NIS2란 무엇일까요?

NIS2 지침은 사이버 보안과 관련하여 EU 전 지역을 아우르는 법안을 제공합니다. NIS2는 이전 NIS(Network and Information Security) 지침에 대한 업데이트입니다. 이 지침의 목표는 유럽 연합 회원국 전체에 공통의 사이버 보안 수준을 구축하는 것입니다. NIS2는 GDPR(General Data Protection Regulation)과 마찬가지로 디지털 인프라를 보호하기 위한 EU 회원국 전반의 조치와 접근 방식, 즉 증가하는 사이버 공격에 대처하기 위한 모범 사례를 조율하는 데 중점을 두고 있습니다.

랜섬웨어와 데이터 유출 같은 사이버 공격이 EU 전역의 기업과 비즈니스에 점점 더 큰 영향을 미치고 있습니다. ENISA(European Union Agency for Cybersecurity) 는 위협 환경에 대한 보고서를 발표하고, 새로운 형태의 피싱과 제로데이 악용이 실질적으로 EU 전역의 기업을 공격하는 데 사용되고 있다고 경고했습니다. 애플리케이션의 범위가 넓어지면서 NIS2는 에너지, 리테일, 운송, 은행, 보건, 공공 행정 등과 같은 중요 부문에서 '필수적이고 중요한 기관'의 사이버 보안을 개선하는 것을 목표로 합니다. 이 지침은 국경을 넘는 공급망과 서비스 벤더사의 보안도 다룹니다.

NIS2는 2023년 1월 16일에 발효되었고, EU 회원국은 2024년 10월 17일까지 NIS2를 국내법으로 전환해야 합니다.

NIS2는 시스템과 데이터에 대한 리스크를 줄이고 사이버 보안 피해를 방지하기 위해 총체적이고 엄격한 보안 제어를 시행하도록 하고 있습니다. 해당 요건은 랜섬웨어, 피싱, 무단 접속으로부터 IT 환경을 보호하는 등 다양한 IT 시스템과 리소스에 적용됩니다.

Akamai 보안 솔루션은 인텔리전스와 엔드투엔드 보호 기능을 제공함으로써 중요 인프라 OT(Operational Technology) 및 IT 시스템과 데이터를 유출, 보안 인시던트, 멀웨어 감염, 우발적인 데이터 유출로부터 보호합니다. Akamai 보안 플랫폼은 제로 트러스트 원칙을 기업 전반의 데이터 보호에 적용하는 데 필요한 동적 보안을 제공합니다.

Akamai는 기존의 엔드포인트 탐지를 넘어 데이터 보안과 데이터 개인정보 보호를 위한 강력한 제로 트러스트 솔루션을 제공하여 보안 팀의 보안 투자 효과와 ROI를 극대화할 수 있도록 지원합니다.

Akamai는 다음을 제공합니다.

• IT, IoT, OT 환경에 대한 포괄적인 커버리지로 제로 트러스트 보안을 적용하는 글로벌 보안 플랫폼
• 자산, 접속, 네트워크 흐름에 대한 심층적인 가시성
• 보안 정책의 세분화된 적용

NIS2 지침 제21조는 대상 기관이 ‘적절하고 비례적인 기술 및 조직적 조치’를 사용해 사이버 리스크를 관리해야 한다고 강조합니다. 조치에는 다음이 포함됩니다.

• 리스크 분석 및 정보 보안 정책
• 철저한 인시던트 처리
• 비즈니스 연속성 및 위기 관리
• 강력한 공급망 보안
• 광범위한 네트워크 보안
• 취약점 처리 및 공개
• 사이버 보안 리스크 관리의 효율성을 평가하는 정책 및 절차
• 암호 및 암호화 사용
• 다단계 인증 사용

NIS2는 ‘경제와 사회 전반에서 중요한 기능을 수행하는 내부 시장의 모든 공공 및 민간 단체’를 포함하여 ‘적절한 사이버 보안 조치를 취해야 하는’ EU 내 모든 기업에 적용됩니다.

NIS2 지침은 ‘대상 단체’를 EE(Essential Entity)과 IE(Important Entity)의 두 종류로 나눕니다. 이중 EE에 해당하는 단체에는 컴플라이언스와 관련하여 정보 시스템 전반의 컴플라이언스 모니터링, 인시던트 보고 의무, 시행 조치에 대해 더 엄격한 규제 요건이 적용됩니다. 각 단체의 예는 다음과 같습니다.

다음 부문에서 활동하는 기업은 필수 기업(EE)으로 간주될 수 있습니다.

• 운송
• 에너지
• 뱅킹
• 보건
• 용수

다음 부문에서 활동하는 기업은 중요 기업(IE)으로 간주될 수 있습니다.

• 우편 및 택배 서비스
• 폐기물 관리
• 화학 생산 및 가공
• 식품
• 디지털 공급업체(검색 엔진, 소셜 네트워킹 플랫폼, 기타)

NIS2의 영향을 받는 세 가지 부문의 예는 다음과 같습니다.

보건 - 헬스케어 기관은 NIS2가 적용되는 필수 서비스이므로 사이버 리스크를 방어하고 IT 시스템과 데이터의 손상을 방지하는 리스크 관리 조치를 포함한 엄격한 NIS2 규제 요건을 준수해야 합니다. 또한 인시던트 관리, 공급망 사이버 보안, 네트워크 보안, 접속 제어, 데이터 암호화가 필수적으로 요구됩니다. 헬스케어 기업과 같은 필수 서비스는 제로 트러스트 솔루션을 사용해 이러한 엄격한 보안 요구 사항을 준수할 수 있습니다. 제로 트러스트는 확장된 네트워크와 공급망 전반에서 더 적은 리소스로 강력한 보안을 달성함으로써 컴플라이언스 시간을 단축하는 데 도움을 줍니다.

리테일러 - 2022년 Sophos 보고서 리테일 부문 랜섬웨어 현황 은 리테일 부문을 겨냥한 위협의 증가 추세를 파악했으며, 2021년에는 리테일 기업의 77%가 랜섬웨어 공격의 피해를 입은 것으로 나타났습니다. NIS2는 ‘식품 생산, 가공 및 유통’과 ‘온라인 마켓플레이스 공급업체’를" ’중요 서비스’로 명시하고 있습니다. 따라서 많은 리테일 기업이 NIS2 컴플라이언스 범위에 포함될 것입니다. 리테일 기업은 제로 트러스트 보안을 활성화함으로써 IT 환경의 포괄적인 커버리지와 자산, 접속, 네트워크 흐름에 대한 심층적인 가시성을 활용하고 보안 정책을 세밀하게 시행할 수 있습니다. 이러한 포괄적인 접근 방식을 통해 리테일 기업은 NIS2 컴플라이언스를 위한 다양한 요구 사항을 충족할 수 있습니다.

써드파티 공급업체 및 서비스 공급업체 — Gartner는 2025년까지 전 세계 기업의 45%가 소프트웨어 공급망에 대한 공격을 경험할 것으로 예측합니다. 공급망은 기업 내부로 침투하려는 해커들에게 완벽한 표적입니다. NIS2는 주요 정보통신 기술의 공급망에 대한 엄격한 리스크 관리 요건을 통해 이러한 사이버 보안 리스크를 처리합니다. NIS2는 공급업체의 사이버 보안 관행의 품질 평가를 포함해 공급망 리스크 관리에 대한 선제적인 접근 방식을 요구합니다. 써드파티 공급업체는 제로 트러스트 보안 모델을 사용해 최소 권한 접속 등을 보장하는 포괄적인 보안 조치를 시행해야 합니다.

NIS2는 일련의 사이버 보안 조치와 리스크 관리 활동의 시행을 의무화합니다. 이러한 조치에는 접속 제어 및 최소 권한 적용, 강력한 멀티팩터 인증, 랜섬웨어 같은 악성 코드를 억제, 탐지 또는 방지하는 조치가 포함됩니다. Akamai의 솔루션 제품군은 제로 트러스트 보안을 제공해 고객이 랜섬웨어 및 기타 지능형 공격의 확산을 차단할 수 있도록 지원하도록 설계되었습니다. Akamai는 클라우드 컴퓨팅과 분산된 인력으로 인한 리스크 증가를 비롯한 취약점으로부터 기업을 보호합니다.

• 애플리케이션 및 API 방어: DDoS 방지 및 자산 보호
• Akamai Account Protector: 고급 머신 러닝, 행동 애널리틱스, 평판 휴리스틱을 기반으로 사기성 인적 활동과 계정 탈취를 선제적으로 식별하고 차단합니다.
• 접속 및 권한 부여: 제로 트러스트 아키텍처는 컴플라이언스를 간소화합니다.