Apr 25, 2024
이제 미국에서 사이버 보안은 간과할 수 없는 문제입니다.
미국의 일부 주에서는 이미 소비자 제품 대상의 사이버 보안에 대해 몇 가지 요구사항을 도입했습니다. 캘리포니아와 오리건 주는 2020년부터 도입했지만, 사실 이러한 요구사항이 미국 전역에 적용되기 전까지는 영향력이 크지 않을 것으로 보입니다. 그리고 이 현상은 곧 도입될 라벨링 제도에서도 똑같이 일어나고 있습니다.
이 요구사항은 NIST 표준 NIST IR 8259A 및 NIST IR 8425를 기반으로 합니다. 그러나 NIST에는 이러한 요구사항을 집행할 권한이 없고, 이 책임은 2023년 8월 FCC 23-65를 통해 FCC(연방통신위원회)에 부여됩니다. 기술 제도 요구사항은 부속서에 포함되어 있으며 대략 다음과 같이 분류할 수 있습니다.
자산 식별:
1. 자산 식별
2. 제품 구성
3. 데이터 보호
4. 인터페이스 접근 제어
5. 소프트웨어 업데이트
6. 사이버 보안 상태 인식
7. 문서화
8. 정보 및 문의 접수
9. 정보 배포
10. 교육 및 인식 제고
교육 및 인식 제고를 제외한 나머지 요구사항 다수는 여러 사이버 보안 표준에서 쉽게 발견할 수 있습니다. 그리고 아마도 우리처럼 많은 사람들이 제품 제조업체가 이를 어떻게 달성할 수 있는지 궁금해했을 것입니다. 답은 이중 라벨에 있습니다. 하나는 "US CYBER TRUST MARK" 문구가, 다른 하나는 웹 페이지로 연결되는 QR 코드가 표기되어 있습니다.
FCC는 연내 제도 개시를 목표로 하고 있으며, 이 제도는 자발적이지만 실제로는 미국 소비자가 구매 제품의 보안을 확인할 수 있는 유일한 수단입니다. 또한 NIST SP 800-213 시리즈 등을 통해 스스로 사이버 보안에 대한 요구 사항을 설정함으로써 사이버 보안을 강화하기 위해 연방 조직의 구매력을 활용하려는 목표도 표명되었습니다.
자세한 내용은 사이버시큐리티 온디맨드 웹 세미나를 참조하세요
규정 준수는 그리 어렵지 않습니다
오늘날 IoT 제품을 대상으로 하는 몇 가지 사이버 보안 표준이 있습니다. 아마 ETSI EN 303 645가 전 세계에서 가장 보편적으로 활용될 것입니다. 미국에서 NIST는 앞서 언급한 NIST IR 8259 A와 NISTIR 8425를 곧 도입할 미국 사이버 트러스트 마크의 기반으로 삼았습니다.
Nemko는 이러한 모든 표준에 대한 경험이 있습니다. 여러분의 제품과 관련된 사항을 알고 싶으시다면 아래 링크를 통해 문의해주시기 바랍니다.
