# 영국 정부가 자국을 사이버 법 적용 대상에서 제외한 결정은 신뢰를 떨어뜨림

> Clean Markdown view of GeekNews topic #25739. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=25739](https://news.hada.io/topic?id=25739)
- GeekNews Markdown: [https://news.hada.io/topic/25739.md](https://news.hada.io/topic/25739.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-01-12T04:38:03+09:00
- Updated: 2026-01-12T04:38:03+09:00
- Original source: [theregister.com](https://www.theregister.com/2026/01/10/csr_bill_analysis/)
- Points: 1
- Comments: 1

## Topic Body

- **영국의 ‘Cyber Security and Resilience(CSR) 법안’** 은 국가 핵심 인프라와 관리 서비스 제공자를 규제 대상으로 포함하지만, **중앙 및 지방정부는 제외**됨  
- 정부는 대신 **‘Government Cyber Action Plan’** 을 통해 동일한 보안 기준을 자율적으로 적용하겠다고 밝혔으나, **법적 의무는 없음**  
- 여러 의원과 전문가들은 **공공 부문이 주요 공격 표적**임에도 법 적용에서 빠진 점을 비판하며, **법적 구속력이 없는 자율 기준은 신뢰 부족**을 초래한다고 지적  
- **국가감사원(NAO)** 보고서에 따르면 정부 시스템의 **보안 결함과 개선 지연**이 심각한 수준으로, 현행 계획만으로는 충분하지 않다는 우려가 제기됨  
- 공공 부문을 제외한 결정은 **정부의 사이버 보안 의지에 대한 의문**을 낳으며, 향후 입법 보완 필요성이 커지고 있음  

---

### CSR 법안의 범위와 정부의 자가 면제
- **CSR 법안**은 2018년 NIS 규정을 대체해 영국의 사이버 보안 체계를 현대화하려는 목적  
  - 관리 서비스 제공자와 데이터센터 등을 포함하지만 **중앙 및 지방정부는 제외**  
  - EU의 **NIS2 지침**과 달리 공공기관을 규제 범위에서 제외함  
- **Sir Oliver Dowden**은 하원에서 정부가 스스로를 법 적용 대상에서 제외한 점을 비판  
  - 공공 부문에 더 엄격한 요건을 부과해야 한다고 주장  
  - 법적 의무가 있어야 장관들이 사이버 보안을 우선순위로 다루게 된다고 강조  

### 정부의 대응과 ‘Cyber Action Plan’
- **Ian Murray 장관**은 Dowden의 제안을 수용하겠다고 답하며, **Government Cyber Action Plan**을 언급  
  - 이 계획은 CSR 법안과 동일한 수준의 보안 기준을 정부 부처에 적용하되 **법적 구속력은 없음**  
  - 비판자들은 이를 **비판 회피용 조치**로 보고, 실질적 보안 강화 효과에 의문 제기  
- **Neil Brown(Decoded.legal)** 은 “정부가 법안 수준의 기준을 따를 것이라면, 법 적용을 피할 이유가 없다”고 지적  
  - 법안에서 제외된 것은 **신뢰를 주지 못하는 결정**이라고 평가  

### 공공 부문 보안 현실과 비판
- **NCSC** 보고에 따르면 2020년 9월~2021년 8월 사이 관리된 공격 중 **40%가 공공 부문을 표적**으로 함  
  - 이 비율은 향후 더 증가할 것으로 예상됨  
- **국가감사원(NAO)** 의 2025년 보고서는 정부의 72개 핵심 시스템 중 58개를 점검한 결과, **다수의 보안 결함과 느린 개선 속도**를 확인  
  - 이는 공공 부문이 여전히 **정기적 사이버 공격에 취약**함을 보여줌  
- 이러한 상황에서 정부가 공공 부문을 CSR 법안에서 제외한 것은 **정책적 일관성 부족**으로 비판받음  

### 향후 입법 방향과 논의
- **Labour 의원 Matt Western**은 CSR 법안이 완전한 해결책은 아니며, **추가 맞춤형 입법**이 뒤따를 것이라고 언급  
  - 정부가 공공 부문 전용 사이버 보안 법안을 별도로 마련할 가능성 언급  
- **Neil Brown**은 “작고 명확한 법안을 자주 제정하는 접근이 더 현명하다”고 평가  
  - **Telecommunications (Security) Act 2021**과 **Product Security and Telecommunications Infrastructure Act 2022**처럼, 분야별로 분리된 입법이 효과적일 수 있다고 설명  

### 신뢰와 정치적 파장
- 공공기관, 지방의회, NHS 등이 공격받을 때마다 정부의 **법안 제외 결정**은 야당의 공격 소재가 됨  
  - 보수당 정부 시절(2022년) 제안된 보안 개선 권고안을 **2년 넘게 미이행**한 전례도 지적됨  
- 정부가 자가 면제를 유지하는 한, **사이버 보안 개선 의지에 대한 신뢰 부족**이 지속될 가능성  
  - CSR 법안이 국가 보안 체계의 핵심으로 자리 잡기 위해서는 **공공 부문 포함 여부**가 향후 핵심 쟁점으로 남을 전망

## Comments



### Comment 49039

- Author: neo
- Created: 2026-01-12T04:38:03+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=46565731) 
- 나는 이 법안을 대충 훑어봤는데, 너무 **냉소적으로** 해석된 것 같음  
  주요 내용은 핵심 공급자와 서비스 제공자를 지정하고 그들의 **보안 의무**를 규정하는 것임  
  중앙정부는 보통 직접 공급자가 아니라 여러 외부 공급자를 이용하는 고객 역할을 함  
  그래서 초기에 정부가 법 적용 대상에서 빠진 게 이상하지 않다고 봄. 먼저 1차 공급자들을 정비한 뒤, 정부 기능 전체에 대한 규제를 마련하는 게 순서라고 생각함
  - 네가 말한 논리라면 정부는 굳이 면제를 명시하지 않아도 자연스럽게 법 적용 대상에서 벗어나게 됨  
    그런데 이번에 굳이 면제를 넣었다는 건, 원래는 정부도 법 적용 대상이었다는 **증거**로 볼 수 있음
  - 문제는 이런 접근이 과거 시도들의 **치명적 결함** 중 하나였다는 점임  
    이번이 첫 시도라면 동의하겠지만, 이미 여러 번 실패했던 방식임
  - “중앙정부는 고객이다”라는 전제가 틀렸다고 봄  
    정부는 수많은 벤더와 협력하지만, 동시에 **국가 사이버 보안 기관**이나 IT 지원 기관이 직접 서비스 제공자 역할을 하기도 함  
    예를 들어 SOC 운영, 보안 컨설팅, 정보 공유 등 다양한 역할을 하기 때문에 정부를 제외하는 건 단순히 예산 절감을 위한 조치로밖에 안 보임

- 영국 정부 기관들이 **취약점 공개(Coordinated Vulnerability Disclosure)** 를 단계적으로 도입하면 실질적인 보안 개선이 가능하다고 생각함  
  이는 UK CSR 법안이 맞춤형 보안 입법으로 발전하기 위한 첫걸음이라는 기사 내용과도 일치함  
  나는 의료 정보 관련 **소프트웨어 엔지니어링**을 하고 있어서 이 주제가 특히 전문적으로 느껴짐  
  관련 자료는 [GitHub 링크](https://github.com/joelparkerhenderson/coordinated-vulnerability-disclosure)에서 볼 수 있음

- “우리가 말하는 대로 하라, 우리가 하는 대로는 하지 말라”는 식의 태도로 **변화를 설계하는 엔지니어들**이 뒤로 물러앉아 있는 모습 같음

- 텍사스 등 여러 지역에서도 주 정부 기관이 **건축법규**를 따르지 않아도 되는 것과 비슷한 상황임  
  내가 주 데이터센터 건설 현장에서 일했을 때도 그런 사례를 봤음 — “석면? 그게 뭐지?” 하는 식이었음

- 이런 면제에는 나름의 이유가 있음  
  예를 들어 스스로에게 보고서를 제출하거나 민감 정보를 공개할 필요가 없게 하기 위함임  
  하지만 올바른 접근은 **기본 법률 프레임워크**를 만들고, 세부 시행령에서 “XXX 기관은 NIS2를 다음과 같은 예외와 함께 적용한다” 식으로 명시하는 것임  
  이렇게 하면 과도한 면제를 피하고, 각 기관이 제멋대로 규정을 만드는 걸 방지할 수 있음  
  **핵·군수 산업**에서도 이런 방식이 일반적임. 처음부터 광범위한 면제를 선언하는 건 잘못된 접근임

- 왜 영국은 사이버 보안 관련해서 이렇게 **권위주의적**인 태도를 보이는지 모르겠음  
  “너희를 위한 규칙이지, 우리를 위한 건 아니다”라는 식의 법이 자주 보임
  - 이건 Cyber Security and Resilience Bill에 관한 이야기임  
    핵심 자산의 보안을 강화하고 **침해 보고 의무**를 강화하는 게 목적인데, 이런 조치를 “권위주의적”이라 부르는 게 의아함  
    어떤 점에서 그렇게 느끼는지 궁금함
  - 영국의 컴퓨터 관련 법은 권위주의적이긴 하지만, 다른 **서구 국가들**과 크게 다르지는 않음
  - 영국은 EU와의 **상호인정**을 유지하고 무역을 방해하지 않기 위해 EU 규제(NIS2)와 유사한 규정을 가져야 함  
    하지만 동시에 “EU를 따르고 있다”고 인정하기 싫어함  
    그래서 영국 엔지니어링 회사와 컨설턴트들이 규제 문서를 작성하고 **컴플라이언스 독점**을 유지할 수 있도록 법을 재작성하는 중임
  - 사이버 보안만의 문제가 아님. 다른 분야에서도 비슷한 태도를 보임

- 영국인으로서 보기에, 정부가 “법적 의무는 없지만 Cyber Action Plan을 통해 **동등한 기준**을 유지하겠다”고 말하는 건 결국 “PDF를 믿어달라”는 수준임  
  이제는 **비부인(non-repudiation)** 시대로 빨리 넘어가야 한다고 생각함

- (이전 댓글에 대한 답글)  
  누가 세계 최초의 **컴퓨터**를 만들었고, 누가 **월드 와이드 웹**을 만들었는지 잊은 건 아닌지 묻고 싶음