EU(유럽연합)의 사이버보안 법제도 동향은?
원래 EU에는 각 나라별로 다양한 보안인증 제도가 있었다. 그런데 유럽연합은 유럽시장의 분열과 장벽에 대한 위험을 막기위해 EU 공통의 사이버보안 인증 프레임워크가 필요하다고 판단되었고 이로인해 EU 사이버보안법이 제정되게 되었다. EU 전체의 사이버보안 인증 체제를 마련해서 IoT(사물인터넷) 등과 같은 인터넷 연결 ICT(정보통신기술)제품 및 서비스의 사이버보안을 활성화하는 것이 목적으로 하고있다. EU 사이버보안법은 사이버보안 진흥뿐만 아니라 그 외의 두가지 목표는 아래와 같다.
유럽의 보안전문 기관인 ENISA의 지위를 영구기관화 하는 것
IT제품, 서비스 및 처리에 대한 유럽연합 전역의 인증 프레임워크를 구축하는 것
2019년 6월27일 새로운 정보통신기술규정인 사이버보안법(Cybersecurity Act)이 시행되었고 동시에 유럽연합 전체에 적용되는 사이버보안 제품이나 서비스에 대한 보안인증 제도도 함께 시행되었다. EU의 사이버보안 인증 프레임워크는 한시적으로 운영해 온 임시기관이었던 EU 사이버 보안 전담기관 ENISA(European Network and Information Systems Agency, 유럽네트워크정보보안청)을 인증프레임워크 전담기관으로 격상하고 이름을 European Union Agency for cybersecurity로 변경하고 역할을 강화하였다.
유럽연합 의회의 입장은 이 인증 제도가 유럽연합에서 관련 제품, 서비스를 판매하는 기업들이 경쟁우위를 가지고 활동할 수 있다고 밝혔다. 2020년 6월 28일부터 구체적인 인증 제도 프로그램이 시작되고 그 뒤로 ENISA가 인증제도 초안 준비, 관련자들과 표준그룹, 산업들과 모의, 유럽연합 의회의 인증제도 채택의 순서로 과제가 남아 있다.
EU 사이버보안 인증 제도가 더욱 관심을 받는 이유는 앞으로 GDPR과 더불어 준수해야하는 인증으로 확대될 전망이기 때문이다. 아직 EU 사이버보안 인증을 받는 것은 판매자의 자유이지만, 2023년 이후에는 전력, 수도, 운송, 의료, 에너지 등 주요 인프라 산업과 소비자의 생명, 신체, 건강 등과 같은 안전과 밀접하게 연결되기 때문에 사실상 의무화가 될 것이라고 전문가들은 말하고 있다.
GDPR도 의회통과부터 시행까지 많은 관심을 받고 전 세계가 관련 연구부터 대응 방안을 마련하며 새로운 규제를 받아드렸다. GDPR의 사례와 같이 EU 사이버보안 인증 획득에 관한 요구는 전 세계적으로 확대되고 강화될 것으로 전망됨에 따라서 국내 사이버보안 관련 인증 제도 수립 시에도 반드시 고려해야하는 사항으로 손꼽을 수 있다.
사용자인증 솔루션으로 시작한 아이루키도 IoT 환경에 적용하는 연구가 진행되는 만큼 IoT보안과 관련한 법과 제도 분석에 상당한 비중을 두어 진행 중이다. 코리아엑스퍼트 또한 이러한 인증 제도에 부합할 수 있는 아이루키가 될 수 있도록 많은 연구와 노력 중이다. 세계적으로 IoT 보안과 관련하여 국제표준도 상당히 활발하게 움직이고 있으며 각 나라별로 자체적인 제도를 형성하려고 노력하고 있다. 국내 IoT 보안 또한 KISA(한국인터넷진흥원)에서 2017년 12월부터 IoT 제품이 사이버 위험으로부터 안전하게 이용될 수 있도록 IoT 보안인증 제도를 운영하고 있다. 하지만 국내의 IoT 보안 인증 제도는 의무적인 인증 제도가 아니어서 의무 인증 제도로 개선되는 것이 화두로 오르고있다.
EU 사이버보안법: https://eur-lex.europa.eu/eli/reg/2019/881/oj
출처: https://tech.newstatesman.com/security/eu-cybersecurity-act-iot-legislation
출처: https://www.koit.co.kr/news/articleView.html?idxno=75201
출처: https://www.jdsupra.com/legalnews/the-eu-cybersecurity-act-introduces-32621/
