사이버 공격으로부터 영국의 회복력을 강화하기 위한 새로운 법률이 제안

2022년 1월 19일

정부는 영국 기업의 사이버 보안을 강화하기 위한 새로운 방안을 협의하고 있다.

new-laws-proposed-to-strengthen-the-uks-resilience-from-cyber-attack

• 필수적인 디지털 서비스를 제공하는 더 많은 기업들은 엄격한 사이버 보안 의무를 준수해야 하며, 규정 미준수에 대해서는 많은 벌금을 물어야 한다.
• 다른 입법안에는 향상된 사고 보고와 사이버 보안 분야의 기준을 향상시키는 것이 포함된다.

거의 모든 영국 기업이 사용하는 아웃소싱 IT 서비스의 보안 표준을 높이기 위해 새로운 법이 필요하다고 정부는 말한다.

오늘날 발표되고 있는 다른 제안들로는 조직들이 사이버 보안 사고를 보고하는 방법을 개선하는 것과 그것이 더 유연하고 기술 변화의 속도에 반응할 수 있도록 법률을 개혁하는 것을 포함한다.

사이버 보안 분야를 규제하는 영국의 사이버 보안 위원회도 사이버 보안에 종사하는 사람들이 온라인상에서 기업을 보호하기 위해 적절히 장비를 갖추고 있다는 것을 증명할 수 있도록 기준을 높이고 합의된 자격과 자격증을 만들 권한이 필요하다.

이 계획은 최근 솔라윈드와 마이크로소프트 Exchange 서버s에 대한 사이버 공격과 같은 세간의 이목을 끄는 사이버 사건에 따른 것으로, 기업들이 사용하는 제3자 제품과 서비스의 취약성이 사이버 범죄자와 적대 국가에 의해 악용되어 수십만 개의 조직에 동시에 영향을 미칠 수 있다는 것을 보여준다.

그들은 또한 미국의 콜로니얼 파이프라인 공격과 같은 중요한 국가 기반 시설의 일부를 포함한 기관에 대한 랜섬웨어 위협의 증가를 따른다.

줄리아 로페즈 미디어, 데이터, 디지털 인프라 담당 국무장관은 다음과 같이 말했다.

사이버 공격은 범죄자나 적대국들이 기업의 디지털 공급망의 취약점을 냉소적으로 악용하고, 고정되거나 패치될 수 있는 아웃소싱된 IT 서비스 때문에 가능해지는 경우가 많다.

우리가 오늘 발표할 계획은 사이버 위협으로부터 필수적인 서비스와 우리의 더 넓은 경제를 보호하는데 도움이 될 것이다.

우리가 온라인상에서 사람들을 성장시키고, 혁신하고, 보호하기 위해 노력하는 동안 모든 영국 조직은 그들의 사이버 복원력을 진지하게 받아들여야 한다. 그것은 선택적인 선택권이 아니다.

영국을 더욱 안전하게 만들고 정부가 새로운 입법을 통해 26억 파운드의 새로운 국가 사이버 전략의 일환으로 위험에 처한 기업의 사이버 복원력을 향상시키기 위한 보다 강력한 접근법을 취하기 위해 목표로 하고 있는 이러한 유형의 공격을 방지하는 것을 돕기 위해 제정하였다

NIS 규정 업데이트

 

물·에너지·교통·헬스케어·디지털 인프라 등 필수 서비스를 제공하는 기업의 사이버 보안을 개선하기 위해 2018년부터 네트워크·정보시스템(NIS) 규제가 시행됐다. 효과적인 사이버 보안 조치를 시행하지 못한 조직들은 1700만 파운드 정도의 벌금을 물 수 있다.

정부는 국정원 규정을 개정하고, 그 범위를 온라인과 디지털 서비스를 전문적으로 제공하는 MSP(Managed Service Provider)로 확대하고자 한다. MSP는 보안 서비스, 직장 서비스, IT 아웃소싱을 포함한다. 이 회사들은 한국의 1506억 파운드의 디지털 부문의 성장을 촉진하는 데 매우 중요하며 고객의 네트워크와 시스템에 대한 특권을 가지고 있다.

국정원 규제는 필수 서비스 제공업체들이 위험도 평가에 착수하고 네트워크를 보호하기 위한 합리적이고 비례적인 보안 조치를 시행하도록 하고 있다. 그들은 중요한 사건들을 보고하고 그것들로부터 빨리 회복될 수 있도록 계획을 세워야 한다.

규제가 온라인 마켓플레이스, 온라인 검색엔진, 클라우드 컴퓨팅 등 일부 디지털 서비스에 적용되는 반면, 정보 저장, 데이터 처리, 소프트웨어 실행 등 기업 요구를 제공하기 위한 디지털 서비스의 이용과 의존도가 증가하고 있다.

디지털, 문화, 미디어 및 스포츠 부서에 의한 연구에 따르면, 12%의 조직만이 그들의 직접적인 공급자들로부터 오는 사이버 보안 위험을 검토하며, 20개 회사 중 1개(5%)만이 그들의 더 넓은 공급망의 취약점을 다루고 있다.

정부는 오늘 다음과 같은 제안을 포함한 국정원 규정 개정 협의에 착수한다.

• '국정원 규정'의 범위를 확대하여 관리형 서비스를 포함시킨다. 이들은 일반적으로 다른 조직을 대신하여 IT 서비스를 관리하는 회사에 의해 제공된다.
• 대기업이 Ofcom, Ofgem, ICO와 같은 규제기관에 더 나은 사이버 사고 보고를 제공할 것을 요구하며, 여기에는 서비스에 영향을 미치는 공격뿐만 아니라 그들이 받는 모든 사이버 보안 공격에 대해 규제기관에 통지해야 하는 요건이 포함된다.
• 정부가 국정원 규제를 갱신하여 미래를 대비할 수 있는 능력을 부여하고, 필요하다면 향후 필수 서비스에 중요한 지원을 제공하는 더 많은 조직을 참여시키십시오.
• 규제기관이 국정원 규제 시행에 드는 모든 관련 비용을 납세자로부터 입법에 의해 적용되는 조직으로 이전하여 보다 유연한 재정 체계를 만들고 납세자의 부담을 줄인다.
• 규제 체제를 업데이트하여 경제에서 가장 중요한 디지털 서비스 제공업체가 NIS 규정을 ICO로 따르고 있음을 사전에 입증해야 하며, 나머지 디지털 제공업체와 함께 보다 가벼운 접근을 해야 한다.

이안 레비 NCSC 기술국장은 다음과 같이 말했다.

나는 영국의 전반적인 사이버 보안 회복력을 향상시키는데 도움이 될 NIS 규정에 대한 제안된 업데이트를 환영한다.

이러한 조치를 통해 사이버 보안 위험이 조직과 조직이 의존하는 조직에 의해 적절하게 관리되도록 보장할 수 있다.

사이버 보안 전문가 역량 강화

 

사이버 보안은 이미 수백 개의 성공적인 사이버 스타트업과 100개 이상의 기술 '유니콘'을 보유하고 있는 영국의 호황하는 기술 분야의 핵심 분야로, 10억 파운드 이상의 가치가 있는 기업들이다. 더 많은 사람들이 사이버 직업에 끌어들임에 따라, 기업은 어떤 기술을 찾아야 하는지, 그리고 구직자가 그러한 기술을 가지고 있는지 그리고 필요한 자격이나 경험을 가지고 있는지 아는 것이 어려울 수 있다.

지난 3월 정부는 사이버 인력을 이끌 새로운 독립기구인 영국사이버안전보장협의회를 설립하고 자금을 지원, 이를 공학 등 기성직종과 어깨를 나란히 했다.

오늘날의 제안은 위원회가 사이버 직함을 정의하고 인식하고 이를 기존의 자격과 인증과 연계할 수 있는 능력을 부여할 것이다. 사람들은 사이버 보안의 전문성 범위에 걸친 특정 직책을 이용하기 전에 위원회가 정한 역량 기준을 충족해야 할 것이다.

이를 통해 고용주는 진입과 진전에 불필요한 장벽을 제공하지 않고도 조직에서 필요로 하는 특정 사이버 기술을 쉽게 파악하고 기존 실무자는 물론 청년들의 진로에 대한 보다 명확한 정보를 만들 수 있을 것이다.

제안사항에는 의료 및 법조계에 존재하는 것과 유사한 실무자 등록부를 신설하고 윤리적, 적합성 있는 자격 또는 상급자로 인정되는 실무자를 선정하는 것이 포함된다.

사이먼 헵번 영국 사이버안전보장 이사회 CEO는 다음과 같이 말했다.

영국 사이버보안위원회는 이러한 제안들이 사이버 직업의 역할을 정의하고 인식하며 이들을 기존 인증과 자격에 매핑하는 데 도움이 될 우리의 사이버 인력진의 주도적 역할을 인식하게 된 것을 기쁘게 생각한다.

우리는 이 중요한 정부 협의에 참여하고 기여하기를 기대하며 모든 주요 이해관계자들이 참여하도록 격려할 것이다.

원본출처 : gov.uk

'new-laws-proposed-to-strengthen-the-uks-resilience-from-cyber-attack'

 

위 아티클은 아래 카뷰에도 게시할 예정입니다. 친추 하셔서 보시면 카뷰에서도 이용가능합니다.

http://pf.kakao.com/_adcxnb

​* 카뷰 맞추 필요하신 분 친추 후 댓글에 친추 번호랑 링크 남겨주시면 맞추할께요

더 많은 에피소드를 원하시면 아래 link로 방문해 보셔도 좋을꺼 같습니다.

Bb7942의 쉽터_함께 성장합시다.