[보안뉴스 김형근 기자] 영국 정부가 공공 서비스의 사이버 방어력을 강화하기 위해 더 엄격한 법규를 추진한다. 이는 최근 발생한 일련의 심각한 사이버 공격 사건에 따른 조치이다.

지난 2024년 해커들은 국방부 급여 시스템을 침해했으며, 이어서 국민보건서비스(NHS)가 침해당해 1만1000건 이상의 진료 및 시술이 중단되는 피해가 발생했다.

올해 들어서도 막스앤스펜서, 재규어 랜드 로버 등 주요 민간 기업들도 사이버 공격으로 인해 서비스가 마비되는 피해를 겪었다.


잇따른 공격에 강력 대응… 규제 대상 확대 및 “명확한 보안 의무” 부과
이번 법규 개정안은 공공 및 민간 부문 모두에 서비스를 제공하는 중견 및 대기업을 규제 대상으로 포함한다.

특히 IT 관리, 헬프데스크 지원, 사이버 보안 등의 서비스를 제공하는 기업들이 해당된다. 과학혁신기술부(DSIT)는 “이들 기업이 정부, 국가 중요 인프라, 기업 네트워크 전반에 걸쳐 신뢰할 수 있는 접근 권한을 가지고 있기 때문에 명확한 보안 의무를 충족해야 한다"고 밝혔다.

중요 사고 보고 의무 및 몸값 지불 금지
제안된 법안에는 다음과 같은 핵심 의무가 포함된다. 첫째는 사고 보고 의무로 기업들은 중대하거나 잠재적으로 중대한 사이버 사고가 발생했을 경우 정부와 고객 모두에게 즉시 보고해야 한다.

다음은 강화된 관리 및 처벌로 규제 당국은 필수 서비스에 대한 ‘중요 공급업체’를 지정할 수 있는 새로운 권한을 가지며, 심각한 위반에 대해서는 더 강력한 처벌을 부과할 예정이다.

랜섬웨어 대책도 있다. NHS, 지방 의회, 학교 등 공공 부문 기관과 국가 중요 인프라 운영자들이 사이버 범죄자에게 몸값(ransom) 지불 요구에 응하는 것을 금지하는 방안도 마련했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>