영국 FCA 사이버 사고 보고 개편, 규제가 사이버 지출 기록 경신 견인, Gartner 경고: 2028년까지 AI가 사고 대응 지배
영국 금융감독청(FCA)이 2027년 3월 시행 사이버 사고 및 제3자 보고 규정을 간소화하여 발표합니다. 새로운 Bridewell 보고서에 따르면 규제가 35%로 영국 핵심 인프라 사이버 지출의 1위 동인이 되어 위협 기반 투자를 초월했습니다. Gartner는 2028년까지 AI 관련 이슈가 기업 사고 대응 노력의 50%를 차지할 것으로 전망합니다. CA/Browser Forum은 TLS 인증서 수명이 2029년까지 47일로 단축될 것을 확인했습니다. 섀도 AI 에이전트가 기업 보안 가시성을 앞지르고 있습니다. 주요 규제 동향 — 2026년 3월 21일.
🏦 영국 FCA, 사이버 사고 및 제3자 보고 개편
새로운 FCA 보고 규칙 — 2027년 3월 18일 시행
영국 금융감독청이 사이버 사고 및 제3자 장애 보고에 대한 새로운 규칙을 발표하여 금융 회사들에게 건전성규제청(PRA) 및 영란은행과 조율된 간소화 체제를 준비할 12개월을 부여했습니다. 이 변경은 기존 보고 의무가 불명확하고 중복되었다는 업계 피드백에 대응합니다.
변경 사항
FCA 이사 Mark Francis는 이번 개편이 "회복탄력성이 전례 없이 시험받고 있는" 시대에 필수적이라고 설명했습니다. 주요 변경 사항:
- 단일 보고 포털: PRA 및 영란은행과의 간소화된 공동 체제가 결제 서비스 제공자 및 신용평가 기관의 중복 보고를 제거
- 간소화된 양식: 대부분의 규제 대상 기업이 복잡한 다중 페이지 제출 대신 간단한 양식으로 보고 가능
- 명확한 기준: 보고 대상 사고의 정의를 정제하여 과다 보고와 과소 보고를 모두 유발한 모호성 제거
- 제3자 포함: 공급업체 및 서비스 제공자 장애를 명시적으로 포함 — 2025년 FCA에 보고된 사고의 40%가 제3자와 관련되었다는 점에서 중요
DORA와의 유사점
FCA의 제3자 리스크 초점은 2025년 1월부터 시행 중인 EU의 디지털 운영 회복탄력성법(DORA)과 유사합니다. 두 프레임워크 모두 핵심적인 인식을 공유합니다: 금융 부문 회복탄력성은 공급망 가시성에 달려 있다. 영국과 EU 관할권에서 운영하는 조직은 이러한 수렴에 주목해야 합니다 — 한 프레임워크 준수가 다른 프레임워크의 노력을 크게 줄입니다.
DORA 규제 대상 기업의 경우: FCA의 간소화된 보고 모델이 자체 EU 사고 보고 간소화의 청사진 역할을 할 수 있습니다. 기존 DORA 보고 워크플로우를 새 FCA 기준과 매핑하여 중복과 격차를 식별하세요.
📊 규제, 이제 영국 핵심 인프라 사이버 지출의 1위 동인
Bridewell CNI 사이버보안 보고서 2026
영국 사이버보안 기업 Bridewell의 획기적 보고서에 따르면 영국 13개 핵심 국가 인프라 부문의 보안 리더 35%가 이제 규제 요구사항을 보안 프로그램의 주요 영향 요인으로 꼽고 있습니다 — 2025년 26%, 2024년 29%에서 증가.
규제 효과
한편, 연결성 증가, 혁신 지원, 진화하는 사이버 위협 등 기존 동인은 주요 영향으로 25%에 정체되었습니다. 이 전환의 원인:
- 영국 사이버 보안 및 회복탄력성 법안(CSRB): 확대된 범위로 현재 의회 통과 중
- EU NIS2 지침: EU 운영 또는 공급망 의존성이 있는 영국 조직에 영향
- 사이버 회복탄력성법(CRA): EU 시장에 판매하는 영국 제조업체에 영향을 미치는 제품 보안 요구사항
- NCSC 사이버 평가 프레임워크(CAF): 최근 개편되어 CNI 컴플라이언스 평가 기준 상향
컴플라이언스-회복탄력성 격차
규제가 투자를 견인하고 있지만 도입은 여전히 일관되지 않습니다. 응답자의 절반 미만(46%)만이 NCSC CAF 구현을 보고했고, NIS2 도입은 29%에 불과했습니다. 더 우려스러운 것은: 39%가 데이터 보호를 위한 사이버보안 조치에 대한 신뢰도가 낮다고 인정했습니다.
Bridewell CEO Anthony Young은 "서류상의 컴플라이언스가 자동으로 운영 회복탄력성으로 이어지지 않는다. 규제 기관이 더 어려운 질문을 하고 있으며, 조직은 정책 정렬뿐만 아니라 실제 역량도 입증해야 할 것"이라고 경고했습니다.
🤖 Gartner: AI 이슈가 2028년까지 사고 대응의 50% 견인
EU AI Act 거버넌스 시사점
Gartner는 2028년까지 기업 사고 대응 노력의 최소 절반이 맞춤형 AI 애플리케이션과 관련된 보안 이슈 관리에 투입될 것으로 예측합니다. 이 예측은 EU AI Act 준수에 직접적인 시사점이 있습니다 — 고위험 AI 시스템을 배포하는 조직은 배포 후가 아닌 개발 수명주기에 보안을 내장해야 합니다.
The AI Security Governance Challenge
"AI가 빠르게 진화하고 있지만 많은 도구, 특히 맞춤형 AI 애플리케이션이 완전히 테스트되기 전에 배포되고 있다"고 Gartner VP 애널리스트 Christopher Mixter가 경고했습니다. "이러한 시스템은 복잡하고 동적이며 시간이 지남에 따라 보안하기 어렵습니다."
AI 거버넌스 환경에 대한 주요 Gartner 전망:
- 2028년까지 사고 대응의 50%: 맞춤형 AI 애플리케이션이 전체 보안 사고 워크로드의 절반을 생성
- AI 보안 플랫폼: 2년 내 조직의 절반이 제3자 AI 서비스 사용 및 자체 AI 애플리케이션 보호를 위한 전용 AI 보안 플랫폼 배포
- 신원 가시성: 머신 ID가 인간 사용자를 40,000:1로 초과함에 따라 AI 기반 신원 가시성 플랫폼 급증
- 주권 의무: 2027년까지 조직의 30%가 지정학적 리스크로 인해 클라우드 보안에 대한 포괄적 주권 통제를 요구
EU AI Act 준수에 대한 의미
EU AI Act에 따라 고위험 AI 시스템 운영자는 보안 테스트 및 모니터링을 포함한 강력한 리스크 관리를 구현해야 합니다. Gartner의 전망은 이 법안의 "시프트-레프트" 접근 방식을 검증합니다 — 조직이 AI 시스템이 프로덕션에 들어갈 때까지 보안을 다루지 않으면 사고 대응 비용이 압도적일 것입니다.
🔐 TLS 인증서 수명 47일로 단축
CA/Browser Forum 일정 확정
CA/Browser Forum이 TLS 인증서 유효 기간을 1년에서 약 3년에 걸쳐 47일로 대폭 단축하는 일정을 공식 확정했습니다. 일정:
| 단계 | 최대 유효 기간 | 목표 날짜 |
|---|---|---|
| 현재 | 398일 (1년) | 현재 |
| 1단계 | 200일 | ~2027 |
| 2단계 | 100일 | ~2028 |
| 3단계 | 47일 | ~2029 |
규제 시사점
NIS2, DORA 또는 CRA 적용 대상 조직의 경우 이 일정은 인증서 수명주기 관리가 핵심 컴플라이언스 요구사항이 됨을 의미합니다. 조직은 다음을 수행할 수 있어야 합니다:
- 인프라 전체에서 모든 인증서를 발견 — 많은 조직이 보유 수량을 모름
- 갱신 자동화: 수동 프로세스로는 기업 규모에서 47일 순환 주기를 유지할 수 없음
- 신속한 폐기 및 교체: 짧은 수명은 긴급 인증서 순환이 가능한 인프라를 요구
- 포스트 양자 준비: 인증서 발견 및 수명주기 관리는 양자 암호 전환의 기반도 마련
NIS2 연결: NIS2는 필수 및 중요 엔터티에 강력한 암호 키 관리를 요구합니다. 인증서 자동화가 부족한 조직은 이미 비준수 위험에 있습니다 — 47일 인증서로 이 격차를 무시할 수 없게 됩니다.
👻 섀도 AI 에이전트, 기업 보안 가시성을 앞지르다
에이전틱 AI 거버넌스 문제
증가하는 연구에 따르면 기업 환경 내에서 운영되는 자율 AI 에이전트가 보안 팀의 모니터링 능력을 앞지르고 있습니다. 보안 팀의 감독 없이 사업 부서가 배포한 AI 에이전트인 이러한 "섀도 AI" 배포는 여러 프레임워크에 걸쳐 규제 노출을 생성합니다:
- EU AI Act: 모니터링되지 않는 AI 에이전트가 적절한 적합성 평가 없이 고위험 범주에 해당할 수 있음
- GDPR: 적절한 DPIA 없이 개인 데이터를 처리하는 AI 에이전트가 데이터 보호 요구사항 위반
- NIS2: 핵심 인프라 환경의 통제되지 않는 AI 에이전트가 문서화되지 않은 공격 표면을 형성
- DORA: 제3자 제공자의 AI 에이전트가 ICT 리스크 관리 프레임워크에 포함되어야 함
Okta는 최근 기업 AI 에이전트 보안을 위한 새 프레임워크를 공개했으며, Gartner는 2028년까지 기업의 40%가 섀도 AI 보안 사고에 직면할 것으로 추정합니다. AI 확산과 규제 집행의 수렴이 시급한 거버넌스 과제를 만들고 있습니다.
📋 컴플라이언스 조치 항목 — 2026년 3월 21일
- FCA 보고 (영국 금융 서비스):
- 2026년 3월 19일 발표된 새 FCA 보고 체제를 검토하세요
- 기존 사고 보고 프로세스를 간소화된 기준에 매핑하세요
- 제3자 의존성 문서를 감사하세요 — 보고된 사고의 40%가 공급업체와 관련
- 2027년 3월 전 FCA/PRA/BoE 공동 보고 포털 전환을 계획하세요
- AI 거버넌스 (EU AI Act / GDPR):
- 모든 AI 애플리케이션을 인벤토리하세요 — 사업 부서의 섀도 AI 배포 포함
- EU AI Act 리스크 수준별로 AI 시스템을 분류하세요
- 프로젝트 시작부터 AI 개발에 보안 팀을 내장하세요("시프트 레프트")
- 제3자 및 맞춤형 AI 사용 모니터링을 위한 AI 보안 플랫폼을 배포하세요
- 인증서 관리 (NIS2 / CRA):
- 전체 인프라에서 인증서 발견 스캔을 실행하세요
- 인증서 수명주기 관리 자동화 도구를 평가하세요
- 첫 번째 마일스톤으로 200일 인증서 유효 기간을 위한 계획을 시작하세요
- NIS2 감사 준비를 위한 암호 키 관리 프로세스를 문서화하세요
- NIS2 & DORA (진행 중인 집행):
- 24/72시간 사고 보고 역량을 검증하세요
- AI 서비스 제공자를 포함하도록 ICT 제3자 리스크 등록부를 업데이트하세요
- 요구되는 위협 주도 침투 테스트를 수행하세요
- 영국 CNI 부문에서 운영하는 경우 NCSC CAF에 대해 벤치마크하세요