뉴스레터 - 법무법인(유한) 대륙아주

해외규제 리포트 2025-08-08

해외규제 리포트 - 유럽연합(EU), 최초의 「EU 우주법」 제안 – 민간 우주산업 규제 체계 본격화 및 사이버보안 기준 강화

[대륙아주]해외규제리포트 - 유럽연합(EU)_ 최초의 「EU 우주법」 제안 – 민간 우주산업 규제 체계 본격화 및 사이버보안 기준 강화.pdf

유럽연합(EU), 최초의 「EU 우주법」 제안 – 민간 우주산업 규제 체계 본격화 및 사이버보안 기준 강화
EU 집행위원회, 「EU Space Law」 제안 – 민간 위성 사업자 대상 최초의 법률로 사이버보안·공급망 규제 신설 및 공공·민간 우주인프라 보호 체계 정비 착수

1. 주요 내용

2025. 6. 27., 유럽연합 집행위원회(European Commission)는 EU 사상 최초로 민간 우주산업 전반을 포괄하는 법률 체계인 「EU Space Law」 제안안을 발표하였습니다. 해당 제안은 유럽연합 역내의 위성 기반 인프라와 관련 서비스에 대한 전략적 통제 및 사이버보안 강화를 목적으로 하고 있으며, 갈수록 민간 중심으로 확대되고 있는 우주 산업의 보안 취약성과 지정학적 리스크에 대응하기 위한 규범적·제도적 기반 마련이라는 점에서 중대한 정책 전환으로 평가됩니다.

이번 제안안은 1) 위성·우주 인프라의 사이버보안 및 공급망 보안 강화, 2) ‘중요 우주 인프라(Critical Space Infrastructure)’ 지정 및 보호 조치 도입, 3) 민간 기업에 대한 법적 의무 및 통보체계 구축 등 크게 세 가지 핵심 축으로 구성되어 있습니다. 해당 법안은 유럽연합 조약(TFEU) 제189조 및 제114조를 근거로 한 단일 규정(Regulation) 형태로 발의되었으며, 최종 제정 시 각 회원국 별도의 입법 없이도 직접 적용됩니다.

첫째, 본 제안안은 위성 통신, 항법, 관측 등 다양한 우주 관련 서비스를 제공하거나 관련 인프라를 보유한 민간 사업자에게 사이버보안 체계 수립 및 리스크 관리 의무를 최초로 법제화하였습니다. 여기에는 위협 탐지시스템 구축, 사이버 공격 대응 절차 수립, 공급망 교란 대응계획 마련, 내부 통제 및 교육체계 도입, 사이버 사건 발생 시 국가 당국에 대한 신속 통보 의무 등이 포함됩니다. 이는 기존 NIS2 지침의 일반 정보보안 규정과는 별도로 우주산업의 기술적 특수성 및 중요성을 고려한 별도 프레임워크로 설계되었으며, 고도화된 위성 기술 및 데이터 처리 시스템이 외부 공격에 노출될 가능성을 사전에 차단하고, 복원력(resilience) 확보를 유도하기 위한 목적을 가지고 있습니다.

둘째, 집행위는 본 법안에서 ‘중요 우주 인프라(Critical Space Infrastructure)’라는 새로운 개념을 도입하여, 유럽연합 및 회원국 전체에 보안, 경제, 사회적 영향을 미칠 수 있는 핵심 우주 자산에 대해 지정제도를 시행하고, 이에 대한 보호 조치를 법적으로 의무화하였습니다. 지정 대상은 주로 유럽의 글로벌 항법 시스템(Galileo), 정지궤도 통신위성, 기상 관측 시스템, 전략 통신 체계 등을 포함하며, 민간 소유 자산도 포함될 수 있습니다. 지정된 인프라 운영자는 유럽 집행위 및 각국 당국과 협력하여 정기적 보안 감사(audits), 위험 평가(risk assessment), 비상 대응계획(contingency planning)을 수립해야 하며, 사전에 승인받지 않은 기술이전, 지분 양도, 외국 기업과의 협력에 제한을 받을 수 있습니다.

셋째, 동 법안은 민간 기업이 단순한 ‘시장 참여자’가 아닌 공공 인프라 제공자 또는 전략 자산 보유자로서 일정한 공공책무를 부담한다는 입법 철학을 바탕으로, 모든 우주 기반 서비스 사업자에게 정보 제공, 신고, 검토 협조 등의 의무를 부과합니다. 또한 집행위 및 각국 당국은 위성 서비스 중단, 데이터 오염, 물리적 또는 전자기적 공격 등이 발생한 경우 해당 사업자의 운영 중지 또는 제한 명령을 발할 수 있는 권한을 갖게 되며, 이는 유사시 회원국 간 공동 대응 체계를 통해 집행됩니다. 예컨대, 우주 공간에서 발생할 수 있는 충돌 위험(예: 파편 발생), 적대국의 전파 교란(jamming), 위성 해킹 등 비군사적 위협에 대해 EU 차원의 통일된 보호 체계를 구축하고자 하는 배경입니다.

해당 제안안은 기존의 EU 우주 정책 및 사이버보안 정책과의 일관성을 유지하면서도, 최근 민간 주도의 위성 통신 서비스(예: Starlink, OneWeb 등) 확대에 대응하기 위한 유럽 내 독자적 대응 체계를 구축하려는 의도가 내포되어 있습니다. 특히, 최근 우크라이나 전쟁 및 중동 지역 분쟁에서 확인된 바와 같이, 위성통신 인프라가 실시간 전장 통제, 정찰, 정보 수집, 재난 대응 등의 핵심 인프라로 활용되면서, 민간 보유 우주 자산이 사실상 국가 전략 자산으로 기능하게 된 현실을 반영하고 있습니다.

이번 법안은 향후 유럽의회 및 유럽이사회 심의를 거쳐 본격적인 입법 절차를 밟게 되며, EU 집행위는 2025년 중반까지 입법 완료 및 단계적 발효를 목표로 하고 있습니다. Baker McKenzie 및 Skadden 등 주요 글로벌 로펌은 동 제안안이 미국의 Commercial Space Launch Act, 일본의 우주활동법 등과 비교해도 보안 규제 강도가 높고 공공 통제가 강조되는 법안으로 평가하고 있으며, 향후 세부 지침(Implementing Regulation) 및 기술기준(TS/CS) 제정이 병행될 가능성이 있다고 전망하고 있습니다.

2. 유의사항 및 시사점

이번 「EU 우주법(EU Space Law)」 제안안은 유럽연합이 단일 법령 체계 하에서 민간 우주산업 전반을 규율 대상으로 삼은 최초의 시도로, 사이버보안 확보, 공급망 투명성 강화, 핵심 우주 인프라 지정 등 복합적인 요소를 동시에 도입함으로써 관련 업계에 구조적인 전환을 요구하고 있습니다. 특히, 민간 위성사업자에게 공공 인프라 운영자 수준의 규제 의무를 부과하고, 기술 및 자본의 외부 이전에 대한 제한적 통제를 명시함으로써, 기존의 상업 중심 사업모델과 지배구조에 중대한 영향을 미칠 수 있다는 점에서 전략적인 대응이 요구됩니다.

첫째, 민간 기업에 대한 공공보안 책임의 제도화는 우주산업 전반의 투자구조와 운영전략에 실질적인 제약을 초래할 가능성이 있습니다. 본 제안안은 위성 통신, 항법, 관측 등 전 영역을 포괄하여 일정 기준 이상의 사업자에게 위협 탐지, 보안 감사, 복원력 확보 등의 기술적·조직적 조치를 의무화하고 있으며, ‘중요 우주 인프라’로 지정될 경우 정부 당국의 사전 승인 및 통보 체계 하에 놓이게 됩니다. 이에 따라, 프로젝트 구조 설계 단계부터 지분 구성, 기술협력 범위, 제3국 투자자 참여 여부 등을 사전에 정비하고, 향후 지정 여부에 따라 규제 수준을 차등적으로 반영하는 것이 필요합니다.

둘째, 사이버보안 및 공급망 실사 의무의 신설은 위성 관련 기업의 컴플라이언스 리스크를 비약적으로 증가시킬 것으로 예상됩니다. 해당 법안은 기존의 NIS2 지침과 병렬적으로 작동하는 독립적인 보안 프레임워크로서, 위협 탐지 시스템 구축, 보안 침해 시 통보 의무, 공급망 리스크 평가 및 대응계획 수립 등을 명확히 요구하고 있습니다. 이는 단순한 기술적 보완을 넘어서 문서화 체계, 인증 취득, 조직 구성까지 전사적인 정비를 요구하는 사항이며, 위성 장비, 데이터 처리, 지상국 운영 등 복수의 법인으로 구성된 사업체일수록 이행 비용이 높아질 수 있습니다. 또한, 해당 법안은 역내 사업자 뿐만 아니라 유럽 프로젝트에 납품하는 역외 기업에도 간접적으로 적용될 수 있으므로, 국내 위성부품 제조사 및 통신장비 공급업체는 향후 입찰 참여 시 보안 실사에 대비한 체계적인 자료 준비가 필요합니다.

셋째, 우주산업의 공공-민간 혼합 구조 하에서 자본거래와 기술이전 규제가 강화될 가능성이 높아졌습니다. 유럽연합은 본 법안에서 ‘비례성 원칙(Proportionality)’을 명시하고 있으나, 전략적 중요성이 인정되는 자산에 대해서는 외국인 지분투자, 기술 제공, 계약 구조 등에 제한을 둘 수 있는 여지를 열어두고 있습니다. 특히 ‘중요 우주 인프라’로 지정된 프로젝트는 유럽 집행위와 각국 정부의 공동 감독 하에 놓이며, 필요 시 사업자의 독립적 의사결정이나 상업적 활동이 제한될 수 있습니다. 이에 따라, 한국 기업이 유럽 내에서 위성 관련 합작법인을 설립하거나 공급망에 참여하는 경우, 법적 실체의 구성, 지분비율, 기술 의존도 등에 대한 사전 점검과 정부 당국과의 커뮤니케이션 전략을 수립하는 것이 중요합니다.

넷째, 해당 규제는 사이버 리스크에 대한 대응을 명분으로 하고 있으나, 실질적으로는 특정 국가 또는 특정 기술·자본에 대한 구조적 배제 가능성까지 포함하고 있다는 점에서 지정학적 리스크로 작용할 수 있습니다. 유럽연합은 최근 몇 년간 전략적 자율성(strategic autonomy)을 정책 기조로 지속적으로 강조해 왔으며, 본 제안안은 민간 우주 인프라까지 정책 통제의 범위를 확장하려는 의도가 내포되어 있습니다. 따라서 국내 기업은 향후 유럽 내 공급망 운영 시 미국, 일본, 한국 등 우호국 간 표준 통합 및 기술 연계 전략을 검토함과 동시에, 민감 기술의 역외 이전이나 외국인 직접투자 구조에 대해 유럽의 투자심사제도(FDI Screening)와 의 연계 가능성을 고려한 대응방안을 마련해야 합니다.

마지막으로, 본 제안안은 현재 입법 예고 단계에 있으나, 하위 법령 및 기술 세부지침이 2025년 중반부터 본격적으로 제정될 가능성이 높습니다. 이에 따라 국내 위성통신 서비스 기업, 장비 제조업체, 시스템 통합 사업자, 연구기관 등은 조기 단계부터 유럽 사이버보안 정책의 구조와 흐름을 분석하고, 내부적으로 유럽형 보안 인증 프레임워크를 사전에 수립해야 합니다. 또한, 향후 연방 차원의 기술심사제도 또는 사전신고제가 병행 도입될 경우를 대비하여, 기존의 계약서, 사업구조, 조달 계약서 등에도 관련 조항을 반영하여 대응할 필요가 있습니다. 이를 통해 EU 당국과의 불필요한 분쟁을 예방하고, 유럽시장 내 지속가능한 사업 운영 기반을 확보할 수 있을 것으로 보입니다.

관련 구성원
- 차동언
  
  파트너변호사
  
  T. 02-3016-8720
  
  임성훈
  
  외국변호사
  
  T. 02-3016-5216
  
  김석민
  
  외국변호사
  
  T. 02-3016-5353
  
  김승진
  
  파트너변호사
  
  T. 02-3016-5214
  
  이관희
  
  고문
  
  T. 02-3016-5229
관련 업무분야
- 글로벌 컴플라이언스 국제 국제거래 해외투자/외국인투자 WTO/FTA 유럽