영국, 디지털 정부 잠금 해제를 위해 사이버 보안에 £210M 투자, 생산성 절감에 £450억 투자

영국 정부는 더 많은 서비스가 온라인으로 이동함에 따라 온라인 공공 서비스를 보호하고 사람들의 데이터를 보호하기 위해 2억 1천만 파운드의 사이버 행동 계획을 발표했습니다.

이 계획은 부서 전반에 걸쳐 방어를 강화하고, 사이버 공격에 더 빠르게 대응하며, 대기열과 서류 작업을 줄이면서 생산성을 최대 450억 파운드까지 절감할 수 있는 디지털화를 지원하는 것을 목표로 합니다.

새로운 정부 사이버 부서에 의해 추진되는 이 계획은 정부 부서와 더 넓은 공공 부문 전반에 걸쳐 사이버 방어와 디지털 복원력을 빠르게 향상시켜 사람들이 자신의 데이터와 서비스가 보호된다는 것을 신뢰할 수 있도록 할 것입니다.

이는 영국 정부의 공공 서비스 디지털화 계획을 뒷받침합니다. 이를 통해 더 많은 서비스를 온라인으로 이용할 수 있게 되고, 전화 대기 및 서류 작업에 소요되는 시간이 줄어들며, 시민들이 여러 부서에 걸쳐 정보를 반복하지 않고도 지원에 액세스할 수 있게 됩니다. 이 접근 방식을 통해 공공 부문 전반에 걸쳐 기술을 효과적으로 사용함으로써 최대 450억 파운드(주)의 생산성 절감 효과를 얻을 수 있습니다.

사이버 보안 및 탄력성 법안이 하원에서 2차 독회를 가짐에 따라 발표된 이 법안은 사이버 탄력성을 높이기 위해 정부에 서비스를 제공하는 기업에 대한 명확한 기대치를 제시합니다. 에너지 및 물 공급업체부터 의료 및 데이터 센터에 이르기까지 공급망 전반에 걸친 강력한 방어는 물을 계속 흐르게 하고 불을 밝히는 데 도움이 될 것입니다. 이는 우리나라를 멈추게 하려는 사이버 공격자들을 막아낼 것입니다.

이 계획의 목표는 위험에 대한 보다 명확한 가시성과 심각하고 복잡한 위험에 대한 부서 간 협력을 강화하는 것입니다.

또한 주요 격차를 줄이고 중요한 서비스를 보호하기 위한 목표 조치를 통해 위협과 사고에 대한 더 빠른 대응과 정부 전반의 전반적인 탄력성을 높일 것입니다.

Ian Murray 디지털 정부 장관은 다음과 같이 말했습니다.

“사이버 공격은 몇 분 만에 중요한 공공 서비스를 오프라인 상태로 만들 수 있으며 디지털 서비스와 생활 방식 자체를 혼란에 빠뜨릴 수 있습니다. 이 계획은 공공 부문의 방어를 강화하기 위한 새로운 기준을 설정하고 사이버 범죄자에게 영국의 기업과 공공 서비스를 모두 보호하기 위해 더욱 더 빠르게 나아갈 것임을 경고하게 합니다.

이것이 우리가 사람들을 안전하게 지키고, 서비스를 운영하며, 디지털 시대에 대중이 신뢰할 수 있는 정부를 구축하는 방법입니다.”

또한, 새로운 소프트웨어 보안 대사 제도는 이제 소프트웨어 공급망 공격 및 중단을 줄이기 위해 고안된 자발적 프로젝트인 소프트웨어 보안 실천 강령의 채택을 촉진하는 데 도움이 될 것입니다.

그중에서도 Cisco, Palo Alto Networks, Sage, Santander 및 NCC Group이 이 계획의 홍보대사로 참여하여 부문 전반에 걸쳐 강령을 옹호하고 실제 구현을 선보이며 향후 정책 개선을 알리기 위한 피드백을 제공할 것입니다.

Santander UK의 최고 정보 보안 책임자(CISO)인 Thomas Harvey는 다음과 같이 말했습니다.

“우리는 영국 정부의 소프트웨어 보안 실천 강령의 대사가 된 것을 기쁘게 생각하며 이는 집단적 회복력에 대한 우리의 광범위한 약속을 반영합니다.

이러한 표준을 옹호함으로써 우리는 산탄데르와 고객을 보호할 뿐만 아니라 모든 사람을 위한 보다 안전한 디지털 경제를 구축하는 데 도움을 주고 있습니다.”

Sectigo의 선임 연구원인 Jason Soroko에 따르면 2025년은 사이버 방어에 있어 “잔인한” 해였습니다. 그는 2026년은 더 나쁠 것이라고 믿는다.

“공격자들은 이제 방어자들이 따라올 수 없는 속도로 AI를 배치하고 있습니다. 이는 매달 확대되는 비대칭입니다.”

소로코는 많은 조직이 여전히 기본에 실패하고 있다고 주장합니다.

“수비팀은 더 강력한 인증을 채택하는 데 시간이 오래 걸렸습니다. 이는 마치 문에 더 나은 잠금 장치를 설치하는 것을 거부하는 것과 같습니다. 공격자는 이를 최대한 활용합니다.”

비밀번호 없는 시스템이 점점 더 중요해지고 있지만 중앙 집중식 기업 환경에서는 비밀번호 키를 배포하기가 여전히 어렵고 “어디서나 격차”가 발생한다고 그는 경고했습니다.

그 결과는 익숙하지만 가속화되는 패턴이라고 그는 말합니다. 랜섬웨어 지불금은 계속 증가하고 공격 표면은 계속 확대되며 보안 팀은 속도를 유지하기 위해 고군분투하고 있습니다.

“공급업체 간 협력이 이루어지지 않으면 곡선이 잘못된 방향으로 휘어집니다.”

앞으로 소로코는 업계가 환영하지 않을 전환점을 예측한다.

“2026년은 즉각적인 주입으로 인해 발생한 최초의 Fortune 500대 중대한 침해가 공개적으로 인정된 사건이 ​​될 것입니다.”

조직이 LLM 통합 시스템을 서둘러 구축함에 따라 많은 기업이 적절한 보호 장치 없이 그렇게 할 것이라고 그는 경고합니다.

“적들은 이러한 모델이 유해한 내부 명령을 실행하거나 민감한 데이터를 유출하도록 강요하는 방법을 배우게 됩니다. 업계에서는 여전히 즉각적인 주입을 실제 보안 클래스라기보다는 영리한 파티 트릭처럼 취급합니다. 그렇지 않습니다.”

중요한 점은 공격자가 모델 자체를 손상시킬 필요가 없다는 것입니다.

“‘모델을 공격’하지 않고도 지침을 무기화할 수 있지만 조직은 이에 대한 준비가 되어 있지 않습니다.” 이에 대응하려면 방어적 사고가 빠르게 진화해야 한다고 그는 주장합니다.

“모델 서명 및 펌웨어와 같은 작은 모델의 처리는 필수 제어 장치로 부상할 것입니다. 그보다 적은 것은 기업을 위험에 노출시킵니다.”