 EU 사이버 보안 체계의 준비 태세를 강화할 필요가 있다”라고 설명했다.
이 법안은 EU 당국 문서에 공표된 후 20일이 지나면 발효된다.
포레스터의 수석 애널리스트인 마들렌 반 더 하우트는 “이 법안은 협력 강화, 위협 정보 공유, 전반적인 사이버 보안 복원력 강화를 통해 EU의 국경 간 위협 탐지 및 대응 역량을 높일 수 있다”라며 “성공 여부는 회원국이 얼마나 효과적으로 이행하고 지속적으로 노력하느냐에 달려 있다”라고 밝혔다.
위협 탐지 및 준비 태세 강화
사이버 연대법은 EU 전역에 걸친 국가 및 초국경 사이버 허브 네트워크를 구축하는 새로운 사이버 보안 경보 시스템을 도입하는 것을 목표로 하고 있다. 이러한 허브는 AI와 데이터 분석 등 첨단 기술을 활용해 사이버 위협을 모니터링하고 대응한다. 이번 협력 체계는 국경을 넘어 경고와 실행 가능한 정보를 공유하여 사이버 사고에 대한 통합적 대응을 보장하도록 설계됐다.
EU 이사회는 보도자료를 통해 “이 사이버 허브가 최첨단 기술을 활용해 국경을 넘어 사이버 위협에 대한 경고를 신속히 탐지하고 공유할 것”이라고 밝혔다.
업계 전문가는 이번 법안이 긍정적인 진전이라고 평가하면서도 EU가 지역 협력에만 머물러선 안 된다고 지적했다.
리서치 기업 테카크(Techarc)의 설립자이자 수석 애널리스트인 파이살 카우사는 “사이버 보안은 본질적으로 초국경적 문제이며, 효과적인 해결을 위해서는 협력이 필수적”이라며 “연대법은 EU 내 정보 공유와 학습을 촉진하는 긍정적인 발걸음이지만, 위협은 종종 EU 외부에서 기인하기 때문에 전 세계적인 광범위한 협력도 필요하다”라고 분석했다.
새 법안은 의료, 에너지, 교통 등 주요 산업의 취약점 해결을 위한 긴급 대응 체계도 담고 있다. 여기에는 잠재적 위험을 점검하는 스트레스 테스트와 공통 위험 시나리오, 표준 대응 방안 개발 등이 포함된다.
사고 대응 간소화
이번 법안의 핵심은 민간 부문 대응팀으로 구성된 사이버 보안 예비군 창설이다. 사이버 보안 예비군은 중대한 사이버 사고 발생 시 회원국과 EU 기관을 지원하기 위해 대기하게 된다. 이를 위해 회원국들이 서로 협력할 수 있도록 기술 지원 체계도 함께 마련된다.
또한, 사고 검토 메커니즘을 통해 이러한 긴급 대응의 효율성을 평가해 EU 사이버 보안 전략을 지속적으로 개선할 계획이다. EU는 이 과정에서 준비 태세의 격차를 식별하고 대응 노력을 정교화할 수 있다.
실질적인 장애물 해결
사이버 연대법의 핵심 요소인 통합 보안 운영 센터(SOC)와 정보 공유 메커니즘은 중요한 역할을 하지만, 실행 과정에서 여러 과제에 직면할 수 있다.
테카크의 카우사는 두 가지 주요 과제를 제기했다. 첫째, 하이브리드 시스템의 성패는 회원국들이 얼마나 폭넓게 정보를 공유하느냐에 달려있는데, 이는 각국의 데이터 보호법과 보안 규정을 준수하면서 이뤄져야 한다. 포괄적인 규정이 마련돼 있어도 국가마다 세부 기준에서 차이를 보인다. 둘째, 통합 보안운영센터(SOC) 설립 시 그 역할과 권한, 책임 범위를 명확히 해야 하며, 각 지역의 법 집행기관들과 원활히 협력하는 것도 큰 과제다.
포레스터의 마들렌은 사이버 연대법이 유럽의 사이버 보안 강화를 위한 청사진을 제시했지만, 현실적으로 해결해야 할 과제들이 있다고 지적했다. 마들렌은 “가장 큰 문제는 회원국 간 협력을 조율하는 복잡성이다. 각 나라마다 법체계와 운영방식이 달라 이를 통합하고 조정하는 과정에서 실질적인 어려움이 예상된다”라며 “대표적으로 데이터 현지화법은 모든 데이터를 해당 국가 안에서만 보관하도록 규정하고 있어, 여러 국가에서 사업을 하는 기업들에게 큰 부담이 된다. 더구나 이런 규정들이 계속 변화하고 있어 기업들은 새로운 기준에 맞춰 업무 방식을 끊임없이 조정해야 하는 상황이다”라고 강조했다.
마들렌은 “두 번째 과제는 자금 문제다. 계속 진화하는 사이버 위협에 대응하려면 지속적인 예산과 자원 투자가 필수적이다”라며 “사이버 보안을 지원하는 기술 인프라는 국가마다 상당한 차이를 보이고 있다. 일부 지역에서는 구현에 필요한 자원이나 전문 지식이 부족할 수 있다”고 지적했다.
마들렌은 “보안 위험을 또 다른 핵심 과제”라며 “국가 간 데이터 이동이 많아질수록 사이버 공격에 취약해질 수 있다. 특히 보안이 상대적으로 취약한 국가를 거치는 과정에서 데이터 유출이나 악용 위험이 커질 수 있다”라고 분석했다.
이러한 과제들은 각국의 규정과 운영 효율성을 지키면서도 국제적인 사이버 보안 협력을 이뤄내야 하는 상황의 어려움을 보여준다.
관리형 보안 서비스의 표준화
2019년에 공개된 사이버 보안법도 이번에 개선됐다. EU는 관리형 보안 서비스의 중요성이 높아짐에 따라 사이버 보안법 개정을 추진했다. 새 법안에는 사고 대응, 모의 해킹, 보안 감사, 기술 자문 등 전문 보안 서비스에 대한 유럽 공통의 인증 체계가 도입된다.
이러한 움직임은 현재 사이버 보안 환경의 중요한 격차를 해소한다. 표준화된 인증 프로세스를 구축함으로써 EU는 신뢰를 증진하고 서비스 품질을 높이며 시장 분열을 방지할 수 있다. 일부 회원국은 이미 국가 인증 체계를 개발하기 시작했으며, 이 법안은 통합적이고 포괄적인 체계를 제공한다.
이러한 인증은 기업이 서비스 제공업체를 보다 효과적으로 평가하여 중요한 사이버 보안 기능의 아웃소싱에 대한 신뢰를 높이는 데 도움이 될 것으로 기대된다.
카우사는 “새로운 보안법은 아태지역 전체에 통일되고 표준화된 체계를 만들 것”이라며 “이 통합 체계로 기업들은 각 회원국마다 다른 규정을 일일이 확인할 필요 없이 단일 기준으로 규정을 준수할 수 있게 된다”라고 분석했다.
마들렌은 “표준은 소비자와 기업 간의 신뢰를 구축하는 데도 도움을 준다”라며 “사이버 보안 표준의 조화는 더 우수하고 안전한 솔루션을 제공하는 데 중요하다. 또한 투자자들은 잘 정의된 규정 내에서 운영되는 기업을 지원하려는 경향이 있기 때문에 투자를 유치할 수 있다”고 설명했다.
이번 법 개정은 2023년 4월 18일 유럽위원회의 제안으로 시작됐다. 이후 광범위한 협의를 거쳐 내용이 보완됐으며, 지난 3월 6일 공동 입법자들의 잠정 합의로 EU의 디지털 정책이 한 단계 발전하게 됐다. 두 법안은 앞으로 몇 주 안에 EU의 공식 문서 형태로 게재될 예정이다.
[email protected]
Read More from This Article: EU, ‘사이버 연대법’ 제정··· 국경 넘어선 보안 협력 강화
Source: News