영국 정부가 자국을 사이버 법 적용 대상에서 제외한 결정은 신뢰를 떨어뜨림

• 영국의 ‘Cyber Security and Resilience(CSR) 법안’ 은 국가 핵심 인프라와 관리 서비스 제공자를 규제 대상으로 포함하지만, 중앙 및 지방정부는 제외됨
• 정부는 대신 ‘Government Cyber Action Plan’ 을 통해 동일한 보안 기준을 자율적으로 적용하겠다고 밝혔으나, 법적 의무는 없음
• 여러 의원과 전문가들은 공공 부문이 주요 공격 표적임에도 법 적용에서 빠진 점을 비판하며, 법적 구속력이 없는 자율 기준은 신뢰 부족을 초래한다고 지적
• 국가감사원(NAO) 보고서에 따르면 정부 시스템의 보안 결함과 개선 지연이 심각한 수준으로, 현행 계획만으로는 충분하지 않다는 우려가 제기됨
• 공공 부문을 제외한 결정은 정부의 사이버 보안 의지에 대한 의문을 낳으며, 향후 입법 보완 필요성이 커지고 있음

CSR 법안의 범위와 정부의 자가 면제

• CSR 법안은 2018년 NIS 규정을 대체해 영국의 사이버 보안 체계를 현대화하려는 목적
  • 관리 서비스 제공자와 데이터센터 등을 포함하지만 중앙 및 지방정부는 제외
  • EU의 NIS2 지침과 달리 공공기관을 규제 범위에서 제외함
• Sir Oliver Dowden은 하원에서 정부가 스스로를 법 적용 대상에서 제외한 점을 비판
  • 공공 부문에 더 엄격한 요건을 부과해야 한다고 주장
  • 법적 의무가 있어야 장관들이 사이버 보안을 우선순위로 다루게 된다고 강조

정부의 대응과 ‘Cyber Action Plan’

• Ian Murray 장관은 Dowden의 제안을 수용하겠다고 답하며, Government Cyber Action Plan을 언급
  • 이 계획은 CSR 법안과 동일한 수준의 보안 기준을 정부 부처에 적용하되 법적 구속력은 없음
  • 비판자들은 이를 비판 회피용 조치로 보고, 실질적 보안 강화 효과에 의문 제기
• Neil Brown(Decoded.legal) 은 “정부가 법안 수준의 기준을 따를 것이라면, 법 적용을 피할 이유가 없다”고 지적
  • 법안에서 제외된 것은 신뢰를 주지 못하는 결정이라고 평가

공공 부문 보안 현실과 비판

• NCSC 보고에 따르면 2020년 9월~2021년 8월 사이 관리된 공격 중 40%가 공공 부문을 표적으로 함
  • 이 비율은 향후 더 증가할 것으로 예상됨
• 국가감사원(NAO) 의 2025년 보고서는 정부의 72개 핵심 시스템 중 58개를 점검한 결과, 다수의 보안 결함과 느린 개선 속도를 확인
  • 이는 공공 부문이 여전히 정기적 사이버 공격에 취약함을 보여줌
• 이러한 상황에서 정부가 공공 부문을 CSR 법안에서 제외한 것은 정책적 일관성 부족으로 비판받음

향후 입법 방향과 논의

• Labour 의원 Matt Western은 CSR 법안이 완전한 해결책은 아니며, 추가 맞춤형 입법이 뒤따를 것이라고 언급
  • 정부가 공공 부문 전용 사이버 보안 법안을 별도로 마련할 가능성 언급
• Neil Brown은 “작고 명확한 법안을 자주 제정하는 접근이 더 현명하다”고 평가
  • Telecommunications (Security) Act 2021과 Product Security and Telecommunications Infrastructure Act 2022처럼, 분야별로 분리된 입법이 효과적일 수 있다고 설명

신뢰와 정치적 파장

• 공공기관, 지방의회, NHS 등이 공격받을 때마다 정부의 법안 제외 결정은 야당의 공격 소재가 됨
  • 보수당 정부 시절(2022년) 제안된 보안 개선 권고안을 2년 넘게 미이행한 전례도 지적됨
• 정부가 자가 면제를 유지하는 한, 사이버 보안 개선 의지에 대한 신뢰 부족이 지속될 가능성
  • CSR 법안이 국가 보안 체계의 핵심으로 자리 잡기 위해서는 공공 부문 포함 여부가 향후 핵심 쟁점으로 남을 전망