NIS2로 높아진 EU 제조시장, 빠른 해결 방안은?
전 세계적으로 제조업을 노린 사이버공격의 급증으로 막대한 피해가 발생하고 있다. 이에 유럽연합(EU)는 기존 사이버보안 정책을 확대 개정한 네트워크‧정보보안 지침2(NIS2)를 지난 1월 16일 발효하며 적극적인 대응에 나섰다. EU 회원국을 비롯해 EU 지역에서 활동하는 해외 기업은 모두 내년 10월 17일까지 NIS2를 따라야 한다. 또한 2025년 4월 17일까지 '필수' 및 '중요' 범위를 식별 및 등록하고 실행해야 한다. 클래로티의 은성율 지사장은 “EU의 NIS2 지침을 따르고, 안정적인 보안환경을 갖추기까지 필요한 시간이 약 1년 정도의 시간 밖에 남지 않았다”며 “빠른 시간 내에 제조 환경의 취약점 등 위험을 분석하고, 대응할 뿐 아니라 전체 과정을 정리할 수 있는 보안 프로세서를 구축해야 한다”고 강조했다. NIS2는 지난 2016년에 발효된 사이버 보안 전역 법률인 NIS의 개선안이다. 코로나19 이후 급증한 사이버 공격에 대응해 제조, 식품, 폐기물 관리, 에너지, 운송, 헬스케어, 디지털 등 제조부분 범위가 대폭 확장됐다. 또한 미 준수 시 기업의 책임을 묻기 위해 상당한 규모의 벌금이 부과되는 조항이 추가됐다. 벌금은 글로벌 기업의 경우 필수와 중요 2개의 카테고리로 나뉘어 적용된다. 필수는 에너지, 교통, 헬스케어, 상하수처리, 우주산업 등이 포함되며, 중요는 폐기물 관리, 화공 및 모든 제조, 식음료, 유통, 의료, 전기전자, 우편/택배 운송 사업 등이다. NIS2 미준수 시 필수 분야 기업은 1천만 유로(약 142억 원) 또는 기업 글로벌 총 연매출액의 2% 중 더 높은 금액이 벌금으로 부과된다. 중요 기업은 700만 유로(99억 원) 또는 글로벌 연매출액의1.4%'중 더 높은 금액이 벌금으로 부과된다. 은성율 지사장은 “수익률이 높지 않은 제조 기업에 있어서 매출을 기반으로 한 NIS2의 벌금은 굉장한 부담일 수밖에 없다”며 “NIS2에 대한 신속하고 명확한 분석 없이 무방비하게 대처할 경우 국내 주요 기업도 큰 피해를 입을 우려가 있다”고 설명했다. 이어서 NIS2가 아직 생소한 국내 제조기업이 빠르게 대응할 수 있는 방안으로 클래로티의 사이버 보안 포트폴리오를 제시했다. 클래로티의 보안 포트폴리오는 통합 보호, 모니터링 및 기타 사이버 위험 관리 제어를 모든 사이버 물리 시스템(CPS)으로 확장해 NIS2 규정 준수를 지원하고 단순화해 효율적인 대응이 가능하도록 지원한다. 또한 산업, 의료, 상업 및 공공 등 4개 분야에 특화된 서비스를 제공해 복잡한 설정 없이 고객사 기존 인프라에 적합한 서비스를 연결하는 것 만으로 가시성, 위험 및 취약성 관리, 네트워크 보호, 위협 탐지, 안전한 원격 액세스에 대한 광범위한 제어 기능을 보유한 통합 플랫폼을 구축할 수 있다. 클래로티의 보안 포트폴리오는 산업, 의료, 상업 및 공공 부문 조직이 확장된 사물 인터넷(XIoT) 환경에서 모든 사이버-물리 시스템을 보호할 수 있도록 지원한다. 고객사의 인프라를 플랫폼으로 통합해 가시성, 위험 및 취약성 관리, 네트워크 보호, 위협 탐지, 안전한 원격 액세스에 대한 제어 기능을 한번에 제공한다. 더불어 외부 침임 발생 시 자동으로 정부, 국가기관에 신고 및 72시간 이내 사고 위험 평가, 30일 내 최종 보고 작성 등 최종 분석작업 기능까지 지원한다. 이 밖에도 클래로티의 보안 포트폴리오는 중단 없이 시스템이 운영되야 하며, 수십년에 걸쳐 수많은 장비가 추가되며 늘어난 수백 종의 네트워크 프로토콜을 모두 관리할 수 있어야 하는 제조업의 특성을 고려해 개발됐다. 은성율 지사장은 “클래로티의 보안 포트폴리오를 도입하면 약 한달 정도면 NIS2에서 요구하는 보안 수준을 충분히 구현할 수 있다”며 “실제로 상반기 국내 기업의 글로벌 인프라에 보안 서비스를 구축하는데 그 정도의 시간이 걸렸다”고 설명했다. 이어서 “하반기에는 제조를 비롯해 의료와 공공, 물류 분야까지 분야를 확대하려 한다”며 “이를 위해 엑스돔(xDOME), 메디게이트, CTD 등 각 분야에 특화된 탐지 솔루션과 연계한 서비스를 선보일 예정”이라고 밝혔다.