"EU, 올해부터 강력한 정보기술 보안 규제 시행"…한국 기업들 '디지털 장벽' 직면

유럽연합(EU)이 2026년부터 기업 경영진에 직접 법적 책임을 묻는 강력한 정보기술(IT) 보안 규제를 시행한다. 브래프테크(braf.tech) 라파우 바란스키 최고경영자(CEO)가 지난 4일(현지 시각) 비즈니스인사이더 기고에서 이같이 밝혔다.

바란스키 CEO는 "2026년은 폴란드를 포함한 유럽 내 모든 기업간거래(B2B) 기업에 강력한 규제 압박이 현실화되는 원년이 될 것"이라면서 "사이버 보안부터 환경·사회·지배구조(ESG) 보고에 이르는 방대한 의무 사항이 결합되면서 IT 거버넌스가 재무·법률 관리의 중추 역할을 하게 될 것"이라고 말했다.


가장 시급한 위협은 네트워크·정보 시스템 지침(NIS2)과 금융 부문 디지털운영탄력성법(DORA) 시행이다. 이들 규제는 단순히 시스템 방어력을 높이는 수준에 그치지 않는다. 침해 사고 발생 시 경영진이 상당한 주의를 기울였음을 입증하도록 요구한다.

규정을 어길 경우 기업은 최대 1000만 유로(약 169억 원) 또는 전 세계 연간 매출액의 상당 부분에 이르는 벌금을 물어야 한다. 더 주목할 점은 경영진 개인 책임이다. 적절한 거버넌스 체계를 갖추지 못한 상태에서 사고가 발생하면 이사회 구성원이 직접 법적 책임을 진다.
바란스키 CEO는 "기업이 보안 사고에 대비해 어떤 조치를 했는지 실시간으로 추적하고 기록하는 시스템이 필요하다"면서 "이런 시스템 없이는 법정에서 회사가 책임을 다했다고 증명할 방법이 없는 시대가 왔다"고 강조했다. 그는 이를 위해 거버넌스·리스크·컴플라이언스(GRC) 플랫폼 구축이 필수라고 덧붙였다.

원격 근무와 클라우드 도입이 보편화되면서 사용자 신원 관리는 기업 자산 보호의 최전선이 됐다. 유럽 규제당국과 감사기관은 이제 수동 통제를 넘어 자동화된 직무 분리를 강력히 요구하고 있다.

예를 들면, 한 명의 직원이 결제 승인과 집행 권한을 동시에 가지는 독성 권한 조합을 방치했다가 내부 부정이 발생할 경우 이는 경영진의 관리 소홀로 간주된다. 신원 거버넌스·관리(IGA) 시스템을 통해 잠재 위험을 미리 차단하는 기술 조치가 필수다.


2026년부터 본격화되는 기업지속가능성보고지침(CSRD)과 재생에너지지침(RED Ⅱ/Ⅲ)은 IT 거버넌스 범위를 비재무 데이터까지 확장한다. 탄소 배출량, 에너지 소비량 등 ESG 관련 데이터도 재무제표에 준하는 엄격한 관리가 필요하다.
누가 데이터를 수정했는지, 보고서 근거가 무엇인지 감사 추적이 불가능할 경우 기업은 그린워싱(위장 환경주의) 혐의로 제재를 받을 수 있다. 최근 급격히 도입되고 있는 인공지능(AI) 활용에 대해서도 AI 거버넌스 구축이 시급하다.

유럽발 규제 혁명은 한국 기업에 새로운 무역 장벽으로 작용한다. 특히 유럽 수출 비중이 높은 자동차·배터리·반도체 기업은 현지 파트너사로부터 NIS2 수준의 보안 인증이나 CSRD에 따른 상세한 ESG 데이터 제출 요구를 받게 된다. 이를 충족하지 못하면 공급망에서 배제되는 디지털 컷오프 상황을 맞이할 수 있다.

국내 증시에서도 코스피 상장사가 자국뿐 아니라 해외 시장에서 요구하는 법률·규제·산업 표준을 모두 지키는 글로벌 준수 여부가 외국인 투자자의 매수 결정에 핵심 지표가 될 전망이다. IT 거버넌스 미비로 유럽에서 거액 벌금을 부과받거나 경영진이 문책당할 경우 주가 급락과 브랜드 이미지 실추를 피할 수 없다.

삼정KPMG는 지난해 7월 발간한 보고서에서 NIS2 대응을 위해 △최고경영진의 인식 촉구 △표준·프레임워크 구현 △긴급 개선 프로그램 수립과 실행 △거버넌스 책임 확대 등 4가지 전략을 제시한 바 있다.

업계에서는 기업의 규제 대응 비용 증가가 장기로 보면 제품 가격 인상 압력으로 이어질 수 있으나, 보안 사고 감소에 따른 소비자 데이터 보호 강화라는 긍정적 효과도 기대된다는 평가가 나온다.


박정한 글로벌이코노믹 기자 park@g-enews.com