[아이뉴스24 김혜경 기자] 2016년 유럽연합(EU)은 '네트워크‧정보보안 지침(NIS Directive)'을 시행하면서 국가 기간산업의 사이버 복원력을 높이는 등 사이버 보안 법체계를 강화해왔다. 최근에는 디지털 전환과 사이버 위협 등 변화하는 환경에 대응하기 위해 새로운 NIS 지침을 준비하고 있다.
개정안은 올해 3분기 가닥이 잡힐 것으로 예상된다. 관리·감독해야 할 사회 기반시설을 확대하고, 이를 세분화해 제재 수준을 구분했다는 점이 골자다.
![2016년 유럽연합(EU)은 '네트워크‧정보보안 지침(NIS Directive)'을 시행하면서 국가 기간산업의 사이버 복원력을 높이는 등 사이버 보안 법체계를 강화해왔다. [사진=픽사베이]](https://image.inews24.com/v1/966a7b200ca9c5.jpg)
◆ EU 'NIS 지침'이란?
EU는 2013년 처음으로 사이버보안 전략을 마련한 후 2016년 NIS 지침과 사이버보안법을 제정했다. NIS 지침은 사이버 공격에 대응해 기간산업의 방어 능력을 강화하기 위한 취지다. 사이버보안법의 경우 사이버보안 전담 조직을 정비하고 인증제도를 도입하는 내용이 핵심이다.
NIS 지침은 2016년 8월 발효됐으며, 각 회원국은 2018년 5월 9일까지 NIS 지침을 국내 상황에 맞춰 자국법에 적용해야 했다. 김동진 넥스텔리전스 부사장은 지난달 31일 열린 '데이터보안법제의 최근 이슈와 과제' 세미나에서 "당시 벨기에와 네덜란드, 폴란드 등 다수의 회원국이 국내법 적용 시점을 맞추지 못해 집행위로부터 독촉을 받은 적 있다"고 전했다.
EU 행정부 격인 집행위원회는 NIS 지침 제5조 '필수서비스 운영자 식별'과 제23조 '검토'에 의거, 정기적으로 해당 지침을 검토한 후 EU 의회와 이사회에 보고해야 한다. NIS 지침에 따라 회원국은 ▲국가 역량 강화 ▲국경 간 협업 ▲주요기반 시설 감독을 수행해야 할 의무가 있다.
주요기반시설은 '필수서비스 운영자(OES)'와 '디지털서비스 제공자(DSP)'로 나뉜다. 필수서비스 운영자는 ▲에너지 ▲운송 ▲은행 ▲금융시장 인프라 ▲의료 ▲물 공급‧유통 ▲디지털인프라서비스 운영자 등 7개 부문이다. 디지털서비스 제공자의 경우 ▲온라인 마켓플레이스 ▲검색엔진 ▲클라우드 컴퓨팅 서비스로 구분하고 있다.
김 부사장은 "당초 디지털서비스도 필수서비스와 동일한 수준으로 규제 지침을 확정하려고 했지만 사업자들이 사이버 공격 피해가 필수서비스 수준으로 심각하지는 않고 혁신을 저해한다는 이유로 반대했다"며 "이 같은 입장을 부분적으로 수용해 디지털서비스 제공자의 경우 필수서비스 대비 상대적으로 느슨한 수준의 규제를 적용받았다"고 설명했다.
NIS 지침은 각 부문의 통지의무에 차등적 규제를 적용한다. OES는 '상당한(significant)' 수준의 영향을 일으키는 모든 종류의 사고 발생 시 당국에 통지해야 한다. 반면 디지털서비스는 '심각한(substantial)' 영향을 일으키는 사고에 대해서만 통지의무가 있다.
김 부사장은 "해당 지침은 회원국이 보편적으로 준수해야 할 방침이지만 국가별 사회‧경제적 여건에 따라 실제 적용 범위와 수준은 다르다"며 "예를 들자면 회원국들은 필수서비스 운영자의 개념을 각각 다르게 적용하고 있다"고 말했다.
영국은 에너지‧디지털 인프라‧의료‧운송을 필수서비스 운영자로 규정하되, 금융 서비스와 식수 등은 제외했다. 독일의 경우 에너지‧정보기술(IT)‧통신‧수자원‧식품‧교통‧의료‧금융‧보험 서비스를 50만명 이상에게 제공하는 사업자를 필수서비스 운영자로 규정하고 있다. 과징금 징수 규모도 회원국마다 다르다.
◆ EU, 'NIS 2.0' 개정 추진…"의회·이사회 잠정 합의"
EU 집행위는 2020년 12월 '향후 10년을 위한 사이버보안 전략'을 발표하면서 'NIS 2.0 지침'을 제안했다. 김 부사장은 "현재 법 개정이 추진되고 있는 가운데 EU 의회와 이사회는 해당 지침에 대해 잠정 합의를 한 상태"라면서 "3분기에는 가닥이 잡힐 것으로 보인다"고 말했다.
개정안은 EU 내부 시장의 디지털 전화과 사이버 위협 수준 변화를 감안, 기존 법률 프레임워크를 업데이트한 것이라고 김 부사장은 설명했다. 기존 지침 대비 ▲규율 적용 대상 구분 변경·확대 ▲사이버보안 위험관리 ▲공급망 위험관리 ▲관리 제재 ▲연계 네트워크 ▲취약점 관련 조직 등록부 제작 등이 달라질 것으로 예상된다.
특히 기존 지침에서는 규율 대상을 필수서비스 운영자와 디지털서비스 제공자로 구분했지만 개정안에서는 중요도에 따라 '필수(Essential)'와 '중요(Important)' 조직으로 재분류했다. 필수 조직은 사회적으로 중요한 산업 영역, 중요 조직은 사이버 공격 피해가 상대적으로 적은 곳이다.
김 부사장은 "개정안은 규제를 강화하는 방향"이라며 "원칙적으로 모든 중기업과 대기업을 적용 대상 조직으로 보고 있지만 보안 위험 요소가 큰 기업일 경우 소기업도 적용 대상에 포함된다"고 설명했다. 중기업 기준은 250명 이상·5억달러 이상의 연매출을 충족하는 기업이다.
개정안은 구체적인 제재 지침도 마련했다. ▲침해 사안의 특성·심각성·기간 ▲실제 발생한 피해잠재적 피해 ▲침해 행위의 고의성 여부 ▲피해 완화를 위해 취해진 조치 ▲책임의 정도와 기존 유사 침해 사건 발생 여부 ▲당국과의 협력 등을 고려해 제재 수위를 결정할 방침이다. 또 최소 1천만유로 혹은 전 세계 매출액의 2% 중 높은 금액을 부과한다는 가이드라인도 제시했다.
아울러 현행 지침에서는 회원국이 필수서비스 운영자를 정했지만 개정 지침에서는 '조직 규모에 관한 규칙'을 도입, 개정안이 정한 부문에 속하는 중대형 조직은 모두 개정 지침의 적용을 받도록 했다.
김 부사장은 "NIS 지침과 비교 가능한 국내 법률은 정보통신기반보호법"이라며 "적용 범위 등에서 차이가 있지만 필수 기반시설에 대한 전자적 침해를 보호한다는 목적에서 가장 유사하다"고 전했다.
이어 "논의 중인 개정 지침은 현행법이 현실을 제대로 규율하고 있는지 검토하고, 침해사고 발생 시 24시간 내 당국에 보고하도록 조치했다는 점에서 의의가 있다"며 "사고뿐만 아니라 사고가 예측되는 증거에 대해서도 보고하도록 예방조치를 강화했다는 점도 눈여겨봐야 한다"고 덧붙였다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기