| 내용 |
최근 워너크라이(WannaCry)와 낫페타야(NotPetya) 등과 같은 사이버공격에서 본 것과 같이 주요기반시설에 대한 공격은 산업 생산시설에 막대한 영향을 미쳐 전 세계 수십억 달러에 달하는 손실이 발생하고 있다. 더불어 트라이톤(TRITON)과 같이 사이버물리시스템(CPS, Cyber Physical Systems)에 대한 정교한 대규모 공격은 재양수준의 안전시설 파괴, 환경재해, 심지어 인명에 대한 피해를 야기한다. 주요 기반시설에 다량의 정교한 악성 사이버공격이 지속적으로 증가하자 유럽연합 의회는 NIS(Network and Information Security) 지침을 도입했다. 새로운 지침에서는 주요 기반부문의 기업들은 그들의 네트워크 및 정보시스템에 대한 위협을 관리하기 위해 세부적인 기술적, 조직적 조치를 취하도록 하고 있다. 유럽연합의 일반개인정보보호법(GDPR, General Data Protection Regulation)이 개인정보를 수집하는 조직에게 초점을 맞춘 정책이라면, NIS 지침은 주요기반시설 제공자의 복원력(resilience)을 강화하는데 중점을 두고 있다. 특히 NIS 지침은 에너지, 운송, 뱅킹 및 금융, 물, 건강 부문, 그리고 ISP, DNS 등 디지털 기반 서비스 제공자와 같이 주요 기반시설 부문에서 “필수적인 서비스(essential service)”를 제공하는 조직에 적용된다. 유럽연합 회원국들은 금년 5월 9일까지 동 지침을 자국의 법령에 반영해야 했고, 11월 9월까지 자국에서 필수적인 서비스 제공자를 식별해야 한다. 아직까지 기반서비스 제공자들에 대한 구체적인 움직임을 찾아볼 수 없지만, 금년 말에 새로운 법령의 영향을 가늠할 수 있을 것으로 보인다. GDPR과 마찬가지로 NIS 지침을 준수하지 않을 경우 상당한 과징금이 부과된다. 예를 들어 영국에서 지침을 준수하지 않을 경우 최고 1천7백만 파운드 혹은 전 세계 매출액의 4%에 이르는 과징금을 부과 받게 된다. 네덜란드의 법안에 따르면, 벌금은 최대 5백만 유로에 달할 수 있으며, 점차 유럽연합 회원국들이 모두 엄격한 과징금을 부과할 것으로 예상된다. NIS 지침은 모든 유럽연합 회원국에 적용되며, 각 회원국은 과징금 규모와 적용시기를 정할 예정이다. 아울러 유럽연합 회원국에서 영업을 하는 역외 기업들에게도 이 지침은 적용된다. 흥미롭게도 GDPR이 NIS 지침보다 훨씬 더 많은 주목을 받고 있는데, 이는 유럽연합 회원국의 소비자들이 자신의 온라인 프라이버시에 대해 더욱 관심을 쏟고 있기 때문이다. NIS 지침은 이메일이나 전화번호와 같은 개인정보를 보호하는 것보다 훨씬 더 사회의 기능을 유지하는데 중요하다고 할 수 있다. 왜냐하면 우리의 일상생활은 전기, 물, 운송 등과 같이 우리가 매일 이용하는 주요 기반서비스에 의존하고 있기 때문이다. 비록 이 지침이 유럽연합을 대상으로 하지만, 미국을 비롯한 다른 국가의 많은 기업들도 유럽연합 회원국을 대상으로 비즈니스 행위를 한다면 영향을 받을 수 있다. 아울러 이 지침은 주요 기반시설 보호를 위한 “최소 수준의 당연한 주의의무(minimum standards of due care)”를 규정하고 있는데, 그 의미는 주요 안전 혹은 환경 사고가 발생할 경우 해당 조직이 이를 막기 위해 최소한의 조치를 취하지 않을 경우 주의 태만으로 인한 금전적 배상책임을 명시하고 있다. NIS 지침은 또한 미국을 비롯한 여타 국가 관련 기업들이 자발적으로 준수하는 것을 고려해야할 여러 가지 요건들을 제시하고 있다. NIS 지침은 주요 필수 서비스 제공자들과 디지털 서비스 제공자들이 지켜야할 사항을 아래와 같이 제시하고 있다. o 자신이 보유하고 있는 자산에 대한 이해와 불명확한 디바이스 파악 o 성숙한 취약점 관리 프로그램 o 성숙한 위협탐지 시스템 o 72시간 내 사고 탐지 및 기록, 보고 등을 포함한 효과적인 사고보고 메커니즘 o 성숙한 사고 관리 o 대응 및 복구 계획 o 네트워크 및 정보시스템 보안에 대한 접근을 명시한 적정한 관리 정책 o 네트워크 및 정보 시스템에 대한 보안위협을 이해하고 이를 식별, 평가하기 위한 위험관리 프로세스 마련 및 준수 o 공급망에 대한 효과적인 위협탐지 및 대응 o 네트워크 및 정보시스템 보안을 효과적으로 수행하기 위한 종업원 인식 제고 및 교육 훈련 |
