변화하는 유럽의 사이버 보안 환경
IDC (International Data Corporation)에 따르면 사물 인터넷(IoT) 시장은 2020년까지 1조 달러를 넘어설 것으로 전망된다. 또한 커넥티드 기술에 대한 의존도가 높아짐에 따라 사이버 위협의 잠재력도 급증하고 있다. 실제로 2018 년 McAfee 보고서에 따르면 사이버 범죄로 인한 비용은 현재 전세계 GDP의 약 0.8 % 인 6,000 억 달러에 달했다. 개인, 기업 및 산업 전반에 걸쳐 커넥티드 기술에 대한 의존도가 증가하면서 기존 시장과 신흥 시장 모두에서 IoT 혁신의 보안이 매우 중요해졌다.
“사이버 보안은 특히 유럽 지역에서는 다른 나라보다 더 강력한 조치를 취하는 사람들이 상당히 많습니다.”라고 UL 사이버 보안 개발 책임자 Alexander Koehler가 말했다.
유럽 연합(EU)은 28개의 국가로 구성되어 있으며, 각 국가는 고유한 역사, 경제적 성숙도 수준 및 사이버 보안에 대한 접근 방식을 가지고 있다. 유럽 시장을 타겟으로 하는 IoT 기기 제조 업체들은 국가별로 다양한 요구 사항에 직면할수 밖에 없기 때문에 유럽 연합 전체에 대한 비즈니스를 수행하기가 갈수록 어려워지고 있다.
“수년 간 유럽 기업들은 요구 사항의 통합 또는 유럽 시장 전반에 걸친 규제 장벽을 완화를 요구해 왔습니다. 이로 인해 유럽 연합 위원회(European Commission)는 사이버 공격에 대한 예방, 대응 및 공격에 대한 탄력성을 강화할 수 있는 보다 공식화된 단일 사이버 보안 프레임워크 개발을 시작하게 되었습니다.” 라고 Koehler는 말했다.
유럽 연합 위원회는 “전력망, 자동차 및 교통망, 공장, 금융, 병원, 가정 등을 통제하는 장치를 보호하지 못할 경우 신기술에 대한 소비자 신뢰에 큰 타격을 줄 수 있다”고 밝혔다.
2017 년에 제안되어 올해 통과 될 것으로 예상되는 새로운 ‘사이버 보안법(Cybersecurity Act)’에는 유럽 지역의 IoT 제품에 대한 최초의 자발적인 정보 통신 기술 사이버 보안 인증 프레임 워크 개발이 포함된다. 이 법안은 유럽 연합 네트워크 정보 보호 기구(ENISA;European Union Agency for Network Information Security)를 강화하고 인증 과정에서 기관의 역할을 분담하며, 운영 업무를 포함하도록 기존의 업무 스콥 확장을 포함하고 있다.
업계 협회, 정책 입안자 및 회원국은 현재 이 법안을 검토 중이다. UL은 이러한 논의를 위해 사이버 보안 위험 관리 및 표준 개발에 대한 경험과 글로벌 차원에서 얻은 관점을 바탕으로 시장에 대한 견해를 제공한다. 예를 들어 UL은 「UL 2900-1, 네트워크 연결 제품에 대한 소프트웨어 사이버보안 표준, 파트 1: 일반 요구 사항」을 유럽 연합 집행위원회(European Commission)가 사이버 보안 프레임 워크를 구성하는 방법의 적용 가능한 케이스로 제시하였다. 유럽 기업들은 UL의 자발적 기준에 따라 제품 테스트를 시작했으며 유럽 집행 위원회는 2017 년 9 월 영향 평가에서 이를 기존의 입법 제안과 함께 고려할 해결책으로 언급하였다.
지난 20 년 동안 UL은 금융 서비스와 같은 여러 산업 분야에서 유럽 기업과 파트너 관계를 맺어 제품에 대한 다양한 안전 테스트를 수행하는 것 외에도 사이버 보안 위험을 가장 효과적으로 탐색하는 방법에 대해 조언해왔다.
“유럽 연합의 비즈니스 환경이 사이버 보안법의 제정으로 다시 한번 변화할 것으로 전망되며, UL은 기업들이 새로운 기준을 보다 쉽게 찾고 새로운 위험 프로토콜을 채택할 수 있도록 지원합니다. 시장에 진입하는 제품의 지속적인 흐름과 글로벌 공급망에 의존하는 비즈니스 환경을 감안할 때 유럽의 사이버 보안 수준을 다음 단계로 전환할 시기입니다.”라고 Koehler는 전했다.