나는 이 법안을 대충 훑어봤는데, 너무 냉소적으로 해석된 것 같음
주요 내용은 핵심 공급자와 서비스 제공자를 지정하고 그들의 보안 의무를 규정하는 것임
중앙정부는 보통 직접 공급자가 아니라 여러 외부 공급자를 이용하는 고객 역할을 함
그래서 초기에 정부가 법 적용 대상에서 빠진 게 이상하지 않다고 봄. 먼저 1차 공급자들을 정비한 뒤, 정부 기능 전체에 대한 규제를 마련하는 게 순서라고 생각함
네가 말한 논리라면 정부는 굳이 면제를 명시하지 않아도 자연스럽게 법 적용 대상에서 벗어나게 됨
그런데 이번에 굳이 면제를 넣었다는 건, 원래는 정부도 법 적용 대상이었다는 증거로 볼 수 있음
문제는 이런 접근이 과거 시도들의 치명적 결함 중 하나였다는 점임
이번이 첫 시도라면 동의하겠지만, 이미 여러 번 실패했던 방식임
“중앙정부는 고객이다”라는 전제가 틀렸다고 봄
정부는 수많은 벤더와 협력하지만, 동시에 국가 사이버 보안 기관이나 IT 지원 기관이 직접 서비스 제공자 역할을 하기도 함
예를 들어 SOC 운영, 보안 컨설팅, 정보 공유 등 다양한 역할을 하기 때문에 정부를 제외하는 건 단순히 예산 절감을 위한 조치로밖에 안 보임
영국 정부 기관들이 취약점 공개(Coordinated Vulnerability Disclosure) 를 단계적으로 도입하면 실질적인 보안 개선이 가능하다고 생각함
이는 UK CSR 법안이 맞춤형 보안 입법으로 발전하기 위한 첫걸음이라는 기사 내용과도 일치함
나는 의료 정보 관련 소프트웨어 엔지니어링을 하고 있어서 이 주제가 특히 전문적으로 느껴짐
관련 자료는 GitHub 링크에서 볼 수 있음
“우리가 말하는 대로 하라, 우리가 하는 대로는 하지 말라”는 식의 태도로 변화를 설계하는 엔지니어들이 뒤로 물러앉아 있는 모습 같음
텍사스 등 여러 지역에서도 주 정부 기관이 건축법규를 따르지 않아도 되는 것과 비슷한 상황임
내가 주 데이터센터 건설 현장에서 일했을 때도 그런 사례를 봤음 — “석면? 그게 뭐지?” 하는 식이었음
이런 면제에는 나름의 이유가 있음
예를 들어 스스로에게 보고서를 제출하거나 민감 정보를 공개할 필요가 없게 하기 위함임
하지만 올바른 접근은 기본 법률 프레임워크를 만들고, 세부 시행령에서 “XXX 기관은 NIS2를 다음과 같은 예외와 함께 적용한다” 식으로 명시하는 것임
이렇게 하면 과도한 면제를 피하고, 각 기관이 제멋대로 규정을 만드는 걸 방지할 수 있음 핵·군수 산업에서도 이런 방식이 일반적임. 처음부터 광범위한 면제를 선언하는 건 잘못된 접근임
왜 영국은 사이버 보안 관련해서 이렇게 권위주의적인 태도를 보이는지 모르겠음
“너희를 위한 규칙이지, 우리를 위한 건 아니다”라는 식의 법이 자주 보임
이건 Cyber Security and Resilience Bill에 관한 이야기임
핵심 자산의 보안을 강화하고 침해 보고 의무를 강화하는 게 목적인데, 이런 조치를 “권위주의적”이라 부르는 게 의아함
어떤 점에서 그렇게 느끼는지 궁금함
영국의 컴퓨터 관련 법은 권위주의적이긴 하지만, 다른 서구 국가들과 크게 다르지는 않음
영국은 EU와의 상호인정을 유지하고 무역을 방해하지 않기 위해 EU 규제(NIS2)와 유사한 규정을 가져야 함
하지만 동시에 “EU를 따르고 있다”고 인정하기 싫어함
그래서 영국 엔지니어링 회사와 컨설턴트들이 규제 문서를 작성하고 컴플라이언스 독점을 유지할 수 있도록 법을 재작성하는 중임
사이버 보안만의 문제가 아님. 다른 분야에서도 비슷한 태도를 보임
영국인으로서 보기에, 정부가 “법적 의무는 없지만 Cyber Action Plan을 통해 동등한 기준을 유지하겠다”고 말하는 건 결국 “PDF를 믿어달라”는 수준임
이제는 비부인(non-repudiation) 시대로 빨리 넘어가야 한다고 생각함
(이전 댓글에 대한 답글)
누가 세계 최초의 컴퓨터를 만들었고, 누가 월드 와이드 웹을 만들었는지 잊은 건 아닌지 묻고 싶음
Hacker News 의견들
나는 이 법안을 대충 훑어봤는데, 너무 냉소적으로 해석된 것 같음
주요 내용은 핵심 공급자와 서비스 제공자를 지정하고 그들의 보안 의무를 규정하는 것임
중앙정부는 보통 직접 공급자가 아니라 여러 외부 공급자를 이용하는 고객 역할을 함
그래서 초기에 정부가 법 적용 대상에서 빠진 게 이상하지 않다고 봄. 먼저 1차 공급자들을 정비한 뒤, 정부 기능 전체에 대한 규제를 마련하는 게 순서라고 생각함
그런데 이번에 굳이 면제를 넣었다는 건, 원래는 정부도 법 적용 대상이었다는 증거로 볼 수 있음
이번이 첫 시도라면 동의하겠지만, 이미 여러 번 실패했던 방식임
정부는 수많은 벤더와 협력하지만, 동시에 국가 사이버 보안 기관이나 IT 지원 기관이 직접 서비스 제공자 역할을 하기도 함
예를 들어 SOC 운영, 보안 컨설팅, 정보 공유 등 다양한 역할을 하기 때문에 정부를 제외하는 건 단순히 예산 절감을 위한 조치로밖에 안 보임
영국 정부 기관들이 취약점 공개(Coordinated Vulnerability Disclosure) 를 단계적으로 도입하면 실질적인 보안 개선이 가능하다고 생각함
이는 UK CSR 법안이 맞춤형 보안 입법으로 발전하기 위한 첫걸음이라는 기사 내용과도 일치함
나는 의료 정보 관련 소프트웨어 엔지니어링을 하고 있어서 이 주제가 특히 전문적으로 느껴짐
관련 자료는 GitHub 링크에서 볼 수 있음
“우리가 말하는 대로 하라, 우리가 하는 대로는 하지 말라”는 식의 태도로 변화를 설계하는 엔지니어들이 뒤로 물러앉아 있는 모습 같음
텍사스 등 여러 지역에서도 주 정부 기관이 건축법규를 따르지 않아도 되는 것과 비슷한 상황임
내가 주 데이터센터 건설 현장에서 일했을 때도 그런 사례를 봤음 — “석면? 그게 뭐지?” 하는 식이었음
이런 면제에는 나름의 이유가 있음
예를 들어 스스로에게 보고서를 제출하거나 민감 정보를 공개할 필요가 없게 하기 위함임
하지만 올바른 접근은 기본 법률 프레임워크를 만들고, 세부 시행령에서 “XXX 기관은 NIS2를 다음과 같은 예외와 함께 적용한다” 식으로 명시하는 것임
이렇게 하면 과도한 면제를 피하고, 각 기관이 제멋대로 규정을 만드는 걸 방지할 수 있음
핵·군수 산업에서도 이런 방식이 일반적임. 처음부터 광범위한 면제를 선언하는 건 잘못된 접근임
왜 영국은 사이버 보안 관련해서 이렇게 권위주의적인 태도를 보이는지 모르겠음
“너희를 위한 규칙이지, 우리를 위한 건 아니다”라는 식의 법이 자주 보임
핵심 자산의 보안을 강화하고 침해 보고 의무를 강화하는 게 목적인데, 이런 조치를 “권위주의적”이라 부르는 게 의아함
어떤 점에서 그렇게 느끼는지 궁금함
하지만 동시에 “EU를 따르고 있다”고 인정하기 싫어함
그래서 영국 엔지니어링 회사와 컨설턴트들이 규제 문서를 작성하고 컴플라이언스 독점을 유지할 수 있도록 법을 재작성하는 중임
영국인으로서 보기에, 정부가 “법적 의무는 없지만 Cyber Action Plan을 통해 동등한 기준을 유지하겠다”고 말하는 건 결국 “PDF를 믿어달라”는 수준임
이제는 비부인(non-repudiation) 시대로 빨리 넘어가야 한다고 생각함
(이전 댓글에 대한 답글)
누가 세계 최초의 컴퓨터를 만들었고, 누가 월드 와이드 웹을 만들었는지 잊은 건 아닌지 묻고 싶음