TL;DR. 독일 1차 파동에 대한 NIS2 첫 번째 주기 감사가 이제 완료 단계에 접어들었습니다. 12월 이후 저희가 대화한 구매자들은 모두 동일한 스택을 묘사합니다. 도구 5개, 계약 3건, 중복된 감사 로그 2개, 그리고 해소하지 못한 격차 1개. 이 글은 그 대화를 구조적으로 정리한 것입니다. 자체 호스팅 컨트롤 플레인이 통합하는 것, 어떤 경우에도 예산에 남는 것, 그리고 2026년 갱신 주기의 올바른 프레임이 왜 “Veeam보다 저렴하다”가 아니라 “등록 항목 감소, 중복 감소, 격차를 솔직하게 명시”인지에 대해 설명합니다.
- Frontier Economics는 EU 전역 NIS2 컴플라이언스 비용을 연간 EUR 312억으로 추산했습니다. 중견 시장의 조직별 현실은 “이미 보안 스택이 있었으나, NIS2가 누락된 부분을 드러냈다”는 것입니다.
- 5가지 도구 스택: 백업, DR, 데이터 마스킹 또는 테스트 데이터, 침투 테스트 계약, GRC. 각각 일부 역할을 수행하지만 전체를 아우르는 것은 없습니다.
- Rediacc는 백업, DR, fork-as-test-data, 즉시 복원을 하나의 컨트롤 플레인과 하나의 감사 로그로 통합합니다. GRC, 인증, 교육, 광범위한 MFA, 침투 테스트, SIEM 및 SOC는 통합하지 않습니다.
- “여전히 귀사 몫인 항목” 표가 이 글의 구조적 핵심입니다. 이를 읽고 Rediacc가 Drata를 대체한다고 결론 내리는 구매자는 감사관을 실망시킬 것입니다.
2025년 12월, 독일 BSI는 NIS2 대상 범위에 해당하지만 등록하지 않은 것으로 판단된 기관에 47건의 공식 통보를 발송했습니다. 프랑스 ANSSI도 병행 조치를 시작했습니다. 이탈리아 ACN은 미등록으로 파악된 약 2,000개 기관을 추적하기 시작했습니다. 중견 필수 기업 및 중요 기업의 첫 번째 파동이 첫 번째 NIS2 감사 주기에 진입했습니다.
저희는 그 이후 약 30개 기관과 통화를 진행했습니다. 업종, 규모가 다양하고, 주로 독일과 이탈리아 기업이었으며 네덜란드와 에스토니아 기업도 일부 포함됐습니다. 대화의 내용은 서로 닮아 있었습니다. 모든 팀에는 백업 벤더가 있었고, 실제 테스트 여부가 불확실한 DR 계획이 있었으며, 반만 사실인 스테이징 환경 이야기가 있었습니다. 그리고 NIS2가 누구의 발표 자료에도 오르기 전에 승인된 구매 예산이 있었습니다.
이 글은 그 대화들을 구조적으로 정리한 것입니다. 2026년에 CFO나 구매자가 실제로 서명을 요청받는 내용, 자체 호스팅 컨트롤 플레인이 청구서에 미치는 변화, 그리고 정직한 잔존 비용이 어떤 모습인지를 다룹니다. 의도적으로 TCO 계산기 형태를 취하지 않았습니다. 저희가 대화하는 구매자들에게는 스프레드시트가 더 필요한 것이 아니라 자금이 어디로 가는지, 어떤 항목이 중복되는지에 대한 구조적 지도가 필요합니다.
“자체 호스팅이 중요하다”는 주장의 공급망 리스크 논거는 Article 21(2)(d)에 관한 동반 글을 참조하십시오. 연간 침투 테스트가 더 이상 충분하지 않은 이유에 대한 SRE 수준의 논거는 지속적 효과성에 관한 동반 글을 참조하십시오. 이 글은 그 두 글 사이, 예산 논의 지점에 위치합니다.
거시적 수치의 의미와 한계
Frontier Economics가 유럽 집행위원회를 위해 수행한 2024년 연구는 EU 전역 NIS2 컴플라이언스의 직접 연간 비용을 EUR 312억으로 산출했습니다. 이 수치는 광범위하게 인용되지만, 동시에 광범위하게 잘못 해석되기도 합니다.
EUR 312억은 약 16만 개의 필수 기업 및 중요 기업 전체에 해당하는 수치입니다. 조직별 평균은 EUR 15만에서 25만 범위이며, 업종과 규모가 분산의 대부분을 좌우합니다. 제조업이나 의료 분야의 직원 250명 규모 중견 필수 기업은 이 범위의 상단에 위치합니다. 데이터 집약도가 낮은 업종의 직원 60명 규모 중요 기업은 하단에 위치합니다.
ENISA의 이행 비용 지침(이행 규정 (EU) 2024/2690 부속서 IV)은 Frontier 수치와 일치하지만 구분 방식이 다릅니다. 도구화에 약 3545%, 인력 및 교육에 약 3040%, 인증 및 감사에 약 1520%, 사고 대응 유보금 및 관리 서비스에 약 510%를 배분합니다.
2026년 예산에 서명하는 CFO에게 이것이 의미하는 바는, 도구화 계층이 중견 시장 기준 연간 약 EUR 5만에서 EUR 12만이라는 것입니다. 이미 구축된 것이 무엇인지에 따라 다릅니다. 이 도구화 계층을 단계별로 살펴보겠습니다.
의미하지 않는 바는, NIS2 준비 번들을 구매한다고 문제가 해결된다는 것입니다. 대부분의 팀에서 인력 교육 및 인증 예산이 도구화 예산보다 크며, 어떤 도구 벤더도 이를 줄여 주지 않습니다. NIS2 비용 50% 절감을 주장하는 벤더 제안은 거의 항상 전체 프로그램 비용이 아닌 도구화 항목만을 기준으로 계산한 것입니다.
중견 시장 팀들이 조용히 구축한 5가지 도구 스택
30건의 구매자 대화를 통해 보면, 스택은 90%의 경우 동일한 모습입니다. 카테고리별 1~2개의 지명 벤더를 포함한 5개 카테고리로 구성됩니다. 카테고리 레이블은 일정하지만 벤더 선택은 다양합니다.
1. 백업 벤더. 가장 일반적인 답변은 Veeam Data Platform Foundation 또는 Premium입니다. 소규모 기업에서는 Cohesity DataProtect, Rubrik Security Cloud, Commvault, Acronis Cyber Protect가 사용됩니다. 중견 시장 기준 연간 비용은 EUR 1만 5천에서 EUR 6만 범위입니다. 대개 가장 오래된 항목으로 NIS2보다 몇 년 앞서 존재했습니다.
2. DR 사이트 또는 DR-as-a-service. 런북이 있는 보조 클라우드 리전, Veeam Cloud Connect 또는 Rubrik Cloud Vault 테넌시, 또는 관리형 DR 공급자와의 계약입니다. 연간 비용은 EUR 8천에서 EUR 3만 5천입니다. 실제로 테스트되는 경우가 드물며, 런북은 대개 운영보다 포부에 가깝습니다.
3. 테스트 데이터 또는 데이터 마스킹 도구. 엔터프라이즈 기본값은 Delphix(현재 Perforce DevOps Data)입니다. Tonic.ai, Redgate Test Data Manager, 경우에 따라 자체 제작한 rsync-and-mask 스크립트가 사용됩니다. 라이선스 옵션의 연간 비용은 EUR 2만 5천에서 EUR 9만입니다. 저희 통화에서 대부분의 팀은 이 항목이 없고, 충분하다고 기대하는 스테이징 환경만 있습니다. Article 21(2)(e) 감사 논의가 이 항목을 예산으로 끌어들이는 계기가 됩니다.
4. 침투 테스트 계약. 보안 테스트 업체와의 유보 계약 또는 Pentera, Horizon3.ai와 같은 자율 플랫폼입니다. 자율 도구의 연간 비용은 EUR 1만 5천에서 EUR 5만, 인력 주도 계약은 EUR 2만에서 EUR 8만입니다. 대부분의 팀이 이것을 보유하고 있으며, 연 1~2회 실시합니다.
5. GRC 플랫폼. Drata, Vanta, OneTrust, AuditBoard, Hyperproof, DataGuard, Kertos. 소규모 팀에서는 자체 제작 스프레드시트를 사용하기도 합니다. 연간 비용은 EUR 1만 2천에서 EUR 6만입니다. 공급업체 등록부, 통제 프레임워크 확인, 증거 수집, 그리고 점점 더 많이 사용되는 SOC 2 또는 ISO 27001 감사 지원에 활용됩니다.
5개 항목, 3~5개 지명 벤더, 인력 및 교육 전 연간 통상 EUR 7만 5천에서 EUR 29만 5천. 분산이 크지만 구조는 일정합니다.
5개의 계약은 서로 연동되지 않는 경우가 많습니다. 감사 로그는 통합되지 않습니다. 종료 계획은 별도로 작성됩니다. 벤더 검토는 별도로 이루어지며, 때로는 서로 다른 구매 담당자가 수행합니다. 이것이 NIS2가 불편하게 만드는 구조적 형태입니다.
중복 영역
스택의 모든 카테고리는 적어도 하나의 다른 카테고리와 중복됩니다.
백업과 DR의 중복. 최신 백업 벤더는 모두 DR 기능을 갖추고 있다고 주장합니다. Cloud Connect가 포함된 Veeam Data Platform은 DR 제품입니다. Cloud Vault가 포함된 Rubrik도 DR 제품입니다. 두 항목은 종종 동일한 벤더에서 인접한 기능에 비용을 지불합니다. 역사적으로 항목을 통합하지 않은 구매자들은 운영상의 이유(별도 팀, 별도 SLA)가 있었지만, NIS2의 “복구를 위한 단일 진실 공급원” 기대 하에서는 그 근거가 약화됩니다.
백업과 테스트 데이터의 중복. Veeam Instant Recovery, Rubrik Live Mount, Cohesity SmartFiles는 모두 테스트용 마운트 가능 백업 형태를 제공합니다. 완전한 Delphix 대체품은 아니지만(마스킹 계층이 별도이고 데이터베이스 통합이 더 얕음), 많은 테스트 데이터 사용 사례에서 백업 도구가 절반의 답을 제공합니다. 대부분의 팀은 이를 인식하지 못합니다.
침투 테스트와 자율 테스트의 중복. 유보 기반 인력 침투 테스트와 Pentera 방식의 지속적 테스트는 때로는 대안으로, 때로는 보완재로 제시됩니다. 실제로 둘 다 보유한 구매자는 인접 기능에 두 번 비용을 지불하고 있습니다. 둘 다 없는 구매자는 Article 21(2)(f) 격차가 있습니다.
GRC와 모든 것의 중복. Drata는 백업, DR, 아이덴티티, 취약성 관리, 교육, 사고 대응과의 통합을 주장합니다. 통합 깊이는 다양합니다. 백업 도구와의 통합이 얕은 GRC 플랫폼은 백업 도구 자체의 증거와 동일하지 않은 컴플라이언스 증거를 생성하며, 감사관들은 어떤 것이 정식인지 묻기 시작했습니다.
중복은 낭비가 아닙니다. NIS2가 통합 문제를 구조적으로 만들기 전에, 10년에 걸쳐 구축된 스택의 결과입니다.
격차 영역
격차는 중복보다 더 흥미롭습니다. NIS2가 드러내는 것이 바로 격차이기 때문입니다.
실제 운영 데이터에 대한 패치 검증. 5개 카테고리 중 어느 것도 이를 잘 수행하지 못합니다. 백업 도구는 백업을 마운트하지만, 마운트된 환경은 현재 운영 환경이 아닌 복원된 백업입니다. 테스트 데이터 도구는 운영 데이터를 마스킹하지만, 마스킹된 환경은 형태는 현실적이나 구성 델타가 소실됩니다. 침투 테스트 계약은 대상으로 지정된 것을 테스트하며, 90%의 경우 스테이징입니다. “도구를 보유하고 있다”와 “1시간 이내에 현재 운영 동등 환경에서 CVE 패치를 테스트할 수 있다” 사이의 격차는 실재하며 구조적입니다.
지속적 효과성 평가. 대부분의 팀이 연간 주기로 실시합니다. Article 21(2)(f)는 더 자주 실시할 것을 요구합니다. 5개 카테고리 중 기본적으로 주간 또는 격주 증거를 생성하는 것은 없습니다. 구매자는 맞춤형 훈련을 실시하거나(드물고 비용이 많이 듦), 연간 주기를 수용하고 감사관이 받아들이기를 기대합니다. 최근 들어 감사관들은 받아들이지 않는 경우가 늘고 있습니다.
공급망 등록부 통합. 5개 벤더 각각이 별도의 등록 항목입니다. 각자 고유한 DPA, SCC, 하위 처리자 목록, 종료 계획을 보유합니다. 인력 교육 도구, 아이덴티티 도구, 관찰 가능성 도구, IaaS가 추가되기 전에 이미 5개의 1차 항목이 등록부에 있습니다. NIS2 관점에서 공급망 논의는 보안 논의만큼이나 등록부 관리 논의입니다. (구조적 논거는 공급망 글을 참조하십시오.)
Article 23 보고 워크플로. 24시간 조기 경보, 72시간 통보, 1개월 보고서는 5개 카테고리 중 어느 것도 자동으로 생성하지 않습니다. SIEM, SOC(내부 또는 외주), 그리고 국가 CSIRT에 파일을 제출하는 방법을 아는 담당자가 필요합니다. 소규모 팀은 이를 갖추지 못한 경우가 많습니다. 첫 번째 사고가 고통스러운 학습 경험이 됩니다.
Rediacc가 통합하는 것
Rediacc는 자체 호스팅 인프라에 대해 5개 카테고리 중 4개의 핵심 기능을 대체하는 통합 감사 로그를 갖춘 단일 컨트롤 플레인입니다.
백업: 핫(크래시 일관성 있는 BTRFS 스냅샷, 무중단) 및 콜드(앱 일관성 있는 중단-스냅샷-재시작) 백업 전략. systemd 타이머로 예약되고 rclone으로 다중 목적지로 전송됩니다. LUKS 암호화 볼륨으로, 운영자가 자격증명을 보유하며 Rediacc 회사는 평문 데이터를 볼 수 없습니다. 운영 형태는 백업 및 복원과 크로스 백업 전략을 참조하십시오.
DR: 백업과 동일한 기본 요소에 더해, 크로스 머신 데이터 이동을 위한 rdc repo migrate와 병렬 머신에서 복원된 상태를 신속하게 구동하는 fork 기본 요소를 제공합니다. DR 사이트는 다른 Hetzner 머신, OVH 머신, 온프레미스 랙 등 SSH로 접근 가능한 모든 곳이 될 수 있습니다. 데이터 경로에 DR 벤더 클라우드가 없습니다.
테스트 데이터 및 전체 스택 복제: BTRFS reflink 기반 fork로, 저장소 크기에 관계없이 일정한 시간이 소요되며 전체 스택(데이터, 구성, 컨테이너 상태, 서비스)을 복제합니다. 저희 PocketOS 테스트에서 128 GB 저장소를 7.2초에 fork했습니다. Fork는 간소화된 스테이징 환경이 아닌 현재 운영 환경입니다. 위험 없는 업그레이드를 참조하십시오.
즉시 복원: 임의의 rclone 대상에서 rdc repo backup pull로 새로운 fork에 복원하며, 상위 저장소의 와일드카드 인증서가 적용되는 fork 전용 서브도메인에서 구동됩니다. DNS 혼란이나 인증서 문제가 없습니다.
통합 감사 로그: 전체 컨트롤 플레인(인증, API 토큰, 구성 쓰기, 저장소 생명주기, 백업, 동기화, 터미널 세션, 머신 작업)을 커버하는 70개 이상의 이벤트 유형. 운영자 워크스테이션에서 해시 체인으로 연결되며, rdc audit verify로 종단간 무결성을 검증합니다.
직원 250명 규모의 중견 필수 기업의 경우, 4개의 지명 벤더(백업, DR, 테스트 데이터, 즉시 복원)에서 1개로 통합됩니다. 라이선스 1개, 감사 로그 1개, 업그레이드 결정 세트 1개, 등록 항목 1개.
다섯 번째 카테고리인 GRC는 통합되지 않습니다. 이에 대해서는 아래에서 다시 다룹니다.
어떤 경우에도 예산에 남는 항목
이 섹션이 나머지 글의 정직성을 판가름합니다. 두 열로 된 표를 확인하십시오.
| Rediacc가 제거하는 항목 | 항목별 귀사 몫으로 남는 것 |
|---|---|
| 백업 벤더 라이선스 | GRC 플랫폼(Drata, Vanta, OneTrust, AuditBoard, DataGuard): 공급업체 등록부, 통제 프레임워크 확인, 증거 수집, SOC 2 또는 ISO 27001 감사 지원 |
| DR 사이트 계약 또는 DR-as-a-service 테넌시 | 인증 감사 비용(ISO 27001, SOC 2, 필요한 경우 BSI C5; Rediacc 자체는 아직 인증받지 않았으므로 그 비용은 귀사가 부담) |
| 테스트 데이터 또는 마스킹 도구 라이선스 | 인력 교육 및 보안 인식 예산 (NIS2 Article 21(2)(g)) |
| 백업 벤더의 즉시 복구 라이선스 | 광범위한 기업용 MFA 솔루션; Rediacc는 포털에 TOTP만 있으며 기업용 MFA 플랫폼은 아님 |
| 침투 테스트 계약 또는 자율 테스트 플랫폼; Rediacc는 대상 환경을 제공하지 테스트 기능은 제공하지 않음 | |
| Article 23 탐지 및 보고를 위한 SIEM 및 SOC; Rediacc는 포렌식 등급 아티팩트를 제공하지 운영 보고 계층은 제공하지 않음 | |
| IaaS 공급자(Hetzner, OVH, 코로케이션, 베어 메탈); Rediacc는 인프라 위에서 실행되며 인프라를 대체하지 않음 | |
| 프로그램 운영 인력. Rediacc는 도구화 계층이며 보안 팀이 아님 |
표의 오른쪽이 왼쪽보다 깁니다. 이것이 NIS2 비용의 정직한 모습입니다. 백업, DR, 테스트 데이터 중복을 제거하면 실제 비용과 실제 등록 항목이 절감되지만, 보안 프로그램이 SaaS 구독으로 바뀌는 것은 아닙니다.
이것을 읽고 “Rediacc로 Drata를 대체할 수 있다”고 결론 내리는 구매자는 감사관을 실망시킬 것입니다. 올바른 해석은 이것입니다. Rediacc가 가능하게 하는 데이터 플레인 벤더 통합은 GRC 도구가 할 수 없는 것이고, GRC 도구가 수행하는 등록부 및 증거 작업은 Rediacc가 하지 않는 것입니다. 두 가지는 상호 보완적입니다.
NIS2 조항에 대한 기능 매핑은 NIS2 및 DORA를 참조하십시오. 더 넓은 아키텍처 프레임은 컴플라이언스 개요를 참조하십시오. Rediacc 측 상업적 세부사항은 구독 및 라이선싱을 참조하십시오.
구조적 참조 시나리오
직원 250명 규모의 독일 제조업체를 예로 들어 보겠습니다. Annex II “중요 기업” 분류입니다. 운영 데이터는 4~6대의 서버에 있으며, 대부분 자체 호스팅이고 SaaS 도구(CRM, 급여)가 한두 개 있습니다. 연간 매출 EUR 8천만. 기존 보안 팀 3명.
도입 전, 데이터 플레인 스택:
- Veeam Data Platform Foundation, EUR 24,000/년
- DR용 Veeam Cloud Connect, EUR 12,000/년
- 테스트 데이터를 위한 자체 제작 rsync-plus-pg_dump 방식, 라이선스는 무료이나 SRE가 2주마다 반나절 소요
- 연간 침투 테스트, EUR 22,000
- GRC용 Drata, EUR 18,000/년
5건의 계약. 그 중 2건(Veeam, Veeam Cloud Connect)은 동일 벤더의 다른 SKU입니다. 침투 테스트 또는 GRC를 제외한 데이터 플레인 항목 합계는 EUR 36,000/년입니다. 팀은 연간 복구 테스트를 실시하고, 지속적 효과성 증거가 없으며, 데이터 플레인 측면만으로 5개 항목이 있는 공급업체 등록부를 보유합니다.
도입 후, 자체 호스팅 워크로드에 Hetzner 위의 Rediacc 적용:
- Rediacc Business 티어, EUR 8,400/년 (저장소 규모 충족)
- 주 및 보조용 Hetzner IaaS, 합산 EUR 9,600/년 (기존 예산에 포함; 새 항목 없음)
- 침투 테스트 계약 유지 (EUR 22,000)
- Drata 유지 (EUR 18,000)
- 자체 제작 테스트 데이터 방식 폐기; SRE의 격주 반나절은 주간 효과성 루틴 운영으로 전환
데이터 플레인 통합: 5개 항목에서 1개(Rediacc)와 기존 IaaS 항목으로. 공급업체 등록부의 데이터 플레인 섹션은 5개 항목에서 2개로 감소. 지속적 효과성 스토리는 이제 해시 체인 감사 로그 증거를 갖춘 주간 훈련으로 구성되며, 복구 테스트 스토리는 rdc machine backup status 출력과 주간 복원 훈련으로 뒷받침됩니다.
수치는 참고용이며 약속이 아닙니다. 귀사의 스택은 다를 것입니다. 4~5개 항목이 하나와 기존 IaaS로 통합되는 형태가 실제 구매자 대화의 모습입니다.
이 글이 아닌 것
이 글은 Veeam 비판이나 TCO 계산기가 아닙니다. Veeam이 유럽에서 가장 큰 VM 백업 시장 점유율을 가진 데는 이유가 있습니다. 제품이 성숙하고, 파트너 네트워크가 광범위하며, NIS2 마케팅이 강력합니다. 2026년에 Veeam을 선택하는 구매자는 실수를 하는 것이 아닙니다. 참조 시나리오의 수치는 벤치마크가 아닌 실제 구매자 대화에서 도출된 예시입니다. 귀사의 계약에 맞게 구조적 분석을 실행하십시오.
이 글의 정체는 이것입니다. 향후 12개월 내에 백업, DR, 또는 컴플라이언스 계약을 재협상하며 자체 호스팅 컨트롤 플레인이 항목에 미치는 변화를 파악하려는 CFO를 위한 구매자 관점의 프레임입니다.
다음 단계
갱신 주기를 앞두고 예산이 열려 있다면, 세 가지 구체적인 조치를 취하십시오.
- 작년 보안 및 인프라 최대 3개 항목을 추출하십시오. DPO, CISO, 감사관에게 보내십시오. NIS2가 가시화하기 전에 이미 중복이었던 항목이 어떤 것인지 물어보십시오. 대부분의 팀은 비용을 지불해 온 중복 항목을 적어도 하나 발견합니다.
- 현재 데이터 플레인 스택을 위의 5개 카테고리 목록에 대응시키십시오. 벤더가 하나인 카테고리, 둘인 카테고리, 없는 카테고리를 표시하십시오. “없음” 셀이 NIS2가 드러낼 격차입니다.
- 각 데이터 플레인 벤더에 대해 공급망 글의 공급업체 등록부 연습을 실행하십시오. 등록 항목 수를 세십시오. 대개 팀이 예상한 것보다 많습니다.
후보 목록에 저희가 포함되어 있다면, 제안은 구체적입니다. 작년 보안 및 인프라 예산에서 가장 큰 3개 항목을 보내 주십시오. 통합 가능한 항목과 불가능한 항목을 서면으로 1주일 이내에 알려 드리겠습니다. 답변에는 격차도 포함될 것입니다. 격차를 명시하는 것이 나머지 답변을 신뢰할 수 있게 만드는 요소이기 때문입니다.
제로 비용 백업(저장소 측면에서 기존 업체보다 가볍게 운영하는 아키텍처 논거), 크로스 백업 전략(대륙 간 DR), 구독 및 라이선싱(상업적 측면)은 연결된 문서를 참조하십시오.