규제 준수는 진화하고 있는데, 귀사의 복원력은 준비되었습니까?
NIS2 및 DORA는 더 넓은 범위의 업계에 대한 중요성을 높입니다
10년 전, 우리의 초점은 조직이 개인 데이터를 투명하고 신중하게 수집하고, 데이터 처리에 대한 선택권을 제공하며, 데이터를 철저히 보호하고, 개인 데이터가 유출될 경우 의무와 모범 사례를 안내하는 것이었습니다.
오늘날에도 저는 여전히 그 모든 일을 수행하고 있습니다. 그러나 제2차 네트워크 및 정보 보안 지침(NIS2)과 같은 새로운 규제로 인해 사이��버 보안 규제 환경이 변화하면서, 저의 업무 범위는 단순히 개인정보를 보호하는 것에 그치지 않고, 해당 정보를 처리하는 서비스의 무결성과 가용성에 대한 위협을 어떻게 대응할 것인지까지 확장되었습니다. 따라서 저는 제품의 가용성 및 복원력과 관련된 문제로 Cloudflare 제품 및 엔지니어링팀과 많은 시간을 보냅니다. 우리는 중단의 영향을 측정하는 방법을 개발하고, 어떤 사고를 보고해야 하는지 결정하며, 필요할 경우 실제로 보고서와 대응을 구체화합니다.
개인정보 보호 및 규제 준수 분야에서 변화가 일어나고 있음을 느끼는 것은 저 혼자만이 아닙니다. International Association of Privacy Professionals의 2024년 개인정보 거버넌스 보고서에 따르면, 80% 이상의 개인정보 보호 전문가가 전통적인 개인정보 보호 의무를 넘어서는 업무를 맡고 있습니다. 업무 범위가 확대되고 있는 보고서의 응답자들 사이에서 사이버 보안 규제 준수는 두 번째로 흔한 새로운 책임이 되었습니다. 개인정보를 보호하는 것 외에도 이제 우리는 조직이 사이버 위험을 줄이고 복원력을 강화하도록 해야 합니다.
새로운 규제 탐색
개인정보 보호 전문가의 역할 변화는 데이터 규제 환경의 큰 변화를 반영하는 것입니다. 데이터 개인정보 보호가 항상 그래 왔듯이 지난 2년 동안 일련의 새로운 규제가 시행되면서 복원력과 위험 관리가 규�제 준수를 위한 필수 요소가 되었습니다.
유럽연합의 GDPR을 시작으로, 개인을 데이터 손상으로 인한 피해로부터 보호하기 위한 주요 데이터 개인정보 보호 및 보안 규제의 첫 번째 물결이 시작되었습니다. GDPR, 캘리포니아 소비자 개인정보 보호법(CCPA) 및 기타 유사한 규제를 준수한다는 것은 데이터 주체의 권리를 존중하고, 조직에서 수집하는 개인 데이터의 양을 제한하며, 해당 정보를 무단 공개 및 악의적인 행위자로부터 보호한다는 것을 의미합니다.
2023년부터 시행된 새로운 규제 세 가지는 네트워크 및 정보 보안 2(NIS2) 지침, Digital Operational Resilience Act(DORA), 미국 증권거래위원회(SEC) 사이버 보안 규칙 등 규제 준수의 변화를 대표합니다. 유럽에서 NIS2는 18개 부문에 걸쳐 디지털 복원력과 보안 관행을 개선하는 것을 목표로 하고, DORA는 금융 부문의 IT 위험 관리에 중점을 둡니다. SEC의 새로운 규칙은 미국 상장 기업의 보안 및 보고 기준을 강화합니다.
NIS2는 유럽 전역의 다양한 업계에 적용되기 때문에, 세 가지 중 가장 광범위한 영향을 미칠 수 있습니다. NIS2는 조직이 위험을 더 철저히 평가하고, 사고를 더 신속하게 처리하며, 비즈니스 연속성을 보장하기 위해 더 많은 조치를 취하도록 요구합니다.
NIS2는 조직이 다음 사항을 다루도록 요구합니다.
모든 IT 자산의 가시성을 환경 전반에 걸쳐 확보하여 포괄적인 위험 평가와 사전 예방적 사고 처리 지원.
중요 시스템을 지원하는 소프트웨어 공급망의 보안.
네트워크 및 정보 시스템의 전체 수명 주기에 걸친 보안.
미션 크리티컬 웹 애플리케이션의 제삼자 위협에 대한 취약성.
다양한 사용자 유형, 장치 및 시스템에 대한 암호화, 액세스 제어 및 인증.
NIS2는 또한 그 전신인 최초의 네트워크 및 정보 보안 지침(NIS)보다 더 광범위한 산업 및 조직에 보안, 개인정보 보호 및 복원력 요건을 부과합니다. NIS는 에너지, 운송, 금융 및 은행, 수자원, 의료 등 중요한 국가 인프라로 기능하는 여러 분야에 적용되었습니다. NIS2는 그 그룹에 폐수 관리, 우주 산업, 공공 행정, 관리형 B2B IT 서비스를 추가합니다. 또한 6개의 새로운 산업이 "중요" 카테고리에 추가되었습는데, 폐기물 관리, 식품 가공, 연구, 우편 및 택배 서비스, 화학 생산 및 유통, 특정 유형의 제조가 그것입니다.
두 범주에 속한 기업들은 동��일한 기본 요건에 직면하지만, NIS2는 필수 부문에 속한 조직이 규제 준수를 사전에 입증하도록 요구합니다. 중요하게도, NIS2 요건은 대상 조직을 통해 그들이 고용하는 제3자 데이터 처리자에게도 적용됩니다.
NIS2에 따라, EU 내 필수 또는 중요 부문의 중간 규모 조직(직원 수가 50명 이상이거나 연간 매출이 1,000만 유로 이상인 조직)은 이제 엄격한 보안 표준을 준수해야 합니다. 이를 준수하지 않으면 ‘필수’ 부문 기업의 경우 전 세계 수익의 최대 2%, ‘중요’ 부문 기업의 경우 1.4%의 벌금이 부과되는 파멸적인 결과가 초래될 수도 있습니다. 규제를 지속적으로 준수하지 않을 경우 서비스나 담당 직원들의 정직 처분이 내려질 수 있습니다.
그 결과: 더 많은 업계의 더 많은 기업이 엄격한 보안 및 복원력 기준을 적용받고 있습니다. 그리고 개인정보 보호팀은 이러한 요구 사항을 충족하는 데 중요한 역할을 합니다.
기존의 개인정보 보호 투자를 바탕으로 구축하기
NIS2의 적용을 받는 많은 조직이 처음으로 엄격한 사이버 보안 규제를 다루고 있습니다. 그들은 온프레미스 시스템, 하이브리드 클라우드 배포, 에지 장치를 모두 활용하면서 현대 IT 분야에서 우리 모두가 직면하는 복잡성을 관리하고 있습니다.
NIS2는 적용 대상이 반드시 이행해야 하는 10가지 위험 관리 조치를 명시합니다. 여기에는 공급망 취약점 및 자연재해부터 네트워크 중단 및 인적 오류에 이르기까지 광범위한 위험에 대한 평가와 계획이 포함됩니다. 그 복잡한 위험 요소들은 물리적 세계와 디지털 세계를 교차합니다.
하지만 규제 준수를 위해 노력하는 해당 조직과 개인정보 보호 팀에게 좋은 소식이 있습니다. 그들이 이미 성숙하고 포괄적인 개인정보 보호 프로그램을 구축하기 위해 기울인 많은 노력이 사이버 보안 규제 준수를 지원하는 데 활용될 수 있다는 것입니다.
예를 들어, NIS2의 위험 평가 요구에 따라 해당 기업은 모든 IT 자산의 목록을 작성해야 합니다. DORA는 금융 분야의 기업에게 동일한 요건을 부여합니다. 개인정보 보호 목적으로 개발된 기존 데이터 맵은 조직이 자산 컬렉션과 직면한 위험을 이해하는 데 있어 유리한 출발점을 제공합니다.
개인정보 보호팀은 NIS2 및 기타 새로운 규제의 사고 처리 요구 사항을 충족하는 데 중요한 역할을 합니다. 예를 들어, 우리는 사고가 보고 기준에 해당하는 시점을 판단하고, 조직이 규제 기관과 대중과 공유해야 하는 데이터를 확보할 수 있도록 관측 팀과 협력하고 있습니다.
복잡성을 더하지 않고 규제 준수 달성하기
기반이 아무리 탄��탄하더라도 NIS2의 요구 사항을 충족하는 데는 새로운 기술적 과제가 수반됩니다. 많은 조직에게 비즈니스 연속성은 웹 애플리케이션의 지속적인 가용성에 달려 있습니다. 이는 네트워크, 전송 및 애플리케이션 계층에서 DDoS 공격으로부터 보호를 의미합니다.
해당 기업들은 그들이 사용하는 타사 애플리케이션의 보안과 스택의 기반이 되는 소프트웨어 공급망에 대해 새로운 수준의 책임도 지게 됩니다. 규제 미준수에 대한 엄격한 처벌이 이루어지면서 피싱 및 맬웨어 공격 방지, 액세스 제어 및 관리, 암호 기술, 암호화, 다단계 인증(MFA)의 적절한 사용 등 사이버 보안의 기본 사항이 그 어느 때보다 중요해지고 있습니다.
그러한 도전 과제를 해결할 수 있는 단일 시스템이나 소프트웨어는 없습니다. 이는 기술, 정책, 절차, 독창성이 한데 결합된 전략의 문제입니다. 하지만 도구는 역시 중요합니다. 변화하는 규제 환경에 적합한 보안 솔루션을 선택하면 조직이 규제 준수를 추구하는 과정에서 복잡성과 비용을 줄일 수 있습니다.
NIS2에 비추어 사이버 보안 솔루션을 평가할 때 물어봐야 할 세 가지 주요 질문은 다음과 같습니다.
이 솔루션이 복잡한 IT 환경을 다룰 수 있을 만큼 다재다능한가? NIS2 규제 준수의 각 측면에 적합한 포인트 솔루션들이 있을 수 있겠지만, 여러 솔루션을 하이브리드 환경에 통합하면 관리가 복잡해지고 보안 격차가 생길 수 있습니다.
가시성 확보를 더 간편하게 만들어주는가? IT 자산을 목록화하고, 잠재적인 보안 문제를 식별하며, 위협을 신속하게 조사하는 것은 NIS2 규제 준수에 필수적입니다. 적절한 보안 플랫폼을 확보하면 필요할 때 가시성과 보고 기능이 제공됩니다.
비즈니스 연속성을 위해 구축되었는가? 웹 애플리케이션의 중단은 필수 서비스를 위협합니다. 공격으로부터 여러 계층의 보호를 통해 웹 다운타임을 줄이는 솔루션을 찾아야 합니다.
보안 및 네트워킹 서비스의 통합 지능형 플랫폼인 Cloudflare의 클라우드 연결성은 조직이 기존 및 새로운 보안 규제를 준수하고 더 큰 복원력을 갖출 수 있도록 지원합니다. 이 플랫폼은 NIS2, DORA, SEC 사이버 보안 규칙의 보고 요건을 충족하는 데 필수적인 보안 사고에 대한 사전 모니터링 및 경고 기능을 제공합니다. Cloudflare 서비스는 조직이 소프트웨어 공급망의 잠재적 취약점을 식별하고, 웹 트래픽에서 민감한 데이터나 악의적인 사용자를 식별하는 데 도움을 줍니다. Cloudflare 제품에는 최첨단 암호화 기능이 기본으로 제공되며, 고객은 액세스 제어, 자산 관리 및 인증을 구성할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
EU에서 NIS2 사이버 보안 위험 관리 의무를 준수하는 방법에 대한 백서에서 NIS2 규제 준수의 엄격한 위험 관리 요건을 충족하는 방법을 자세히 알아보세요.
작성자
Emily Hancock — @emilyhancock
Cloudflare 최고 개인정보 보호 책임자
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
변화하는 규제 속에서 개인정보 보호의 역할
NIS2, DORA, SEC의 사이버 보안 규칙 등의 정책이 복원력을 규제 준수 요건으로 강화한 이유
복잡성을 더하지 않고 규제 준수를 달성하는 방법