사이버 위협 대응·복원력 강화할 수 있는 포괄적인 대안 시급
[데이터넷] 전 세계적으로 주요 인프라를 대상으로 한 사이버 공격이 증가하고 있다. 최근 발생한 대표적인 사이버 공격 피해로는 2021년 미국을 떠들썩하게 했던 콜로니얼 파이프라인 랜섬웨어 공격으로, 일시적인 파이프라인 폐쇄를 일으켰고 이에 따라 미국의 여러 주에서 휘발유 부족 문제가 발생했다.
지난해 9월 노드 스트림 폭파사고로 PNG 교역 인프라가 크게 손상되기도 했다. 이제 사이버 보안은 단순히 기술적인 문제를 넘어 경제, 안보에도 직접적인 영향을 미치는 핵심 이슈로 떠오르고 있다.
주요 인프라 규제 의무 확장·강화한 EU NIS2
점점 더 정교해지는 사이버 공격으로 인해 주요 인프라에 대한 사이버 보안 관심도가 높아졌다. 이에 유럽연합(EU)은 1월 16일 기존 사이버보안 정책을 확대 개정한 네트워크·정보보안 지침2(NIS2)를 발효하며 적극적인 대응에 나섰다.
기존 NIS 지침은 7개의 핵심 분야를 다룬 반면, NIS2의 새로운 규정은 데이터센터에서 DNS 공급자, 의료 기기, 기술 및 서비스 공급자에 이르는 디지털 인프라 공급자를 포함해 거의 모든 산업에 광범위하게 적용된다. 의료 산업에는 실험실에서 연구 센터, 병원에 이르는 모든 분야가 포함된다.
사이버 보안 프레임워크, 새로운 산업 규정·표준 이해
디지털 혁신의 발전으로 인해 새로운 공격 벡터가 등장하고, 사이버 범죄자들의 공격은 더욱 대담해짐에 따라 주요 인프라에 대한 사이버 위협은 더욱 커지고 있다. 때문에 주요 인프라 조직은 사이버 보안 상태를 자세히 살펴보아야 한다.
그러나 많은 조직이 사이버 보안 태세를 강화해야 한다는 것을 이해하고 있지만, 사이버 물리 시스템(CPS)을 보호하기 위해 설계된 새로운 산업 규정과 표준을 이해하는 데는 여전히 어려움을 겪고 있다. 이를 해결하기 위해서는 사이버 보안 프레임워크가 도움이 될 수 있다.
일반적으로 사이버 보안 프레임워크는 조직이 사이버 보안 태세를 강화하기 위해 활용할 수 있는 일련의 가이드라인, 모범 사례, 표준의 구조화된 집합을 의미한다. 사이버 보안 프레임워크의 목표는 사이버 공격으로부터 조직을 방어하기 위한 체계적인 접근 방식을 확립하는 것이다.
이는 사이버 보안에 대한 위협을 식별, 보호, 감지, 대응, 복구하기 위한 포괄적인 접근 방식을 제공함으로써 이루어진다. 사이버 보안 프레임워크를 준수함으로써 조직은 고유한 요구 사항에 대한 유연하고 확장 가능한 로드맵을 만들고, 진화하는 위협 환경에 신속하게 적응하고 대응할 수 있다.
조직은 사이버 보안 프레임워크를 활용해 이미 확립된 업계 모범사례와 조직의 정책을 일치시킬 수 있다. 이를 통해 조직은 산업 규정과 표준에 명시된 이해하기 어려운 요구 사항을 준수할 수 있다. 또한 조직이 사이버 보안 위험을 식별, 평가, 완화하도록 안내할 수 있으며 지속적인 개선과 모니터링을 진행해 사전 예방에 대한 필요성을 강조하는 업계 규정과 표준의 기대치를 충족시킬 수 있다.
무방비한 대처, 큰 피해 입을 수 있어
규제 통제의 증가가 산업 통제 보안에 변화를 가져올 수 있을지는 지켜봐야 할 일이다. 그러나 지정학적인 긴장이 전 세계적으로 퍼지고 이러한 시스템의 연결성이 증가함에 따라 앞으로 보안과 복원력을 보장하기 위한 조치는 기업들의 필수 과제로 여겨질 것으로 보인다.
NIS2의 새로운 규정에 따르면 EU 회원국을 비롯해 EU 지역에서 활동하는 해외 기업은 모두 내년 10월 17일까지 NIS2를 따라야 한다. 또한 2025년 4월 17일까지 ‘필수’, ‘중요’ 범위를 식별, 등록하고 실행해야 한다. 위험관리와 통지 의무 위반 시 필수 조직은 1000만 유로 혹은 직전 회계연도의 전 세계 총 매출액 2% 중 더 높은 금액을 부과한다. 중요 조직은 700만유로 혹은 1.4% 중 더 높은 금액을 부과한다.
수익률이 높지 않은 제조 기업에 있어서 매출을 기반으로 한 NIS2의 벌금은 굉장한 부담일 수밖에 없다. NIS2 지침에 대한 정확한 분석 없이 무방비하게 대처할 경우 기업들은 큰 피해를 입을 우려가 있다. EU의 NIS2 지침을 준수하고 안정적인 보안환경을 갖추기까지 필요한 시간은 이제 약 1년 정도의 시간 밖에 남지 않았다. 빠른 기간 내에 제조 환경의 취약점 등 위험을 분석하고, 대응할 뿐 아니라 전체 과정을 정리할 수 있는 보안 프로세스를 구축해야 할 것이다.
