2023. 7. 31. [파이낸셜뉴스]
2025년부터 EU 내 기업 사이버 보안 역량 의무 강화
NIS2 규정 준수 위해 거버넌스 책임 확대해야
유럽연합(EU)의 사이버 보안 지침인 NIS2(Network and Information Systems 2)의 세부 요구사항이 공개되는 2024년 10월까지 관련 기업들의 대응 마련이 시급한 것으로 나타났다.
지난해 12월 EU는 개정된 NIS2 지침을 공표했다. 새 NIS 규정에는 핵심 산업 인프라 공급망에 필수적인 기업 외에도 새로운 산업군들을 포함하는 등 범위를 넓혔다. 또한, 기존 NIS 지침은 7개의 핵심 분야를 다룬 반면, 새 지침에서는 안전 및 효율, 사회에 중요한 것으로 간주되는 부문까지 관점을 확장해 9개의 부문이 추가됐으며, 이에 해당하는 기업 대상 또한 확대됐다.
삼정KPMG는 7월 31일 발간한 보고서(EU NIS2 대응을 위한 IT와 OT보안 이해하기)를 통해 기업의 비즈니스가 디지털화됨에 따라 기업의 사이버 보안 역량을 강화하고 컴플라이언스를 충족시키도록 요구하고 있으며, NIS2가 적용되는 2025년부터는 EU 지역 내 기업의 사이버 보안과 인프라 보호에 대한 역량도 의무적으로 강화해야 한다고 강조했다.
보고서는 NIS2에 대한 기업의 대응 전략으로 △최고경영진의 인식 촉구 △표준 및 프레임워크 구현 △긴급개선 (Fix-it) 프로그램 수립과 실행 △거버넌스 책임 확대 등 4가지를 제시했다.
NIS2가 발효되기까지 준비 기한이 짧은 만큼 최고경영진의 관심 아래 새로운 사이버 보안 법률 의무를 준비해야 한다. 규정을 준수하지 못할 경우 C레벨이 법적 책임을 지게 되며, 기업에는 징벌적 과징금이 부과된다. 이에, 최고경영진은 NIS2가 가져오는 영향에 대해 IT 및 OT(Operational Technology·산업운영기술) 측면에서 자원과 조직을 갖추고 대응 전략을 고민해야 한다.
NIS2는 사이버 리스크 관리를 의무화해 기업의 회복력과 연속성을 보장하면서 사이버 보안 요구사항을 준수하는 것을 목표로 하고 있다. 따라서 조직 내 인프라 취약점을 식별하고 신속하게 해결하는 것이 중요하다. 그러나 NIS2에서 요구하는 사항이 아직은 모호하기 때문에 IEC 62443과 같은 OT 산업보안 관련 국제 표준을 따를 것을 권장했다.
현재 기업이 가지고 있는 심각한 보안 취약점을 파악하는 ‘Fix-it 프로그램’을 수립하고, 개선을 위한 활동인 보안 아키텍처 구현부터 조직개편 등을 지원해 조직에서 파악된 사이버 보안 문제점을 기한 내 즉시 경감시킬 것을 제안했다.
NIS2 새 규정에 따라 사이버 보안이 경영 이사회의 필수 안건이 될 것으로 기대되는 가운데 경영진은 사이버 보안 리스크를 식별하고 관리하는 데 필요한 지식과 기술을 갖출 것이 요구되고 있다. 경영진은 NIS2 영향에 대해 교육을 받아야 할 뿐만 아니라 직원들도 정기적으로 사이버 보안 교육을 받도록 권장해야 한다.또한, 실제로 사이버 공격이 발생한 경우 이사회는 조직 내 검증된 사이버 보안 프로그램이 있음을 입증할 수 있어야 해 관련 프로그램 구축도 반드시 필요하다.
삼정KPMG OT보안팀 리더 최민화 상무는 “NIS2는 EU 내 기업들에게 다양한 사이버 보안 규정을 요구하고 있어, 관련 기업들은 안전한 디지털 신기술 도입과 핵심 기밀 보호를 위한 산업표준수립 등의 보안 거버넌스 체계를 수립하고 이상 징후 사전탐지, 사고 모니터링, 사고 대응 시스템 구축을 통해 기업의 사업전략 방향과 디지털 혁신 속도에 맞춘 현실적인 대응책을 마련하는 것이 중요하다”고 강조했다.
한편, 삼정KPMG OT보안팀은 국내 최고의 산업 보안 경험과 전문 지식을 갖춘 인력으로 구성돼 있으며, 기업들이 NIS2 지침을 준수할 수 있도록 산업별 특화된 경험을 가진 전문가들이 기업 고객의 리스크를 선제적으로 인식하고 대응 방안을 수립할 수 있도록 산업 환경 맞춤형 OT보안 컨설팅 서비스를 제공하고 있다.