이러한 변화에 대응하기 위해, 유럽연합은 위임규정 EU (2022/30), 이른바 “RED Cyber”를 2022년에 도입하고 2024년부터 본격 적용했습니다. 이 규정은 인터넷에 연결되는 무선기기에 대해 다음과 같은 필수 사이버보안 요구사항을 명시하고 있습니다.
- 네트워크에 피해를 주거나 자원을 오용해서는 안 될 것
- 개인정보 및 프라이버시를 보호할 것
- 사기(Fraud)로부터 보호될 것
2024년 초에 발행된 EN 18031 표준은 이러한 일반적인 규제 요구사항에 대해 적합성 추정(presumption of conformity)의 근거를 제공합니다. 지난 몇 년간 많은 제조사들은 이 요구사항을 충족하기 위해 상당한 투자를 진행해 왔습니다.
한편, 디지털 요소를 포함한 제품(products with digital elements)을 대상으로 하는 EU 사이버 복원력 법(CRA) 역시 이미 발효되었습니다. 이에 따라 제조사들은 기존 RED 적합성을 유지하면서도, CRA의 새로운 요구사항을 어떻게 효율적으로 충족할 수 있을지라는 과제에 직면하게 되었습니다.
RED Cyber가 인터넷 연결 무선기기에 대한 사이버보안 요구사항을 도입했다면, CRA는 유사한 원칙을 기반으로 하되 적용 범위와 의무의 깊이를 크게 확장한 법규라고 볼 수 있습니다.
이미 EN 18031을 기반으로 RED 적합성을 확보한 장비의 경우, 일반적으로 다음과 같은 요소는 이미 충족하고 있을 것으로 예상됩니다.
위험 기반의 사이버보안 접근 방식
설계 단계부터 반영된 제품 수준의 보안 요구사항
기술문서 작성 및 적합성 평가 프로세스
일부 취약점 관리 고려사항
일부 공급망 관련 고려사항
그러나 CRA는 여기에 더해, 운영 체계의 구체화, 제품 수명주기 전반에 대한 거버넌스, 그리고 공급망 보안 성숙도까지 추가적으로 요구합니다.
현재까지 CRA에 대해 공식적으로 조화표준(harmonized standards)은 아직 마련되지 않았으며, 인증기관(Notified Bodies) 또한 지정되지 않은 상태입니다. 다만, 다양한 표준들이 현재 개발 단계의 각기 다른 위치에 있습니다. 향후 CRA 요구사항은 보안이 내재화된 SDLC(보안 중심 시스템 개발 생명주기), 취약점 관리, 암호화(Encryption) 같은 요소들을 포함하는 수평 표준(horizontal standards)을 통해 폭넓게 다뤄질 가능성이 큽니다.
이와 함께, 특정 제품군이나 산업 특성을 반영한 수직 표준(vertical standards)도 적용될 예정입니다. 이러한 표준은 사이버보안 측면에서의 중요도에 따라 제품을 분류하며, 예를 들어 스마트카드는 ‘Critical’, 패스워드 관리자는 ‘Important Class I’, 일반 소비자 전자제품은 주로 ‘Default’ 범주에 해당합니다.
CRA 적합성 관련 주요 기한이 빠르게 다가오고 있습니다.
- 취약점 처리(vulnerability handling) 관련 첫 번째 기한: 올해 9월
- CRA 전면 적용 기한: 내년 12월
이에 따라 제조사들은 현재 자사의 위치를 명확히 파악하고, CRA 적합성을 달성하기 위해 어떤 필수 단계를 밟아야 하는지 조속히 검토할 필요가 있습니다.
이를 위한 실무적인 가이드는 다음 다음 링크에서 확인할 수 있습니다.
추가 정보니 지원이 필요하신 경우, korea@nemko.com로 문의해 주시기 바랍니다.