/그래픽=이미지투데이18일 관련 업계에 따르면 EU(유럽연합)가 '디지털 요소'가 있는 제품의 설계·생산 및 수입·유통, 노후화(폐기)에 이르는 제품 전(全) 주기에 걸쳐 사이버보안 위험요소를 최소화하도록 의무화하는 '사이버복원력법'(Cyber Resilience Act) 제정작업이 막바지에 달하고 있다. 사이버복원력법의 적용대상 등이 아직 확정되지 않았지만 대(對) EU 교역에 미칠 영향이 큰 만큼 국내 공산품 수출 기업들이 예의주시할 필요가 있다는 지적이다.
임종철 디자이너 /사진=임종철 디자이너EU는 "하드웨어·소프트웨어 제품을 통한 사이버공격이 점점 증가하며 2021년 기준 전 세계 사이버범죄로 인한 비용은 5조5000억달러(약 7813조원)에 이를 것"이라고 했다. 또 "제조사는 자사 제품의 보안이 미흡하더라도 평판이 훼손되는 정도의 리스크를 부담하는 데 그치지만 보안 취약에 따른 비용은 주로 소비자들이 부담한다"며 "이 때문에 제조사들이 보안 중심 설계나 보안 업데이트에 투자할 동기가 적다"고 밝혔다.
제조사는 사이버보안 관련 필수 요건을 준수하고 보안 적합성 평가를 수행하며 보안사고가 발생하면 즉각 신고하는 등 의무를 진다. '디지털 요소가 있는 제품'을 수입·유통하는 업체는 보안 적합성 평가를 수행했는지, 사이버보안 관련 규제를 준수하는 제품인지 여부를 확인한 후에만 EU에 해당 제품을 유통시킬 수 있다.
EU는 "규정위반시 시장 감시당국은 사업자에게 위반행위의 중단 및 위반요소 제거, 제품 출시의 중단 또는 제한, 시중 제품의 회수를 명령할 수 있다"며 "위반 기업에 대해서는 벌금을 부과할 수 있다"고 밝혔다.
이 시각 인기 뉴스
'사이버복원력법'은 '디지털 요소가 있는 제품'의 3가지 분류를 제시했다. 그 중 가장 낮은 단계가 '기본'(Default) 유형이다. 가정용 로봇이나 스마트 스피커, 장난감, 하드드라이브, 워드 프로세서, 게임기 등 및 가정용 IoT(사물인터넷) 등이 이에 해당한다. 전체 규제대상 품목의 90%가 이에 해당할 것으로 예상됐다.
이외에도 △신원확인 및 접속관리 소프트웨어, 악성 소프트웨어 백신, 가상 민간 네트워크 활용 제품, 원격접속 소프트웨어 등 '중요도가 높은 제품'(클래스 1)과 △운영체제, 산업용 방화벽 및 IoT, 마이크로프로세서 등 '중요도가 매우 높은 제품'(클래스 2)이 있다. 이 중 가장 높은 중요도가 부여된 클래스2 유형의 제품은 3자검증까지 받아야 한다.
물론 적용범위나 관련 기업에 부과되는 의무사항 등에 대해서는 여전히 논의가 진행 중이다. EU는 중소기업에 대한 지원규정을 신설하는 등 이해관계자 의견을 수렴한 수정안을 내놨다. 초안 대비 일부 규제가 완화된 내용도 있지만 화웨이나 ZTE 등 중국기업을 '신뢰성이 의심되는 고위험 판매자'로 지정하고 보다 강화된 규제를 적용하는 내용도 수정안에 담았다.
"韓-EU간 상호인정 기준 등 논의 필요"
이미지투데이그만큼 이번 '사이버복원력법'의 세부 내용이 어떻게 정해질지에 따라 한국-EU 교역에 미치는 영향도 상당할 수 있다. 윤주연 KISA(한국인터넷진흥원) 법제연구팀장은 "EU는 적합성 평가·인증 또는 사이버보안 인증을 받은 경우 법적 요구사항(사이버보안 조치)을 충족한 것으로 인정한다"며 "어떤 제품군에 주로 영향을 미칠지 봐야 하고 (한국-EU간) 상호 인정 등이 논의될 필요가 있다"고 했다.
실제 한국-EU간 IT 규제와 관련한 교류는 최근에도 있었다. 지난해 한국이 EU의 '개인정보보호 적정성 결정'을 최종 통과함으로써 EU에서 활동 중인 한국 기업들이 EU 회원국 시민들의 개인정보를 EU에서 별도의 인증절차를 거치지 않고도 한국으로 가져와 처리할 수 있게 된 점이 대표적이다.
