Security

유럽연합의 사이버보안법 개정안: 공급망, ENISA, 독자 인증

문가용 기자

Published: 11:30, 22 Jan 2026 (Updated: 10:31, 04 Feb 2026)

💡

Editor's Pick
- EU, 2019년의 사이버보안법 강화 시도 시작
- ENISA의 역할 강화하고 인증 체계 마련에 속도 붙여
- 단일 제품과 서비스를 넘어 공급망까지 확인하겠다는 내용

유럽연합 집행위원회가 기존 사이버보안법을 강화하기 위한 절차를 밟기 시작했다. 기존 법 조문을 유지하면서 새로운 내용을 덧붙이겠다는 것으로, 현재까지 개정안의 초안이 나와 제안서까지 접수한 상태다. 이 초안을 유럽연합 이사회와 유럽의회가 검토한 후 그 다음 과정들이 진행될 예정이다. 실질적 효력을 발휘하기까지 아직 한참 남았지만, 사이버 보안 강화에 대한 유럽 대륙의 ‘로드맵’을 미리 보는 것은 가능하다.

기존의 사이버보안법

이번에 집행위원회가 강화하겠다고 한 기존 사이버보안법은 ‘유럽연합 사이버보안법(EU Cybersecurity Act)’을 의미한다. 유럽연합 전체에 통용되며, 모든 회원국에 직접 적용된다. 2019년 4월 17일 유럽의회와 이사회가 승인했고, 그해 6월 27일부터 공식 발효됐다. 다만 일부 조항의 경우 2021년 6월 28일부터 효력을 발휘하기 시작했다.

이 사이버보안법의 핵심은 유럽연합사이버보안청(ENISA)을 공식 영구 기관으로 지정한 것이다. 그러면서 자연스레 역할과 권한도 추가로 부여했다. 이 때부터 유럽연합사이버보안청은 회원국과 유럽연합 전체 사이버 위협을 분석할 권한을 갖게 됐고, 그런 역할에 맞는 지원을 받을 수 있게 됐다. 또한 인증 프레임워크를 운영하기 시작했고, 사고 관련 정보를 공유하는 체제를 촉진 및 강화시키는 역할을 담당했다. 유럽연합 전체를 하나의 회사로 보자면, CISO를 공식 임명하고 높은 권한을 준 것과 같다.

또 중요한 건 유럽연합 차원의 새 보안 인증 프레임워크를 도입한 것이다. ICT 제품과 서비스에 해당하는 것으로, 유럽연합은 이 프레임워크를 기반으로 다양한 인증 제도를 마련할 수 있었다. 이 프레임워크가 등장하기 전에는 유럽연합 차원의 통합된 사이버 보안 인증 체계가 없었다. 유럽연합 내 회원국들이 알아서 인증 제도를 마련해 운영해 왔었다. 그러니 독일에서는 판매가 가능했던 제품이 프랑스에서는 판매가 되지 않거나 인증을 또 다시 받아야 하는 어려움이 존재했다. 사이버보안법 이후 ICT 제품과 서비스가 국경을 보다 쉽게 넘을 수 있게 됐다.

정리하자면 2019년부터 유럽연합은 사이버보안법을 시행하기 시작하면서 유럽연합 전체에 통용되는 중앙 보안 전담 기관 하나와, 공통의 인증 제도를 하나 얻었다고 볼 수 있다. 이 둘을 중심으로 유럽연합의 고유한 보안 환경을 구축하겠다는 게 유럽연합의 의도였다는 것으로, 이번 개정안에도 이러한 개념 자체는 유지된다.

개정안, 뭐가 추가되나?

이번 개정안에서 가장 눈에 띄는 건 ‘ICT 공급망 보안 프레임워크’다. 이건 기존 사이버보안법에는 없던 내용이다. 유럽연합 차원의 ICT 공급망 보안을 위한 프레임워크를 새롭게 만들겠다는 것으로, 기존의 사이버보안법이 ICT 제품과 서비스에 대한 보안을 강화하는 것이었다면 이번에는 공급자와 국가적 리스크, 지정학적 위협까지도 고려하겠다는 의도를 담고 있다. ‘어떤 제품이 안전한가’를 확인하는 것을 넘어 ‘누가 왜 누구에게 공급하는가’까지도 살피겠다는 게 유럽연합 전체의 움직임이라고 할 수 있다.

고위험군으로 분류된 제3국의 공급자를 배제하겠다는 내용도 이번 개정안에 추가됐다. 역시 전에 없던 내용이다. 이는 특히 통신 산업에 우선적으로 적용될 예정이다. 수년 전 중국 통신 장비 기업 화웨이가 여러 국가들의 통신망에서 서서히 배제되던 것을 떠올리면 이해하기가 쉽다. 유럽연합이 이번에는 유럽연합 차원에서 이와 비슷한 조치를 취하겠다고 선언한 것과 같다. 물론 화웨이를 지목한 건 아니고, 중국만을 염두에 둔 것도 아니다.

기존 사이버보안법의 핵심 중 하나였던 보안 인증 프레임워크(ECCF)의 경우 이번 개정안을 통해 한층 강화될 전망이다. ECCF는 ‘유럽연합 전체에 통용되는 인증 체계를 개발하는 밑바탕’이 되어야 했고, 실제 그런 역할을 해왔는데, “새 인증 체계 개발 속도가 너무 느리다”는 피드백이 꾸준히 있어 왔다. 이번 개정안을 통해 새로운 인증 체계 개발 속도를 ‘12개월 이내’로 한정했다. 또한 인증 개발 시 참여하는 관계자들을 보다 다양한 계층에서 모집할 예정이라고 하는데, 이는 기술과 산업 변화에 더 민첩하게 대응하려는 것으로 해석된다.

유럽연합사이버보안청의 역할에도 약간의 변화가 생긴다. 기존에는 유럽연합 전체의 CISO로서 분석하고 자문하고 지원하는 것이 주 역할이었는데, 개정안을 통해 운영과 조정까지 담당하게 됐다. 사고 신고의 단일 창구로서 운영되고, 랜섬웨어 대응에 있어 실무까지 지원하며, 취약점 관리 서비스를 제공한다. 위에서 언급한 인증 체계 사업도 여기서 주도할 예정이다. 유럽 전체의 사이버 보안 컨트롤타워로서의 지위를 확고히 하겠다는 것으로 풀이된다.

브뤼셀 효과

유럽연합 내에서의 움직임은, 유럽이라는 대륙에만 한정적으로 영향을 미치지 않는다. 유럽연합에서 설정했을 뿐인데, 이상하게 전 세계적인 표준으로서 굳어지는 일이 빈번하다. 이를 ‘브뤼셀 효과’라고 부르기도 한다. 가장 최근에는 유럽연합의 개인정보 보호법인 GDPR이 이 효과를 극명하게 드러냈다. GDPR이 도입된 이후 전 세계 수많은 국가에서 비슷한 조치들이 발의돼 시행되기 시작했고, 지금까지도 꾸준히 진행되는 중이다.

기존 사이버보안법도 비슷했다. 유럽연합이라는 시장에 진출하려면 무시할 수 없는 규정이었고, 따라서 수많은 국가들이 비슷한 수준의 규제를 도입했거나 도입 중에 있다. ‘유럽연합에서 요구하는 보안 수준을 맞춰야 경쟁력을 갖출 수 있다’는 분위기가 팽배한 것이다. 따라서 공급망까지도 검사하겠고, 독자 인증 체계를 더 빠르게 수립하겠으며, 사이버보안청의 역할을 확장하겠다는 이번 개정안 역시 ‘글로벌 트렌드’가 될 가능성이 높다. 유럽연합으로 진출하려는 기업들을 필두로 공급망의 안전까지 확보하고 유럽연합의 인증 체계에 대해 연구, 분석하려는 시도가 이어질 전망이다.

한국의 경우 GDPR 이후 빠르게 데이터 보호법을 정비했었고, 유럽에서 주도하고 있는 각종 규제에 제법 민감하게 반응하는 편이다. 이번 사이버보안법 개정안에 대해서도 발 빠른 대처를 할 것이 예상된다. 지난 해 5월 서울에서 열린 ‘제7차 한-EU 사이버대화’를 통해 양 지역의 사이버 안보를 진지하게 논한 것처럼, 앞으로도 공동의 전략을 적극 모색할 것으로 보인다. 협의의 채널은 충분하다는 의미다.

다만 유럽연합의 사이버보안법과 비슷한 성격의 제도를 아직 한국은 갖추고 있지 못하다. 국가 전체의 사이버 보안을 담당할 단일 컨트롤타워(유럽연합사이버보안청과 같은)도 없고, 한국의 보안 인증 체계를 발 빠르게 수립하기 위한 프레임워크도 존재하지 않는다. 단, 비슷한 효과를 내는 제조들이 여기 저기 흩어진 채 존재하고 있기는 하다. ‘하나의 중앙 기관을 두고, 고유의 인증 체계를 마련한다’는 유럽연합의 접근법이 한국에도 적용되어야 할지에 대해서는 더 고민이 필요하다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)