영국 정부가 자국을 사이버 법 적용 대상에서 제외한 결정은 신뢰를 떨어뜨림
(theregister.com)- 영국의 ‘Cyber Security and Resilience(CSR) 법안’ 은 국가 핵심 인프라와 관리 서비스 제공자를 규제 대상으로 포함하지만, 중앙 및 지방정부는 제외됨
- 정부는 대신 ‘Government Cyber Action Plan’ 을 통해 동일한 보안 기준을 자율적으로 적용하겠다고 밝혔으나, 법적 의무는 없음
- 여러 의원과 전문가들은 공공 부문이 주요 공격 표적임에도 법 적용에서 빠진 점을 비판하며, 법적 구속력이 없는 자율 기준은 신뢰 부족을 초래한다고 지적
- 국가감사원(NAO) 보고서에 따르면 정부 시스템의 보안 결함과 개선 지연이 심각한 수준으로, 현행 계획만으로는 충분하지 않다는 우려가 제기됨
- 공공 부문을 제외한 결정은 정부의 사이버 보안 의지에 대한 의문을 낳으며, 향후 입법 보완 필요성이 커지고 있음
CSR 법안의 범위와 정부의 자가 면제
-
CSR 법안은 2018년 NIS 규정을 대체해 영국의 사이버 보안 체계를 현대화하려는 목적
- 관리 서비스 제공자와 데이터센터 등을 포함하지만 중앙 및 지방정부는 제외
- EU의 NIS2 지침과 달리 공공기관을 규제 범위에서 제외함
-
Sir Oliver Dowden은 하원에서 정부가 스스로를 법 적용 대상에서 제외한 점을 비판
- 공공 부문에 더 엄격한 요건을 부과해야 한다고 주장
- 법적 의무가 있어야 장관들이 사이버 보안을 우선순위로 다루게 된다고 강조
정부의 대응과 ‘Cyber Action Plan’
-
Ian Murray 장관은 Dowden의 제안을 수용하겠다고 답하며, Government Cyber Action Plan을 언급
- 이 계획은 CSR 법안과 동일한 수준의 보안 기준을 정부 부처에 적용하되 법적 구속력은 없음
- 비판자들은 이를 비판 회피용 조치로 보고, 실질적 보안 강화 효과에 의문 제기
-
Neil Brown(Decoded.legal) 은 “정부가 법안 수준의 기준을 따를 것이라면, 법 적용을 피할 이유가 없다”고 지적
- 법안에서 제외된 것은 신뢰를 주지 못하는 결정이라고 평가
공공 부문 보안 현실과 비판
-
NCSC 보고에 따르면 2020년 9월~2021년 8월 사이 관리된 공격 중 40%가 공공 부문을 표적으로 함
- 이 비율은 향후 더 증가할 것으로 예상됨
-
국가감사원(NAO) 의 2025년 보고서는 정부의 72개 핵심 시스템 중 58개를 점검한 결과, 다수의 보안 결함과 느린 개선 속도를 확인
- 이는 공공 부문이 여전히 정기적 사이버 공격에 취약함을 보여줌
- 이러한 상황에서 정부가 공공 부문을 CSR 법안에서 제외한 것은 정책적 일관성 부족으로 비판받음
향후 입법 방향과 논의
-
Labour 의원 Matt Western은 CSR 법안이 완전한 해결책은 아니며, 추가 맞춤형 입법이 뒤따를 것이라고 언급
- 정부가 공공 부문 전용 사이버 보안 법안을 별도로 마련할 가능성 언급
-
Neil Brown은 “작고 명확한 법안을 자주 제정하는 접근이 더 현명하다”고 평가
- Telecommunications (Security) Act 2021과 Product Security and Telecommunications Infrastructure Act 2022처럼, 분야별로 분리된 입법이 효과적일 수 있다고 설명
신뢰와 정치적 파장
- 공공기관, 지방의회, NHS 등이 공격받을 때마다 정부의 법안 제외 결정은 야당의 공격 소재가 됨
- 보수당 정부 시절(2022년) 제안된 보안 개선 권고안을 2년 넘게 미이행한 전례도 지적됨
- 정부가 자가 면제를 유지하는 한, 사이버 보안 개선 의지에 대한 신뢰 부족이 지속될 가능성
- CSR 법안이 국가 보안 체계의 핵심으로 자리 잡기 위해서는 공공 부문 포함 여부가 향후 핵심 쟁점으로 남을 전망
Hacker News 의견들
-
나는 이 법안을 대충 훑어봤는데, 너무 냉소적으로 해석된 것 같음
주요 내용은 핵심 공급자와 서비스 제공자를 지정하고 그들의 보안 의무를 규정하는 것임
중앙정부는 보통 직접 공급자가 아니라 여러 외부 공급자를 이용하는 고객 역할을 함
그래서 초기에 정부가 법 적용 대상에서 빠진 게 이상하지 않다고 봄. 먼저 1차 공급자들을 정비한 뒤, 정부 기능 전체에 대한 규제를 마련하는 게 순서라고 생각함- 네가 말한 논리라면 정부는 굳이 면제를 명시하지 않아도 자연스럽게 법 적용 대상에서 벗어나게 됨
그런데 이번에 굳이 면제를 넣었다는 건, 원래는 정부도 법 적용 대상이었다는 증거로 볼 수 있음 - 문제는 이런 접근이 과거 시도들의 치명적 결함 중 하나였다는 점임
이번이 첫 시도라면 동의하겠지만, 이미 여러 번 실패했던 방식임 - “중앙정부는 고객이다”라는 전제가 틀렸다고 봄
정부는 수많은 벤더와 협력하지만, 동시에 국가 사이버 보안 기관이나 IT 지원 기관이 직접 서비스 제공자 역할을 하기도 함
예를 들어 SOC 운영, 보안 컨설팅, 정보 공유 등 다양한 역할을 하기 때문에 정부를 제외하는 건 단순히 예산 절감을 위한 조치로밖에 안 보임
- 네가 말한 논리라면 정부는 굳이 면제를 명시하지 않아도 자연스럽게 법 적용 대상에서 벗어나게 됨
-
영국 정부 기관들이 취약점 공개(Coordinated Vulnerability Disclosure) 를 단계적으로 도입하면 실질적인 보안 개선이 가능하다고 생각함
이는 UK CSR 법안이 맞춤형 보안 입법으로 발전하기 위한 첫걸음이라는 기사 내용과도 일치함
나는 의료 정보 관련 소프트웨어 엔지니어링을 하고 있어서 이 주제가 특히 전문적으로 느껴짐
관련 자료는 GitHub 링크에서 볼 수 있음 -
“우리가 말하는 대로 하라, 우리가 하는 대로는 하지 말라”는 식의 태도로 변화를 설계하는 엔지니어들이 뒤로 물러앉아 있는 모습 같음
-
텍사스 등 여러 지역에서도 주 정부 기관이 건축법규를 따르지 않아도 되는 것과 비슷한 상황임
내가 주 데이터센터 건설 현장에서 일했을 때도 그런 사례를 봤음 — “석면? 그게 뭐지?” 하는 식이었음 -
이런 면제에는 나름의 이유가 있음
예를 들어 스스로에게 보고서를 제출하거나 민감 정보를 공개할 필요가 없게 하기 위함임
하지만 올바른 접근은 기본 법률 프레임워크를 만들고, 세부 시행령에서 “XXX 기관은 NIS2를 다음과 같은 예외와 함께 적용한다” 식으로 명시하는 것임
이렇게 하면 과도한 면제를 피하고, 각 기관이 제멋대로 규정을 만드는 걸 방지할 수 있음
핵·군수 산업에서도 이런 방식이 일반적임. 처음부터 광범위한 면제를 선언하는 건 잘못된 접근임 -
왜 영국은 사이버 보안 관련해서 이렇게 권위주의적인 태도를 보이는지 모르겠음
“너희를 위한 규칙이지, 우리를 위한 건 아니다”라는 식의 법이 자주 보임- 이건 Cyber Security and Resilience Bill에 관한 이야기임
핵심 자산의 보안을 강화하고 침해 보고 의무를 강화하는 게 목적인데, 이런 조치를 “권위주의적”이라 부르는 게 의아함
어떤 점에서 그렇게 느끼는지 궁금함 - 영국의 컴퓨터 관련 법은 권위주의적이긴 하지만, 다른 서구 국가들과 크게 다르지는 않음
- 영국은 EU와의 상호인정을 유지하고 무역을 방해하지 않기 위해 EU 규제(NIS2)와 유사한 규정을 가져야 함
하지만 동시에 “EU를 따르고 있다”고 인정하기 싫어함
그래서 영국 엔지니어링 회사와 컨설턴트들이 규제 문서를 작성하고 컴플라이언스 독점을 유지할 수 있도록 법을 재작성하는 중임 - 사이버 보안만의 문제가 아님. 다른 분야에서도 비슷한 태도를 보임
- 이건 Cyber Security and Resilience Bill에 관한 이야기임
-
영국인으로서 보기에, 정부가 “법적 의무는 없지만 Cyber Action Plan을 통해 동등한 기준을 유지하겠다”고 말하는 건 결국 “PDF를 믿어달라”는 수준임
이제는 비부인(non-repudiation) 시대로 빨리 넘어가야 한다고 생각함 -
(이전 댓글에 대한 답글)
누가 세계 최초의 컴퓨터를 만들었고, 누가 월드 와이드 웹을 만들었는지 잊은 건 아닌지 묻고 싶음