Home > 전체기사
사물인터넷의 GDPR? 유럽연합, 새 사이버 보안법 준비 중
  |  입력 : 2018-07-17 16:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유럽연합 산업 위원회, 새로운 사이버 보안법 압도적 찬성으로 통과시켜
ENISA에 더 높은 권한주고, 인터넷에 연결된 기기나 서비스에 인증 제도 적용


[보안뉴스 문가용 기자] 유럽연합이 사이버 보안과 관련된 법안을 여러 가지로 통과시키려고 애쓰는 중이다. 그런데 이런 일들이 표면상은 유럽 국가와 시민들만을 위한 일인 것처럼 보이는데, 그 영향력은 전 세계적이다. GDPR이 그랬고, PSD2(Payment Services Directive 2)가 그랬다. 그래서 캘리포니아에도 GDPR과 비슷한 법안이 통과되기에 이르렀고, 그러한 사례가 앞으로 더 생길 것이라고 예상되고 있다.

[이미지 = iclickart]


게다가 더 많은 것들이 예약되어 있기도 하다. 사이버 보안법(Cybersecurity Act)이 그 중 하나다. 7월 10일 이 법안은 법문화에 있어 가장 큰 장애물 중 하나인 유럽연합의회의 산업위원회를 55:5로 통과했다. 이 사이버 보안법의 골자는 유럽연합의 네트워크 및 정보보안 기구인 ENISA에 더 많은 권한과 예산, 책임을 부여하자는 것이었다. 또한 ICT 프로세스, 제품, 서비스의 사이버 보안 수준을 어느 정도 높이기 위한 유럽 사이버 보안 인증서 제도에 관한 내용도 포함되어 있었다.

외신에 의하면 산업위원회는 이 법안을 압도적인 찬성으로 통과시킨 것만이 아니라 주요 사회 기반 시설 시스템 및 산업 기관의 경우 사이버 보안 인증서 취득을 필수 항목으로 만드는 내용을 추가하려고 움직이고 있다고 한다. 원 법안에서 인증서는 자발적 참여 유도를 원칙으로 하고 있었다. 물론 결과가 어떻게 나올지 지금은 알 수 없지만 유럽연합의 여러 기관들이 사이버 보안 문제를 매우 심각하게 생각하고 있다는 사실은 알 수 있다.

유럽연합이 생각하고 있는 인증서 적용 범위는 매우 넓은데, 간단히 말하면 기존 컴퓨터 관련 장비는 물론 모든 커넥티드 장비들에 인증서 규정을 적용하고 싶어 한다. 즉, 사물인터넷들도 보안 인증서를 받도록 제도를 바꾸고 싶어하는 것이다. 그리고 이러한 제도 변화의 중심적인 역할을 ENISA에게 부여하는 것이 사이버 보안법의 목적이라고 할 수 있다.

이러한 사이버 보안법에 대한 반응들은 GDPR 때와 마찬가지로 제각각이다. 특히 비유럽권 기업인데 유럽 시장에서 활동하고 있다면 여기에 촉각을 곤두세울 수밖에 없다. 이미 세계 곳곳에 나름대로의 독특한 보안 인증 제도가 있으니, 유럽연합이 사이버 보안법을 마련한다고 해도 그저 한 가지 귀찮은 일이 더 생기는 것뿐이라고 보는 사람도 있고, 불필요한 절차를 마련 중이라고 주장하는 사람도 있다. 보안 업체 하이테크브리지(High-Tech Bridge)의 CEO 일리야 콜로첸코(Ilia Kolochenko)는 후자다. “현재까지 공개된 정보만 보면 지금의 인증 제도와 별다른 차별성을 못 느끼겠습니다.”

그러면서 그는 “지역에 특화된 규정이 강하면 강할수록 전 세계적인 조화에는 장애가 된다”며 “현재 관세 전쟁과 무역 전쟁 때문에 전 세계가 긴장하고 있는 때에 이러한 법이 새로 생긴다는 건 오히려 좋지 않은 소식”이라고 주장한다. “괜히 일만 더 복잡해지고 정국만 불안해질 겁니다. 이미 러시아와 중국이 자기들만의 독립적인 규정을 들이대고 있어 많은 기술 기업들은 충분히 힘든 상황입니다.”

지난 해 8월에도 사물인터넷사이버보안연합(IOT Cybersecurity Coalition)은 유럽연합 위원회에 공식 서한을 보냈다. 현존하는 사이버 보안 표준과 실천 사항들을 더 활용하고 적극 적용하라는 내용이었다. 더 뭔가를 새롭게 만들어 기업들 간 경제 활동에 마찰만 더 빚을 필요가 없다는 지적으로, “더 많은 규제는 혁신을 막아선다”는 걸 기억해야만 한다고 주장했다. 콜로첸코 역시 “사이버 공격자들의 혁신 속도를 생각했을 때, 우리 스스로 혁신의 저해 요소를 만들어서 무엇하겠느냐”고 동의한다. “종이로 하는 보안 때문에 실제 보안이 망가집니다.”

올해 2월, EU 주재 미국상공회의소(AmCham EU)는 사이버 보안법에 대한 비판을 발표하기도 했다. ENISA에 많은 사이버 보안 관련 권한을 부여한다는 것에는 찬성하지만, 다른 산업과의 협력 및 공생 문제도 고려해야 한다는 점을 지적하고 나선 것이다. 그러면서 유럽연합의 규제 기관이 산업과의 공생 관계를 보다 투명하고 포용하는 태도로 추구해야 할 것이라고 촉구했다. 또한 프레임워크의 기본은 ‘자발적 참여’여야 한다고도 주장했다.

또한 법적 및 윤리적으로 상충되는 문제점도 콜로첸코는 지적한다. “예를 들어 소비자가 상품을 샀을 때, 해당 상품이 설명서와 다른 기능을 발휘할 때, 제조사는 법적인 근거 아래 벌을 받을 수 있습니다. 그런데 권한이 더 많이 부여된 ENISA가 어떤 제품이나 서비스에 인증서를 제공했는데, 그 제품과 서비스를 통해 보안 사고가 났다면 어떻게 될까요? ENISA가 책임을 져야 하나요, 제조사가 벌금을 내야 할까요? 이런 부분에 대한 논의가 더 이뤄져야 합니다.”

그렇다고 이번 사이버 보안법에 대한 지지 세력이 전혀 없는 건 아니다. 보안 업체 트러스트웨이브(Trustwave)의 보안 책임자 중 한 사람인 에드 윌리엄즈(Ed Williams)는 “이런 방향의 규제가 더 생긴다는 것에 찬성한다”는 입장이다. “현재 커넥티드 장비들의 개발 속도와, 사이버 공격 지형도, 법적인 장치의 부재를 생각했을 때, 지금 것으로도 충분하다는 소리는 말도 되지 않습니다. 유럽연합은 올바른 방향을 택한 것이라고 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)