이번 주 Health-ISAC®의 Hacking Healthcare®에서는 네트워크 및 정보 보안(NIS) 규정을 개정하는 영국 입법안의 최근 도입을 살펴봅니다. 영국 정부가 이 새로운 법안을 통해 무엇을 달성하고자 하는지, 그리고 이 법안이 의료 분야에 미칠 수 있는 영향을 자세히 살펴보겠습니다.
상기시켜드리자면, 이것은 Hacking Healthcare 블로그의 공개 버전입니다. 심층적인 분석과 의견을 더 알아보려면 H-ISAC의 회원이 되어 이 블로그의 TLP Amber 버전을 받으세요(회원 포털에서 이용 가능).
PDF 버전 :
텍스트 버전:
Hacking Healthcare®에 다시 오신 것을 환영합니다.
영국 네트워크 및 정보 보안(NIS) 규정 개혁안이 의회에 제출되었습니다.
회사 개요
영국이 유럽 연합(EU)에서 탈퇴하기 전, 모든 EU 회원국과 마찬가지로 영국은 일반 데이터 보호 규정(GDPR)과 같은 EU 규정 및 지침을 국내법으로 채택했습니다. 그러나 2020년 EU 탈퇴 이후 영국은 더 이상 EU 정책에 구속되지 않고 사이버 보안 및 개인정보 보호와 같은 문제에 대해 자체적인 방향을 설정해야 했습니다. 이러한 분열의 결과로 영국은 EU 시대의 법률 및 규정을 천천히 개정하는 방향으로 나아갔으며, 종종 EU의 규제 개정에서 영감을 얻기도 했지만 다소 뒤처지기도 했습니다.
영국의 EU 시대 사이버 보안 관련 규정 중 가장 중요한 것 중 하나는 2018년 네트워크 및 정보 시스템 규정(NIS)입니다. 예상대로 영국의 NIS 도입은 다른 EU 회원국들과 매우 유사했습니다. 이 규정은 "디지털 서비스(온라인 마켓플레이스, 온라인 검색 엔진, 클라우드 컴퓨팅 서비스) 및 필수 서비스(교통, 에너지, 수자원, 의료 및 디지털 인프라 서비스) 제공에 필수적인 네트워크 및 정보 시스템의 전반적인 보안 수준(사이버 및 물리적 복원력 모두)을 강화하기 위한 법적 조치를 제공"하는 역할을 했습니다.[I]
EU는 수년 전 NIS 업데이트를 추진했지만, 전체 구현이 진행 중이고 일정이 뒤처져 있는 반면, 영국은 지금에야 NIS 업데이트를 처리하고 있으며, 가장 최근에는 사이버 보안 및 복원력 법안(CSRB)이 의회에 제출되었습니다.[II] 이 법안은 기술 발전과 변화하는 위협 환경에 더 잘 대처하고 첫 번째 버전의 단점을 보완하기 위해 원래 NIS를 재구성할 것입니다.
업데이트하는 이유는 무엇입니까?
위에서 언급했듯이 2018년 이후 많은 변화가 있었습니다. 기술 발전, 변화하는 위협 환경, NIS 첫 번째 버전의 단점, 그리고 영국 정책 초안 작성의 자유로움이 이번 업데이트의 배경이 되었습니다. 구체적으로 이번 업데이트는 다음과 같은 내용을 다룹니다.
- 기술 개발: 데이터 센터, 관리 서비스 제공자, 대규모 부하 컨트롤러의 중요성이 증가하는 것과 같은 기술 개발은 최신 기술을 포함하도록 NIS 규정의 범위를 개정하는 데 동기를 부여했습니다.[iii]
- 진화하는 위협 환경: 과학기술부(DSIT)는 법안 요약에서 “작년에 영국은 유럽에서 가장 많이 표적이 된 국가였다”고 설명하며 “2024년에 영국의 중요 국가 인프라 조직의 95%가 데이터 침해를 경험했다”는 통계를 인용했습니다.[iv] 또한 DSIT는 "위협이 더욱 심화되고 빈번해지고 정교해짐에 따라 우리의 방어력은 상대적으로 약해졌습니다."라고 밝혔습니다.[V]
- NIS의 단점: 2020년에 NIS 규정에 대한 두 번의 사후 구현 검토(PIR)가 수행되었습니다.[바이] 및 2022,[vii] 영국 정부에서 검토했습니다. 이러한 검토 결과, NIS 규정의 몇 가지 단점이 발견되었는데, "조직들이 네트워크 및 정보 시스템의 보안을 보장하기 위한 조치를 취하고 있지만, 개선 속도를 가속화할 필요가 있다"는 점과 NIS가 "규정의 범위 및 제출된 사고 보고서의 수 부족 등 여러 핵심 영역에서 의도한 대로 작동하지 않고 있다"는 점이 포함되었습니다.[viii]
CSRB는 이러한 문제를 어떻게 해결할 것인가?
CSRB의 100페이지 분량에 달하는 개정안을 모두 다루지는 않겠습니다. 특히 많은 개정안이 보건 분야에 반드시 적용되는 것은 아니기 때문입니다. 하지만 DSIT는 CSRB가 세 가지 핵심 축을 중심으로 구축되었다고 설명합니다.
- 확장된 범위: CSRB는 NIS의 범위를 확대하여 "매우 필수적이어서 중단 시 일상생활에 영향을 미칠 수 있는 서비스"를 더 잘 포괄할 것입니다. 데이터 센터, 관리형 서비스 제공업체, 대규모 부하 제어 장치 외에도 가장 흥미로운 추가 사항은 "지정된 필수 공급업체"에 대한 것입니다. 이에 대해서는 아래에서 자세히 설명하겠습니다.
- 효과적인 규제 기관: CSRB는 규제 기관에 새로운 NIS 규정의 채택 및 시행을 보장할 수 있는 더욱 강력한 도구를 제공할 것입니다. 여기에는 새로운 사고 보고 제도, 새로운 정보 공유 메커니즘 및 보호, 그리고 불이행에 대한 새로운 처벌이 포함될 것입니다.
- 회복력 강화: CSRB는 영국 정부가 진화하는 위협과 새롭게 등장하는 단점에 더욱 역동적으로 적응할 수 있도록 하는 도구를 포함할 것입니다. 특히, CSRB는 "더 많은 부문을 범위에 포함시키거나 새로운 보안 및 복원력 요건을 업데이트하고 도입"할 수 있는 2차 입법을 가능하게 하고, 정부에 "영국 국가 안보를 위협하는 임박한 위협에 대응하여 규제 기관 또는 규제 대상 기관이 목표에 맞는 비례적 조치를 취하도록 지시"할 수 있는 새로운 권한을 부여할 것입니다.[ix]
앞으로 경로
CSRB는 하원에 방금 제출되었으며, 법률로 서명되기까지는 아직 시간이 걸릴 것으로 보입니다.
행동 및 분석
**Health-ISAC 멤버십에 포함됨**
[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018
[ii] https://bills.parliament.uk/bills/4035/publications
[iii] 대용량 부하 제어기는 "소비자 가전제품을 원격으로 제어하기 위해 300MW 이상의 전기 부하를 제어하는 조직"으로 정의됩니다.
[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf
[xiii] 이 맥락에서 규제 대상 기관에는 DSIT에 따라 지정된 중요 공급업체가 포함됩니다.
[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf
[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf
[xx] CSRB에 대한 설명서에는 사전 위치 지정 및 랜섬웨어 사고의 예가 나와 있습니다.
- 관련 리소스 및 뉴스
- 매사추세츠주의 한 병원이 사이버 공격 이후 구급차 진입을 거부했습니다.
- 팟캐스트: 필 엥글러트가 의료기기 사이버 보안에 대해 이야기합니다
- 내부자 위협이 다시 고조되고 있다
- '놓쳐버린 기회': RSAC 컨퍼런스에 미국 정부 불참은 심각한 공백을 남겼다
- 건강-ISAC 해킹 헬스케어 3-26-2026
- 건강-ISAC 해킹 헬스케어 3-19-2026
- Health-ISAC 월간 뉴스레터 – 2026년 4월호
- 사후 보고서: Health-ISAC 회복력 강화 훈련 시리즈 2025
- 마이크로소프트 인튠이 스트라이커 사이버 공격에 연루된 것이 왜 우려스러운 일인가
- 텍사스 주지사, 중국산 의료기기에 대한 주 차원의 검토 명령