'사이버복원력法' 무역장벽 되나…게임기도 미흡시 EU서 퇴출?

/그래픽=이미지투데이

"컴퓨터와 휴대전화, 가전제품, 가상 보조기기, 자동차, 장난감 등 네트워크에 연결된 수억 개의 제품 하나하나가 사이버 공격의 잠재적 진입 포인트이지만 대부분의 하드웨어와 소프트웨어 제품들은 사이버보안 의무가 부과되지 않고 있다. '사이버복원력법'은 '사이버보안 내재화'(Cybersecurity by Design)를 통해 유럽 경제를 보호하고 안보를 강화할 것이다."(티에리 브레튼·Thierry Breton, 유럽연합 내부시장담당 집행위원)

18일 관련 업계에 따르면 EU(유럽연합)가 '디지털 요소'가 있는 제품의 설계·생산 및 수입·유통, 노후화(폐기)에 이르는 제품 전(全) 주기에 걸쳐 사이버보안 위험요소를 최소화하도록 의무화하는 '사이버복원력법'(Cyber Resilience Act) 제정작업이 막바지에 달하고 있다. 사이버복원력법의 적용대상 등이 아직 확정되지 않았지만 대(對) EU 교역에 미칠 영향이 큰 만큼 국내 공산품 수출 기업들이 예의주시할 필요가 있다는 지적이다.


보안위반 제품은 퇴출, 제조·수입·유통사 제재도

임종철 디자이너 /사진=임종철 디자이너

디지털 전환의 본격화, 민간기업 및 공공기관, 일반 가정 내에서의 IoT(사물인터넷) 활용 증가 등 네트워크 구성 복잡도 증가 등에 의해 사이버공격에 대한 취약점이 크게 늘었다. 수년전 국내에서도 주택 주변의 일반 통신 인프라 등의 보안 취약점을 타고 아파트 월패드 해킹을 통해 수많은 가정의 일상생활 장면이 '몰카'(몰래카메라) 형태로 유출되는 사건이 발생해 충격을 안긴 바 있다. 지난해에는 개인정보보호위원회가 시민단체 두 곳과 디지털 기기에 대한 실태조사를 실시한 결과 중국산 가정용 CCTV(2개사, 4개 제품)는 클라우드를 사용할 때 가정 내 영상이 이용자에게 아무런 고지나 설명 없이 중국 등 해외 데이터센터로 전송된 점이 확인됐다.

EU는 "하드웨어·소프트웨어 제품을 통한 사이버공격이 점점 증가하며 2021년 기준 전 세계 사이버범죄로 인한 비용은 5조5000억달러(약 7813조원)에 이를 것"이라고 했다. 또 "제조사는 자사 제품의 보안이 미흡하더라도 평판이 훼손되는 정도의 리스크를 부담하는 데 그치지만 보안 취약에 따른 비용은 주로 소비자들이 부담한다"며 "이 때문에 제조사들이 보안 중심 설계나 보안 업데이트에 투자할 동기가 적다"고 밝혔다.

제품과 관련한 광범위한 취약점이 있음에도 이를 해결하기 위한 보안 업데이트는 불충분한 데다 일관되지도 않고 소비자들도 이같은 문제에 대한 정보와 이해가 부족하다는 것이 EU의 진단이다. 이에 EU는 하드웨어·소프트웨어 제품이 가급적 보안 취약점이 적은 상태로 시장에 출시되도록 하고 제조업체가 제품 수명주기 전반에 걸쳐 보안을 심각하게 고려하도록 강제하는 법안을 내놨다. 이것이 바로 지난해 9월 발의된 '사이버복원력법'이다. EU 이사회가 올 7월 수정안을 채택했고 추후 막바지 협상과 EU의회 본회의 제출 및 표결을 거쳐 법안이 최종 확정될 예정이다.


제조사는 사이버보안 관련 필수 요건을 준수하고 보안 적합성 평가를 수행하며 보안사고가 발생하면 즉각 신고하는 등 의무를 진다. '디지털 요소가 있는 제품'을 수입·유통하는 업체는 보안 적합성 평가를 수행했는지, 사이버보안 관련 규제를 준수하는 제품인지 여부를 확인한 후에만 EU에 해당 제품을 유통시킬 수 있다.

EU는 "규정위반시 시장 감시당국은 사업자에게 위반행위의 중단 및 위반요소 제거, 제품 출시의 중단 또는 제한, 시중 제품의 회수를 명령할 수 있다"며 "위반 기업에 대해서는 벌금을 부과할 수 있다"고 밝혔다.
게임기·장난감에서 산업용 IT기기까지 전부 적용규제 대상인 '디지털 요소가 있는 제품'이란 직·간접적으로 또는 논리적(소프트웨어 방식)·물리적(하드웨어 방식)으로 인터넷 등 네트워크에 연결되는 모든 소프트웨어와 하드웨어 제품을 지칭한다. 의료기기, 항공, 자동차 구성품 등 별도의 EU 법률로 규율되는 제품을 제외한 나머지 모든 디지털 기기들이 '사이버복원력법'의 규제 대상이 될 전망이다.

'사이버복원력법'은 '디지털 요소가 있는 제품'의 3가지 분류를 제시했다. 그 중 가장 낮은 단계가 '기본'(Default) 유형이다. 가정용 로봇이나 스마트 스피커, 장난감, 하드드라이브, 워드 프로세서, 게임기 등 및 가정용 IoT(사물인터넷) 등이 이에 해당한다. 전체 규제대상 품목의 90%가 이에 해당할 것으로 예상됐다.

이외에도 △신원확인 및 접속관리 소프트웨어, 악성 소프트웨어 백신, 가상 민간 네트워크 활용 제품, 원격접속 소프트웨어 등 '중요도가 높은 제품'(클래스 1)과 △운영체제, 산업용 방화벽 및 IoT, 마이크로프로세서 등 '중요도가 매우 높은 제품'(클래스 2)이 있다. 이 중 가장 높은 중요도가 부여된 클래스2 유형의 제품은 3자검증까지 받아야 한다.

물론 적용범위나 관련 기업에 부과되는 의무사항 등에 대해서는 여전히 논의가 진행 중이다. EU는 중소기업에 대한 지원규정을 신설하는 등 이해관계자 의견을 수렴한 수정안을 내놨다. 초안 대비 일부 규제가 완화된 내용도 있지만 화웨이나 ZTE 등 중국기업을 '신뢰성이 의심되는 고위험 판매자'로 지정하고 보다 강화된 규제를 적용하는 내용도 수정안에 담았다.

"韓-EU간 상호인정 기준 등 논의 필요"

이미지투데이

주한 EU 대표부 및 한국무역협회에 따르면 지난해 한국의 전체 수출 EU로의 수출액 비중은 10%로 중국(22.8%), 미국(16.1%)에 이어 세 번째로 높았다. 한국 역시 EU에 수입되는 물품 중 비(非) 유럽권 국가 중에서는 중국·미국에 이어 세 번째 비중을 차지하는 주요 교역국이다.

그만큼 이번 '사이버복원력법'의 세부 내용이 어떻게 정해질지에 따라 한국-EU 교역에 미치는 영향도 상당할 수 있다. 윤주연 KISA(한국인터넷진흥원) 법제연구팀장은 "EU는 적합성 평가·인증 또는 사이버보안 인증을 받은 경우 법적 요구사항(사이버보안 조치)을 충족한 것으로 인정한다"며 "어떤 제품군에 주로 영향을 미칠지 봐야 하고 (한국-EU간) 상호 인정 등이 논의될 필요가 있다"고 했다.

실제 한국-EU간 IT 규제와 관련한 교류는 최근에도 있었다. 지난해 한국이 EU의 '개인정보보호 적정성 결정'을 최종 통과함으로써 EU에서 활동 중인 한국 기업들이 EU 회원국 시민들의 개인정보를 EU에서 별도의 인증절차를 거치지 않고도 한국으로 가져와 처리할 수 있게 된 점이 대표적이다.