NIS 2 · DORA · Cyber Resilience Act

사이버 방어는 사고 이전에 구축되는 것이지, 사고 이후에 집행되는 것이 아니다

프랑스 국가 사이버 기관은 네 가지 법제도와 그 소관 범위의 스무 배 확대를 동시에 헤쳐 나가고 있습니다. 집행은 사건이 발생한 이후에만 작동할 수 있으므로, 이토록 커진 생태계를 방어하는 일은 필요에 앞서 구축되는 훈련, 도구, 인력 역량에 달려 있으며, 그 역량은 이를 구축할 수 있는 모든 주체가 구축해야 합니다.

2026년 6월, 프랑스 기술 매체 Clubic과의 인터뷰에서 ANSSI 사무총장 Vincent Strubel은 하나의 사이버 거버넌스 의제를 설명했는데, 이는 그 안의 어느 한 항목보다도 얼마나 많은 까다로운 항목이 동시에 놓여 있는가라는 점에서 두드러집니다(Belfiore 2026). 같은 대화에서 그는 암호화와 합법적 접근의 미래, 클라우드 사업자의 인증, 다음 십 년까지 여러 해에 걸쳐 진행되는 포스트 양자 전환, 디지털 거버넌스를 위해 새로 만들어진 조정 기구, 그리고 규제 대상 주체의 모집단을 스무 배 이상 늘릴 지침을 다루었습니다. 주의 깊게 읽으면 이 인터뷰는 현황 보고서라기보다는 침착함으로 감당해 낸 어려운 처지의 초상이며, 분명하게 말할 가치가 있는 사이버 방어의 구조적인 무언가를 가리킵니다. 집행과 시정 조치는 그 본성상 사후에 작동합니다. 그것들은 다음에 일어날 일을 형성할 수는 있어도, 그것들을 촉발한 사고를 되돌릴 수는 없습니다. 이 하나의 관찰만으로도 훨씬 더 큰 규제 대상 모집단이 실제로 어떻게 방어될 것인가라는 물음 전체가 다시 규정되며, 민간 역량에서 나오는 유용한 대응은 관여를 요청받기를 기다리는 것이 아니라, 이 분야의 모두가 이미 공유하는 목표를 향해 필요에 앞서 역량을 구축하는 것임을 시사합니다.

규제 지형, 그리고 각 권한을 실제로 쥐고 있는 주체

프랑스와 유럽연합의 사이버 거버넌스는 이제 서로 겹치는 네 가지 법적 수단에 걸쳐 있으며, 중요하게도 그 넷 모두를 어느 한 당국이 쥐고 있지 않습니다. LPM(loi de programmation militaire)과 NIS 2(제2차 네트워크 및 정보 보안 지침)는 ANSSI 자체의 직접 소관 안에 있습니다. 프랑스에서 DORA(Digital Operational Resilience Act)의 감독은 은행과 보험사에 대해서는 ACPR(Autorité de Contrôle Prudentiel et de Résolution)가, 자산운용사와 시장 인프라에 대해서는 AMF(Autorité des Marchés Financiers)가 맡고 있습니다(Autorité de contrôle prudentiel et de résolution 2026; Autorité des marchés financiers 2026). CRA(Cyber Resilience Act)에 따른 시장 감시는 ANFR(Agence Nationale des Fréquences)가 맡으며, ANSSI는 적합성 평가 기관을 인정할 책임을 지는 통보 당국으로서만 기능하는데, 이 역할은 시장 감시 자체와는 구별됩니다(ANFR 2026; ANSSI 2026a). NIS 2 준수를 위한 운영상의 기준선으로서, ANSSI는 2026년 3월 17일에 ReCyF(Référentiel Cyber France, 버전 2.5)를 발표하여 스무 개의 필수 보안 목표를 정했습니다(Ledieu-Avocats 2026).

이 대응 관계가 중요한 것은 실무적인 이유와 공정한 이유에서입니다. 실무적으로, 네 가지 틀 사이를 오가는 독자는 어떤 물음에 대해 어느 당국에 접촉해야 하는지 알아야 합니다. 공정하게는, 이는 ANSSI가 개별적으로 통제하지 않는 여러 제도에 걸쳐 국가적 자세를 조정하고 있음을 확립합니다. 이것이야말로 그 처지를 결함이 아니라 어려운 것으로 만드는 요인의 하나입니다.

어렵고 다면적인 임무의 형태

Strubel의 인터뷰를 읽는 가장 정확한 방법은 그것을 동시 진행에 대한 서술로 보는 것입니다. 여러 까다로운 프로그램이 같은 순간에 진행 중이며, 각각은 저마다의 시계로 움직입니다. 암호화와 합법적 접근의 물음은 Strubel 자신이 궁극적으로 기술적이라기보다 정치적이라고 규정하는 것으로, 그 해결을 어떤 기관의 공학적 통제 밖에, 그리고 입법과 공론이라는 더 느린 기제 안에 놓습니다(Belfiore 2026). 포스트 양자 전환은 장기간의 기밀 데이터를 보유한 모든 조직에 미치는 여러 해에 걸친 암호 기술상의 이행입니다. 새로운 조정 기구의 창설은 디지털 거버넌스를 더 파편화되게 두기보다 통합하려는 시도를 시사합니다. 그리고 그 모든 것의 밑바탕에 흐르는 것이 NIS 2 대상 범위의 확대이며, Strubel은 이를 약 500개의 규제 대상 주체에서 추정 10,000개에서 15,000개로의 이동으로 봅니다(Belfiore 2026).

이 가운데 어느 하나만으로도 그 자체로 상당한 프로그램일 것입니다. 그중 둘만 ANSSI가 직접 통제하는 여러 제도에 걸쳐 이것들을 함께 감당하는 일은, 잘 감당하기가 진정으로 어려운 임무를 그려 냅니다. ANSSI는 그것을 어떻게 감당하는지에 대해 솔직하고 일관되었습니다. 즉, 모든 서버 뒤에 배치된 담당자라는 허구가 아니라, 동행을 우선하고 지침이 이끄는 자세를 통해서입니다. 이는 실제 제약 아래서의 합리적 선택이며, 이 글은 그것을 바로 그렇게, 즉 어려운 임무를 위한 정당한 전략으로 받아들입니다. 무언가가 빠져 있다는 증거로서가 아닙니다.

집행은 구조상 사후적이다

그 임무로부터 평가적이라기보다 구조적인 관찰이 도출됩니다. 집행과 시정 조치는 그 본성상 나중에 일어나는 일입니다. 감사 지적은 이미 존재하는 상태를 기록합니다. 제재는 이미 발생한 위반에 대응합니다. 시정 명령은 이미 기능을 상실한 시스템을 복구합니다. 이들 수단은 저마다 가치가 있고 저마다 미래의 행동을 형성하지만, 그 어느 것도 거슬러 올라가 그것을 촉발한 사건을 막을 수는 없습니다. 이는 ANSSI나 특정 규제 당국의 속성이 아닙니다. 집행 그 자체의 속성입니다.

그 따름 명제는 곧바로 말할 가치가 있습니다. 놓치기 쉽기 때문입니다. ANSSI는 공격이 진행 중인 그 순간에 시스템을 방어하는 기관이라는 의미에서의 시정 기관이 아니며, 구조상 그럴 수도 없습니다. 어떤 집행 당국도 그럴 수 없습니다. 실시간 사이버 방어, 곧 사고가 진행 중일 때 이루어지는 실제 탐지, 차단, 복구는 영향을 받은 조직 내부에서, 그 순간에 손에 있는 실무자와 도구에 의해 수행됩니다. 집행은 그 조직들이 따라야 할 기준을 정합니다. 그것은 기준이 시험받을 때 조직이 필요로 하는 역량을 대신하지 않으며, 대신할 수도 없습니다. 이를 인식하는 것은 누가 얼마나 집행하는가에 대한 비판이 아닙니다. 집행이 무엇을 위한 것인가에 대한 해명입니다.

스무 배 커진 생태계를 방어하는 데 필요한 것

앞의 두 요점을 함께 놓아 보십시오. 스스로를 방어할 것으로 기대되는 주체의 모집단은 스무 배 이상 늘어나고 있고, 국가가 동원할 수 있는 주요 수단인 집행은 구조상 방어 그 자체를 할 수 없습니다. 따라서 실제 방어는 집행이 수요에 맞춰 만들어 낼 수 없는 것, 곧 역량에 달려 있습니다. 통제를 구현하고 운용할 수 있는 사람. 감사 직전에 허둥지둥 끌어모으는 대신 증적을 지속적으로 만드는 도구. 조직이 대상 범위에 든 뒤가 아니라 그 전에 그곳에 닿는 훈련. 그리고 그 모든 것은 필요에 앞서 존재해야 합니다. 사고 이후에 구축된 역량은 정의상 그 사고에는 이미 너무 늦기 때문입니다.

공적 지침은 이 대응의 실질적인 일부이며 그렇게 인정받아야 합니다. ReCyF에 따른 ANSSI 자체의 동행 자료는 지침 문서, 웨비나, 그리고 준거에 명시된 훈련 의무를 포함하며, 조직이 집행 기한이 도래하기 전에 역량을 구축하도록 돕는 데 곧바로 겨냥되어 있습니다(ANSSI 2026b). 그러나 스무 배 확대의 산술은 가차 없으며, 어떤 한 기관도, 아무리 잘 운영된다 해도, 규제가 정한 일정에 맞춰 그 규모의 생태계를 위한 훈련, 도구, 인력의 전체 곡선을 공급할 수는 없습니다. 그것은 누군가의 잘못이 아닙니다. 그것은 공유된 과제이며, 그렇게 다루는 것이 최선입니다.

이 시점의 문제 뒤에는 잘 발전된 경영 과학의 한 갈래가 자리하고 있습니다. 시스템 다이내믹스의 전통(Sterman 2000) 안에서 연구하며, Massachusetts Institute of Technology의 John Sterman과 Nelson Repenning은 그들이 역량의 덫이라고 부르는 것을 정식화했습니다. 즉, 역량 구축에 투자하는 조직은 그 성과가 개선되기 전에 먼저 가라앉는, 나아지기 전에 나빠지는 경로를 밟는 반면, 그저 더 열심히 일하기만 하는 조직은 성과가 침식되기 전에 단기적 안도를 얻는, 나빠지기 전에 나아지는 경로를 밟으며, 그들의 모형은 이 갈라짐을 시간이 흐르며 벌어지는 두 개의 역량 곡선으로 그려 냅니다(Repenning and Sterman 2002). 그들의 앞선 연구는 그 인간적 장애물을 제목 그 자체에 담고 있습니다. 즉, 결코 일어나지 않은 문제를 해결한 데 대해 누구도 결코 인정을 받지 못한다는 것입니다(Repenning and Sterman 2001). 다가올 NIS 2 대상 범위 확대에 비추어 보면, 그 함의는 곧바로 드러납니다. 스무 배 커진 생태계를 방어하는 역량은 나아지기 전에 나빠지는 경로를 따라, 그것이 막아 내는 사고에 앞서, 그리고 바로 눈에 보이는 위기가 아직 그 지출을 정당화하지 않는 때에 구축되어야 합니다. 이 동역학을 스스로 확인하고 싶은 독자는 CCI 시스템 다이내믹스 강좌의 13번 모듈, 역량의 덫에 관하여에서 상호작용하며 따라가 볼 수 있습니다.

선의의 파트너: 요청받기를 기다리지 않고 역량을 구축하기

바로 여기에 민간 역량이, 그 역할을 맡기 위해 고용되는 데 의존하지 않는 역할을 갖습니다. 훈련 콘텐츠, 도구, 또는 숙련된 실무자를 갖춘 기업에는 특정 계약, 감사 업무, 규제상의 계기와는 무관하게 지금 이 역량을 구축하고 공유하는 데 투자할 이유가 있습니다. 단순한 이유에서입니다. 즉, 공유된 목표, 곧 이전의 스무 배로 커진 생태계 전반에서 실제로 작동하는 사이버 방어는 궁극적으로 누가 무엇에 지불하든 그 투자로써 이바지받기 때문입니다. 이 논리에 따라 행동하는 파트너, 곧 거래가 눈앞에 있기 때문이 아니라 과제가 실재하기 때문에 역량을 기여하는 파트너야말로 이 글이 선의의 파트너라고 부르는 것입니다. 이 말은 장식이 아니라 문자 그대로의 뜻입니다. 그 시금석은 그 조직이 언젠가 고객이 되든 아니든, 그 기여가 그 조직에 유용한가입니다.

Cambridge Cyber International(CCI)은 그러한 파트너의 하나로 행동하려는 뜻을 갖고 있으며, 기여할 수 있고 또 기여해야 할 많은 기여자 가운데 하나일 뿐임을 솔직히 인정합니다. 그 자세는 의도적으로 단순합니다. 책임을 나누는 것이 아니라 교육하고 훈련하고 도구를 제공하는 것입니다. 실제로 이는 이미 구축한 두 가지로 귀결됩니다. 첫째는 그 Academy이며, 그 훈련은 그 조직이 이후 나머지 역량을 어디서 조달하든, 팀이 필요로 할 사이버 기술을 구축하는 어떤 조직에도 유용합니다. 둘째는 CySSURANCE 스위트이며, 이는 같은 발상을 도구의 측면으로 가져와 다양한 준비 기능을 한곳에 모읍니다. 즉, 자동화된 증적 수집, 엔터프라이즈 아키텍처 모델링, 회복탄력성 계산, 금전적 손실 평가, 인력 진단, 정보통신기술(ICT) 훈련, 우선순위가 매겨진 시정, 공급업체 관리, 감사 준비, 그리고 이사회 수준의 대시보드입니다. 종합하면, 교육, 훈련, 도구는 대상 범위 확대가 몇 배로 키우는 감사 준비와 인력의 부담에 답합니다. 그것은 바로 사고 이후가 아니라 필요에 앞서 이루어져야 하는 일입니다. 이것들은 여기서 논의의 목적이 아니라 그 한 사례로서 거명됩니다. 논의는 독자가 CCI와 관여하든, 그 동료 가운데 하나와 관여하든, 또는 역량을 전적으로 사내에서 구축하든 성립합니다.

반론과 한계

명백한 반론은, 자사의 제공물을 선의의 기여라고 서술하는 기업은 더 정중한 예의를 갖춘 광고에 지나지 않는다는 것입니다. 이 반론에는 안심시키는 말이 아니라 실질적인 답이 마땅합니다. 그 답은 독자가 적용할 수 있는 시금석입니다. 즉, 그 기여는 아무것도 사지 않는 조직을 돕는가라는 것입니다. 계약으로 이어지든 아니든 팀의 준비도를 높이는 훈련, 수익화되든 아니든 정확한 지침, 그리고 경쟁사나 사내 구축이 더 적합한 경우에 대한 정직함, 이것들은 모두 그 시금석을 통과합니다. 구매하지 않으면 쓸모없는 자원은 그것에 떨어집니다. 독자는 이 글을, 그리고 CCI를 그 기준에 비추어 평가할 자격이 있습니다.

두 번째 반론은, 민간 역량은 공적 권위를 대신할 수 없으며 대신하려 해서도 안 된다는 것입니다. 이는 옳으며, 여기서는 그 무엇도 그것을 제안하지 않습니다. 논의는 보완적이지 대체적이지 않습니다. ANSSI의 임무, 기준 설정, 조정은 바로 민간 주체가 제공할 수 없고 또 제공해서도 안 되는 것들입니다. 주장은 더 좁습니다. 즉, 집행이 수행할 수 없는 실시간 방어는 역량에서 구축되며, 그 역량은 하나 이상의 방향에서 기여될 수 있고 또 기여되어야 한다는 것입니다.

세 번째의, 더 평범한 한계는 출처에 관한 것입니다. 인터뷰는 법적 문서가 아니며, 구체적인 수치와 날짜, 대상 범위의 정확한 숫자와 NIS 2 국내법화 법률의 상태를 포함하여, 그것들이 확정된 뒤에는 일차 문헌과 대조 검증되어야 합니다. 특히 국내법화 일정은 어떤 행정 기관이 아니라 프랑스 의회에 달려 있습니다. 이 가운데 어느 것도 어떤 한 날짜에 기대고 있지 않은 구조적 논의를 바꾸지는 않지만, 그것들에 근거해 행동하기 전에 세부 사항을 검증할 이유는 됩니다.

실무 또는 정책적 함의

이사회나 CISO에게, 방어를 사후에 집행되는 것이 아니라 필요에 앞서 구축되는 것으로 다루는 일의 실무적 귀결은 순서의 변경입니다. 역량에 관한 결정, 곧 누구를 훈련할 것인가, 어떤 도구가 증적을 지속적으로 만드는가, 인력을 어떻게 확장하는가는 집행 기한에 대응해서가 아니라 그에 앞서, 더 일찍 움직입니다. 구체적으로 그것은 대상 범위 포함이 확정되기 전에 인력 준비를 시작하는 것, 지속적인 증적 수집을 감사 직전의 돌관 작업이 아니라 상설 역량으로 다루는 것, 그리고 새로 규제되는 주체의 가장 큰 집단이 같은 기술을 향해 손을 뻗는 바로 그때 가장 빠듯해질 노동 시장을 내다보고 인력을 계획하는 것을 의미합니다.

관련 역량을 갖춘 민간 주체에게 그 함의는 수요에 앞서 기여하라는 초대입니다. 즉, 교육, 훈련, 도구를 판매와 무관하게 유용하게 만들고, 그것을 솔직히 밝히는 것입니다. CCI의 Academy와 그 CySSURANCE 스위트는 유일한 길이 아니라 여러 선택지 가운데 하나로서 그 정신으로 제공되며, 제공자의 선택은 역량이 필요해지기 전에 구축된다는 사실에 비하면 훨씬 덜 중요합니다.

공공과 민간의 관계 전체에게 그 함의는 어조의 변경입니다. 생산적인 틀은 누가 충분히 했는지 아닌지의 장부가 아니라, 공유된 목표, 곧 실제로 작동하는 사이버 방어입니다. 그 실무적 표현은 단순합니다. 사후에 책임을 나누는 것이 아니라 필요에 앞서 교육하고 훈련하고 도구를 제공하는 것입니다. 집행과 기여는 경쟁 관계가 아닙니다. 그것들은 같은 사업의 서로 다른 부분입니다.

결론

ANSSI는 진정으로 어려운 임무를 맡고 있습니다. 즉, 네 가지 법제도, 홀로 해결할 수 없는 정치적 논쟁, 여러 해에 걸친 암호 기술상의 이행, 새로운 조정 기구, 그리고 스무 배로 늘어나는 규제 대상 모집단이며, 그것을 실제 제약 아래서 선택한 일관된 지침 우선 전략으로 감당하고 있습니다. 그 처지를 정직하게 읽으면 비판적이라기보다 구조적인 결론에 이릅니다. 즉, 집행은 사고 이후에만 작동할 수 있으므로, 그 순간에 중요해지는 방어는 사전에, 필요에 앞서 존재해야 하는 역량에서 구축된다는 것입니다. 그 역량은 어느 한 기관보다도 큰 공유된 과제이며, 그것에 기여할 수 있는 모두에 의해, 하나 이상의 방향에서, 이 분야 전체가 이미 공통으로 품은 목표에 이바지하고자 채워지는 것이 최선입니다. 그렇다면 민간 역량에 유용한 자세는 관여를 요청받기를 기다리는 것이 아니라, 수요에 앞서 구축하고 공유하는 것이며, 그것도 대가로 특별히 아무것도 기대하지 않는 것입니다. 더 잘 방어된 생태계가 바로 그 대가이기 때문입니다. 사이버 방어는 사고 이전에 구축됩니다. 할 가치가 있는 일은 그 구축입니다.

어디서 시작할까

만약 당신의 팀이 다가올 것에 대비해 사이버 준비를 구축하고 있다면, CCI Academy는 열린 출발점입니다. 당신이 앞으로 CCI와 더 협력하든 아니든 말입니다. 그 훈련은 그 자체로 유용합니다. 목적지가 아니라 열린 문이라고 여기십시오.

CCI Academy 살펴보기 →

References

Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act

ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/

ANSSI, cyber.gouv.fr (2026b). NIS 2: l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/

Autorité de contrôle prudentiel et de résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora

Autorité des marchés financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora

Belfiore, G. (2026). Chiffrement vs Police: "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html

Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/

Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101

Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806

Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/

집행은 기준을 정한다. 그러나 그 기준이 시험하는 역량을 대신할 수는 없다.

CCI의 관점

참조한 솔루션: Academy · CySSURANCE. 전체 제품 보기 · 실무자와 상담하기.

귀사도 이 위험에 노출되어 있습니까?

실무자와 상담하기 →