EU(유럽연합)가 미국에 이어 유럽 시장에 납품되는 디지털 기기에 SBOM(소프트웨어 자재 명세서) 작성을 의무화하는 등 사이버보안을 강화하자 국내 제도를 국제 기준에 맞게 개선해야 한다는 주장이 나왔다. 주요 선진국들이 공통 기준을 만들어 세계 시장을 주도하는 만큼 글로벌 경쟁력을 위해 한국도 국제 기준을 따라야 한다는 취지다.
KISA(한국인터넷진흥원)가 최근 발행한 'EU의 디지털 미래 구축을 위한 사이버보안 방향과 시사점' 보고서에 따르면 EU 집행위원회는 최근 사이버복원력법안을 제안했다. 사이버 복원력은 사이버 공격을 예견하고 견뎌내며 공격으로 인해 피해를 입더라도 빠른 시간 내에 데이터를 복구하는 것을 가리킨다.
EU 사이버복원력법안은 제조업체에 △설계·개발·생산 단계부터 외부 인터페이스를 포함한 공격 표면 제한 △악용 완화 메커니즘·기술을 활용 △SBOM 등 구성요소 문서화 △자동 보안 업데이트 등을 필수요건으로 제시하고 있다.
사업자에 대해서도 △필수 사이버보안 요건 준수 △제품의 사이버보안 위험평가 및 위험 최소화 △적합성 평가 수행 △사고 보고 △기술문서의 보관 등의 의무를 부여했다. 수입업체와 유통업체에 대해서도 적합성 평가 인증 마크 여부를 반드시 확인하도록 하고 있다.
EU는 제조업체가 사이버복원력법안 필수요건을 지키지 않을 경우 1500만 유로(약 214억원) 또는 전세계 연간 매출액의 2.5% 중 높은 금액을 과징금으로 부과한다. 평가기관 및 시장 감시 당국에 부정확한 정보를 제공했을 경우에도 500만 유로(약 71억원) 또는 전세계 연간 매출액의 1% 중 높은 금액을 과징금으로 부과한다.
보고서는 EU가 사이버보안 분야에서도 단일시장을 위한 자체적인 사이버보안 입법 및 표준 정립, 인증 프레임워크 개발, 국제협력 확대 등을 추진하는 것이 각국의 사이버보안 정책 논의에 영향을 줄 것이라고 전망했다. 그러면서 EU 시장과 거래하는 외국 기업도 영향을 받을 수 있다고 예측했다.
연구진들은 "EU의 보안요구사항과 연계해 표준 또는 공통 규격을 마련하고 이에 대한 적합성 평가·인증을 받은 경우 사이버보안에 관한 법적 기준을 충족한 것으로 인정하는 접근방식이 하나의 기준점이 될 수 있다"며 "기술혁신을 저해하지 않으면서도 보안성·신뢰성을 확보할 수 있는 제도적 방안을 고민해볼 시점"이라고 했다.
이처럼 미국과 유럽 시장에서 사이버보안이 중요해지자 과학기술정보통신부도 최근 제도 개선에 착수한 상태다. 과기정통부는 최근 SBOM 작성을 의무화하기 위한 첫단계로 실증사업에 착수했다. 과기정통부는 실증사업 결과를 토대로 SBOM 가이드라인을 만들고 현장의 목소리를 반영해 향후 자동 SBOM 작성 솔루션까지 개발할 계획이다.
민간에서도 사이버보안이 새로운 무역장벽으로 등장할 것을 우려해 발빠르게 움직이고 있다. 과기정통부와 KOSA(한국소프트웨어산업협회)는 최근 LG CNS 등 대기업이 참여한 SBOM 협의체를 출범시키고 논의에 착수했다. SBOM 협의체는 국내 기업을 대상으로 SBOM 의무화에 대한 의견을 수렴하는 한편 인식 제고에 나설 예정이다.
한 업계 관계자는 "최근 미국이나 유럽 뿐 아니라 동남아시아 국가에서도 디지털 제품을 수입할 때 SBOM 같은 보안 조치를 요구하는 경우가 늘었다"며 "주요 선진국이 사이버보안을 강화하는 만큼 한국도 발맞춰서 빠르게 움직이지 않으면 해외시장에서 국내 제품이 살아남기 힘들 것"이라고 말했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>