미국 오하이오주는 지방정부와 공공기관을 대상으로 한 사이버 보안 강화를 법적으로 명문화한 ‘하원 법안 96(HB 96)’을 통과시켰다. 이번 법은 인터넷 보안 센터(Center for Internet Security, CIS)의 핵심 보안 통제(CIS Controls)와 NIST 사이버보안 프레임워크를 결합한 형태로, 카운티·도시·타운십 등 모든 정치적 하위 조직에 적용된다.
법은 각 기관이 보안 프로그램을 의무적으로 구축하도록 규정하며, 그 안에는 위험 평가, 사고 대응 절차, 복구 계획, 역할 기반 보안 교육이 포함된다. 또한 주정부 승인 없이 몸값을 지불하는 행위 금지, 사이버 사고의 신속한 보고 의무화, 보안 관련 기록 비공개 조항 등도 포함되어 있다. 이로써 오하이오는 미국 내 지방정부 차원의 보안 관리 의무를 법률로 규정한 선도적 사례가 되었다.
산업 전반으로 확산되는 보안 책임 구조의 변화
HB 96은 단순히 공공기관의 문제에 그치지 않는다. 지방정부의 보안 수준이 산업 전반의 공급망 안정성과 직결되기 때문이다. 실제로 공공기관의 시스템은 에너지, 운송, 통신, 금융 등 민간 핵심 인프라와 상호 연결되어 있어, 한 기관의 침해 사고가 광범위한 산업 피해로 이어질 가능성이 크다.
특히 공공 발주 시스템과 민간 계약 관리망을 함께 사용하는 중소 협력업체의 경우, 이번 법으로 인해 공공 계약 참여를 위한 보안 인증 수준이 상향될 것으로 예상된다. 이는 사이버 보안이 지방정부의 행정 이슈에서 산업 경쟁력 확보의 필수 요소로 전환되고 있음을 보여준다.
CIS 부사장 커티스 듀크스(Curtis Dukes)는 “지방정부가 강화된 보안 기준을 적용함으로써 공공-민간 간 보안 연계망 전체의 복원력이 향상될 것”이라며 “이는 산업 전반에 걸친 위험 감소로 이어질 것”이라고 밝혔다.
글로벌 확산: 공공 인프라 보안의 표준화 단계 진입
오하이오의 CIS 통제 법제화는 공공 인프라 보호 모델의 글로벌 표준화 추세를 가속시키고 있다. CIS 핵심 보안 통제와 NIST 프레임워크는 이미 미국 연방정부뿐 아니라 유럽연합(EU), 캐나다, 일본, 호주 등 주요국 공공기관의 사이버 보안 지침으로 채택되고 있다.
EU의 NIS2 지침과 영국의 사이버 에센셜스(Cyber Essentials) 제도는 모두 위험 평가와 사고 대응 중심의 ‘핵심 통제 기반 구조’를 도입했으며, 이번 오하이오 법은 이러한 국제적 방향성과 일치한다. 결과적으로, 미국의 주정부 단위 법제화는 국가 간 상호 인증 체계의 기반을 확립하며, 향후 글로벌 사이버 규제의 동조화(convergence)를 촉진할 것으로 보인다.
이 같은 법적 전환은 공공·민간 기관 모두에 규정 준수(Compliance)와 사이버 복원력(Resilience)을 동시에 확보하는 하이브리드 거버넌스 모델의 필요성을 강조하고 있다.
한국 산업계와 공공기관에 주는 시사점
한국 역시 지방정부·공공기관이 국가 디지털 전환과 스마트시티, AI 행정 시스템을 주도하면서 보안 의무와 산업 연계성이 동시에 증가하고 있다. 그러나 현재의 보안 프레임워크는 중앙집중적 구조로, 각 기관의 위험 대응 수준이 상이하다.
오하이오의 사례는 지방정부 단위에서도 독립적이면서 법적 구속력을 갖춘 보안 거버넌스 체계가 필요함을 보여준다. 특히 CIS 통제는 한국의 KISA 정보보호관리체계(ISMS) 및 행정안전부 지방정보보호지침과 호환성이 높아, 국내에서도 글로벌 규제 정합성(Interoperability) 확보를 위한 참고 모델로 유용하다.
산업적으로는 공공 프로젝트에 참여하는 SI·클라우드·보안 솔루션 기업이 CIS/NIST 기반 프레임워크에 대한 적응 능력을 갖추는 것이 필수적이다. 또한 공급망 내 중소기업은 위험 평가, 사고 보고 체계, 인력 보안 훈련 등 실무 단위 대응 역량을 강화해야 한다.
지방정부 보안이 산업 안정성의 전제 조건으로
오하이오 HB 96은 공공기관의 보안을 법제화함으로써, 지역 행정체계가 국가·산업 전반의 보안 생태계와 직접 연결되어 있음을 명확히 했다. 이는 사이버 보안이 단일 기관의 문제가 아닌, 산업·사회 전반의 복원력 확보 전략이라는 점을 상징한다.
글로벌적으로 CIS와 NIST의 결합은 공공-민간 간 통합 보안 모델의 기준으로 확산되고 있으며, 한국 또한 이와 같은 구조적 접근을 통해 지방정부, 공공기관, 산업계 간 연계 보안 거버넌스 체계를 강화해야 할 시점에 이르렀다.
관련기사
- 운영 네트워크 숨은 위협 제거...머신 ID 자동화로 제로 트러스트 완성
- 지능형 센서·로보틱 IoT 융합 ‘글로벌 IoRT 시장’ 꺾임 없는 성장
- AI 무기화로 랜섬웨어 3년 만에 급증, 기업 보안 경계령
- 윤리적 해커 네트워크 기반 상시 취약점 관리...실시간 보안 관리·경영 리스크 대응 강화
- 마스터 데이터 관리·거버넌스 통합...‘AI·데이터 신뢰·규제 대응력’ 강화
- 하드웨어 취약점 88% 증가, 네트워크 취약점 2배 급증
- 취약점 탐지·랜섬웨어 예측 자동화 ‘AI 에이전트’..보안팀 노이즈 98% 감소.
- 사고 대응 실패, 권한 충돌이 주범…AI와 시뮬레이션이 해법
- 머신 ID 관리 인증으로 보안 자동화·위험 최소화 실현
- 글로벌 ICT 직무 78% AI 기술 요구, 인력 재교육이 해법
- 행동 기반 AI 훈련, 운영 오류 85% 줄이고 ROI 8배 향상
- 보안 SW 및 서비스 지출 급등...비용 효율·위험 대응 핵심 과제 부상
- 사이버 공격 후 복구 가능한 기업, 단 4%뿐...‘보안 인식’과 ‘현실’의 간극 드러났다
- 도시 안전·교통·거버넌스 실시간 최적화하는 스마트시티 대규모 멀티모달 AI