The UK Cyber Security and Resilience Bill: A Practitioner's Guide to Legislative Reform, Compliance, and Organisational Readiness

이 논문은 2025 년 11 월 영국 의회에 제출된 '사이버 보안 및 복원력 법안'의 주요 규정, EU NIS2 및 DORA 와의 비교, 제로 트러스트 아키텍처 적용 방안, 그리고 금융·에너지·의료 등 주요 산업별 준수 로드맵과 평가 도구를 포함한 실무자 중심의 종합 분석을 제시합니다.

핵심

🏙️ 비유: "영국이라는 거대한 도시의 안전 강화 프로젝트"

지금까지 영국은 중요한 시설 (병원, 전력, 수도, 인터넷 등) 을 지키는 데 'NIS 규정'이라는 안전 수칙을 따랐습니다. 하지만 해커들이 너무 똑똑해지고 공격이 거세지자, 기존 수칙으로는 부족하다는 결론에 도달했습니다. 그래서 새로운 **'사이버 보안 및 복원력 법안'**이라는 초강력 안전 법전을 만들었습니다.

이 법안의 핵심 내용을 5 가지 비유로 정리해 드립니다.

1. 감시 범위를 넓히다: "우산 밖의 비도 막아라"

• 이전 상황: 예전에는 병원이나 발전소 같은 '핵심 시설'만 감시했습니다. 하지만 이 시설들을 유지보수해주는 **IT 관리 회사 (MSP)**나 데이터 센터는 감시 사각지대에 있었습니다.
• 새로운 법안: 이제 IT 관리 회사, 데이터 센터, 그리고 핵심 시설에 필수적인 부품/서비스를 공급하는 업체까지 모두 감시 대상에 넣었습니다.
• 비유: "성벽 (핵심 시설) 만 지키는 게 아니라, 성벽을 수리하는 장인 (IT 회사) 이나 성벽의 돌을 나르는 트럭 (공급망) 까지 모두 감시해야 한다. 장인이 해킹당하면 성벽도 무너지니까."

2. 신고 속도를 높이다: "불이 났을 때 119 에 24 시간 안에 전화하라"

• 이전 상황: 사고가 나면 72 시간 안에 보고하면 되었는데, 실제로는 많이 보고되지 않았습니다.
• 새로운 법안: 사고 발생 시 24 시간 안에 '초기 신고', **72 시간 안에 '상세 보고서'**를 제출해야 합니다. 그리고 규제 기관과 국가 사이버 보안 센터 (NCSC) 에 동시에 알려야 합니다.
• 비유: "집에 불이 나면 72 시간 뒤에 소방서에 전화하는 게 아니라, 불이 난 순간 (24 시간 내) 에 바로 신고해야 합니다. 그리고 소방서와 경찰 (NCSC) 에 동시에 알려야 합니다. '아직 불이 크지 않아서 괜찮아'라고 생각하면 안 됩니다. 불이 날 가능성이 있어도 즉시 신고해야 합니다."

3. 벌금을 무겁게 하다: "실수하면 회사의 목숨을 건다"

• 이전 상황: 벌금이 상대적으로 가볍거나 복잡했습니다.
• 새로운 법안: 위반 시 최대 1,700 만 파운드 (약 300 억 원) 또는 전 세계 매출의 4% 중 더 큰 금액을 벌금으로 내야 합니다.
• 비유: "안전 수칙을 어기면 '과태료'가 아니라 **회사의 통장 잔고를 다 털어가는 '징벌적 벌금'**을 물게 됩니다. 이는 회사가 보안에 투자하지 않으면 도저히 생존할 수 없게 만든다는 뜻입니다."

4. 공급망의 약점을 차단하다: "나쁜 부품이 들어오면 차를 멈춰라"

• 새로운 법안: 핵심 시설에 필수적인 공급업체를 **'지정된 핵심 공급자 (DCS)'**로 선정하여 직접 규제합니다. 만약 이 공급자가 해킹당하면 전체 시스템이 마비될 수 있기 때문입니다.
• 비유: "자동차 회사 (핵심 시설) 가 브레이크를 만드는 공장 (공급자) 에 문제가 생기면 차가 멈춥니다. 이제 정부는 브레이크 공장까지 직접 검사하고, 그 공장이 안전하지 않으면 즉시 조치를 취할 수 있습니다."

5. '제로 트러스트 (Zero Trust)' 철학: "아무도 믿지 마라"

• 핵심 개념: 법안은 "누구든 믿지 말고, 항상 확인하라"는 제로 트러스트 방식을 권장합니다.
• 비유: "회사 건물에 들어갈 때, '아는 사람'이라고 해서 문만 열어주는 게 아니라, 누구든 관계없이 매번 신분증을 확인하고 (인증), 필요한 곳만 열어주고 (최소 권한), 내부에서도 구역마다 문이 잠겨있어야 (마이크로 세분화) 합니다. 한 명이 해커가 되어도 전체 건물을 털 수 없게 만드는 것입니다."

---

💡 이 법안이 왜 중요한가요? (실무자를 위한 요약)

이 논문은 기업들에게 다음과 같은 실천 명령을 내립니다:

1. 지금 당장 준비하세요: 법이 완전히 통과되기 전에 준비해야 합니다. "나중에 해도 돼"라고 생각하면 큰 벌금을 물게 됩니다.
2. 보안 지도를 그려라: 우리 회사가 어떤 시스템을 쓰고, 어떤 외부 업체에 의존하는지 (공급망) 를 완벽하게 파악해야 합니다.
3. 보안 테스트를 해라: 해커가 공격했을 때 어떻게 대응할지, 24 시간 안에 신고할 수 있는지 **연습 (테이블톱 연습)**을 해야 합니다.
4. 이사회에 알려라: 보안은 IT 부서의 문제가 아니라, 회사의 생존을 좌우하는 최고 경영진 (이사회) 의 문제입니다.

🎯 결론

이 법안은 **"해커가 더 똑똑해졌으니, 우리도 더 똑똑하고 단단하게 변해야 한다"**는 국가의 선언입니다.

• 과거: "해킹당하면 미안하게도 보고할게요."
• 미래: "해킹당하지 않도록 미리 막고, 만약 뚫리면 24 시간 안에 신고하고, 막지 못하면 막대한 벌금을 내세요."

이 논문은 이 새로운 시대에 살아남기 위해 기업들이 어떻게 보안 체계를 재설계하고 준비해야 하는지에 대한 완벽한 길라잡이입니다.

기술 요약

논문 요약: 영국 사이버 보안 및 복원력 법안 (CS&R Bill) 에 대한 실무자 가이드

1. 문제 정의 (Problem)

영국은 2025 년 9 월까지 기록된 204 건의 국가적 중요 사이버 공격 (전년 대비 2 배 증가) 과 연간 약 1,500 억 파운드의 경제적 손실이라는 전례 없는 사이버 위협에 직면해 있습니다. 기존 2018 년 네트워크 및 정보 시스템 (NIS) 규정은 다음과 같은 근본적인 한계로 인해 이러한 위협에 효과적으로 대응하지 못했습니다.

• 규정 범위 부족: 관리형 서비스 제공자 (MSP), 데이터 센터, 핵심 공급망 업체가 규제 대상에서 제외되어 있어, 이들의 침해가 핵심 인프라 전체로 확산되는 '연쇄 효과 (Cascade Effect)'를 막지 못했습니다.
• 부적절한 보고 체계: 사고 보고가 자발적이거나 불완전하여 국가적 위협 상황을 정확히 파악하기 어려웠습니다.
• 입법적 경직성: 기존 규정이 유럽 공동체 법 (재폐지됨) 하에 제정되어, 신속한 규제 업데이트를 위한 위임 입법 권한이 부재했습니다.

2. 방법론 (Methodology)

이 논문은 2025 년 11 월 영국 의회에 제출된 '사이버 보안 및 복원력 (NIS) 법안'의 조항을 실무적 관점에서 분석하고, 조직의 준수 (Compliance) 를 위한 구체적인 로드맵을 제시합니다.

• 법적 비교 분석: EU 의 NIS2 지령 및 DORA(디지털 운영 복원력 법) 와 UK 법안을 비교하여 규제 간 차이점과 중복성을 규명했습니다.
• 기술적 프레임워크 매핑: 법안의 요구사항을 충족하기 위한 기술적 기반으로 제로 트러스트 아키텍처 (Zero Trust Architecture, ZTA) 원칙을 제시하고, 이를 NCSC 의 사이버 평가 프레임워크 (CAF) v4.0의 4 가지 목표 및 14 가지 원칙과 매핑했습니다.
• 실무 가이드 개발: 금융, 에너지, 의료, MSP 등 산업별 맞춤형 준수 로드맵과 격차 분석 (Gap Analysis) 도구를 개발했습니다.
• 사례 연구 적용: Advanced Software, Capita, M&S, JLR 등 실제 발생한 주요 사이버 공격 사례를 법안 조항에 대입하여 기존 규정의 실패와 새로운 법안의 대응 방안을 분석했습니다.

3. 주요 기여 (Key Contributions)

이 논문은 다음과 같은 실질적인 기여를 제공합니다.

• 규정 범위 확대 및 새로운 규제 대상 정의:
  • RMSP(관련 관리형 서비스 제공자): 50 명 이상 또는 연매출 1000 만 파운드 이상의 IT 관리 업체를 규제 대상에 포함 (ICO 감독).
  • 데이터 센터: 국가 핵심 인프라로 지정하여 규제.
  • DCS(지정 핵심 공급업체): 핵심 서비스 제공에 필수적인 제 3 자 공급업체를 지정하여 직접적인 보안 의무 부과.
• 강화된 사고 보고 체계:
  • 기존 유연한 72 시간 보고를 **24 시간 (초기 경고) + 72 시간 (상세 보고서)**의 의무적 2 단계 프로세스로 변경.
  • 규제 기관과 NCSC 에 동시 보고, 피해 고객 알림 의무화.
  • '실제 피해 발생'뿐만 아니라 '심각한 영향 가능성' (랜섬웨어 감염 전조, 사전 배치 등) 도 보고 대상에 포함.
• 강력한 제재 및 집행 구조:
  • 중대 위반 시 최대 1,700 만 파운드 또는 전 세계 매출의 4% (높은 금액 적용).
  • 지속적 불이행 시 일일 10 만 파운드 벌금 부과.
  • 국무장관 (Secretary of State) 의 비상 지시 권한 및 전략적 우선순위 설정 권한 강화.
• 이중 준수 (Dual-Compliance) 프레임워크 제안:
  • EU 시장 진출 금융 기관을 위해 DORA 와 UK CS&R 법안을 동시에 준수하기 위한 4 단계 통합 전략 (통합 제어, 이중 보고, 통합 제 3 자 위험 관리, 통합 거버넌스) 을 제시.
• 기술적 준수 기반 (Zero Trust & CAF):
  • 제로 트러스트 원칙 (지속적 인증, 최소 권한, 마이크로 세그멘테이션) 이 법안의 요구사항 (공급망 리스크 관리, 복원력) 을 어떻게 충족시키는지 기술적으로 설명.
  • NCSC CAF v4.0 을 준수 평가의 핵심 도구로 활용하는 방법론 제시.

4. 결과 (Results)

• 규제 환경의 변화: MSP 와 공급망 업체가 직접적인 규제 대상이 됨으로써, 단일 공급자의 침해가 여러 핵심 인프라 (NHS, 에너지 등) 로 확산되는 것을 방지하는 구조적 개선이 이루어짐.
• 준수 로드맵의 구체화: 조직 유형 (OES, RMSP, DCS) 별 0~18 개월 이상의 단계별 실행 계획 (Board 승인, 격차 분석, 기술적 통제 강화, 훈련 등) 이 제시됨.
• 기술적 매핑 성공: 제로 트러스트 아키텍처가 CAF v4.0 의 41 가지 성과 지표 (Contributing Outcomes) 와 어떻게 연결되는지 명확히 매핑되어, 기술적 구현이 규제 준수 증거로 활용될 수 있음을 입증.
• 금융 서비스 대응: DORA 의 더 엄격한 기준을 UK 법안 준수 기준의 베이스라인으로 삼아, 두 법안을 동시에 충족하는 효율적인 전략이 제시됨.

5. 의의 (Significance)

• 실무자 중심의 가이드: 단순한 법조문 해석을 넘어, CISO, 이사회, 준수 담당자가 즉시 실행 가능한 체크리스트, 사례 연구, 격차 분석 도구를 제공하여 조직의 준비도를 높임.
• 선제적 대응의 중요성 강조: 법안이 의회를 통과하기 전이라도 규제 방향이 명확하므로, Royal Assent(왕실 승인) 를 기다리지 않고 즉시 준비해야 함을 강조.
• 공급망 보안의 패러다임 전환: 단순한 계약적 관리에서 벗어나, 핵심 공급업체를 직접 규제하고 '연쇄 효과'를 차단하는 새로운 거버넌스 모델을 제시.
• 글로벌 표준과의 조화: EU 의 NIS2 및 DORA 와의 비교를 통해 UK 의 독자적인 접근 방식과 국제적 조화 필요성을 동시에 제시하며, 향후 UK 사이버 보안 법제의 방향성을 예측하게 함.

이 논문은 영국 사이버 보안 생태계가 기존 NIS 규정의 한계를 극복하고, 더 강력하고 유연하며 기술적으로 정교한 새로운 규제 체제 (CS&R Bill) 로 전환하는 과정에서 조직이 취해야 할 전략적, 기술적, 운영적 조치를 체계적으로 정리한 핵심 자료입니다.