TÜV SÜD, 디지털 제품의 사이버 보안 역량을 높이다

20 November 2024

2024년 11월 20일, EU 관보에 공표된 사이버 복원력법(CRA, Cyber Resilience Act)은 EU 내 디지털 제품에 대한 요구 사항을 강화했습니다. 제조업체, 수입업체 및 유통업체는 새로운 법률에 따라 자사의 사이버 보안 정책 및 관행을 조정해야 합니다. 사이버 복원력법(CRA)은 포괄적인 취약점 관리, 의무적인 CE 마크, 디지털 제품의 사이버 보안, 그리고 보안 사고 보고에 대한 엄격한 의무를 주요 내용으로 포함하고 있습니다.

사이버 복원력법(CRA)은 유럽 연합 내 커넥티드 하드웨어 및 소프트웨어 제품에 대해 포괄적이고 구속력 있는 새로운 사이버 보안 요건을 도입합니다. TÜV SÜD의 사이버 보안 프로그램 매니저인 막심 에르난데스(Maxime Hernandez)는 "사이버 복원력법(CRA)의 목적은 '디지털 요소를 포함한 제품'의 보안을 강화하고, 제조업체가 제품 수명 주기 전반에 걸쳐 사이버 보안을 책임지도록 함으로써 기업과 소비자를 보호하는 데 있다"고 설명합니다. 새로운 규정은 스마트 TV, 펌웨어, 기계 모니터링에 사용되는 센서 및 산업 플랜트에서 사용되는 제품 등 다양한 제품에 적용됩니다. 다만, 의료기기, 자동차 및 민간 항공 분야의 안전 시스템 등 별도의 산업별 요구 사항에 따라 규제되는 제품은 적용 대상에서 제외됩니다. CRA에 부합하지 않는 디지털 제품의 제조업체, 수입업체 또는 유통업체는 높은 벌금을 부과받거나 EU 시장에서 승인 자격을 상실할 위험이 있습니다. 에르난데스 매니저는 “갈수록 복잡해지는 사이버 보안 위협에 대비하려면 디지털 제품의 운영 단계뿐만 아니라 설계, 개발, 생산 등 전체 수명 주기를 고려해야 한다”고 강조합니다.  

• 제품의 위험 등급에 따라 CRA 적합성 증명 요건이 달라집니다. 중요하지 않거나 위험 등급이 낮은 디지털 제품의 경우, 제조업체가 기술 문서를 포함한 적합성 자체 선언(Module A)을 통해 요구 사항을 충족할 수 있습니다. 그러나 중요한 제품은 공인 기관(예: TÜV SÜD)의 평가를 받아야 하며, 관련 표준이 제공되는 경우 이를 준수해야 합니다.  
  클래스 I 제품(네트워크 관리 시스템, 비밀번호 관리자, 보안 기능이 포함된 스마트 홈 제품 등)에는 낮은 수준의 사이버 보안 위험 요건이 적용됩니다. 클래스 II 제품은 방화벽, 변조 방지 마이크로프로세서, 변조 방지 마이크로컨트롤러와 같이 높은 사이버 보안 위험 수준을 가진 디지털 제품을 포함합니다. 에르난데스 매니저는 “우리는 관련 제품군의 표준을 기반으로 한 검사, 시험 및 위험 평가 서비스를 제공한다”고 덧붙였습니다.

설계 단계에서부터의 보안 확보

사이버 복원력법(CRA)은 커넥티드 제품이 데이터 암호화, 무단 접근 방지, 초기 설정부터 안전한 구성 보장 등의 기능을 갖추도록 요구합니다. 시장 출시 시점에서만 보안을 증명하는 것은 더 이상 충분하지 않습니다. 대신, 제조업체는 제품 수명 주기 전반에 걸친 사이버 보안 위험을 평가해야 합니다. 에르난데스 매니저는 “예를 들어, 부품을 구매할 때 제조업체는 구매한 부품으로 인해 최종 제품에서 발생할 수 있는 보안 취약점과 허점을 사전에 예방하기 위해 실사 단계를 수행해야 한다”고 설명합니다. 취약점 관리는 제조업체에게 핵심 의무로 부여됩니다. 적절히 대응하려면 제조업체가 초기 단계에서 취약점을 발견하고 평가할 수 있어야 합니다. 제조업체는 제품의 예상 수명 동안 보안 업데이트를 제공해야 하며, 이 기간 동안 보안 문제가 확인되면 보안 권고 메시지를 발표하고 보안 패치 및 업데이트를 무료로 제공해야 합니다.

또한, 제조업체는 보안 사고를 유럽 연합 사이버 보안국(ENISA), 제품 사용자 및 해당 제품의 유지보수 및 관리를 담당하는 제3자에게 보고해야 합니다. 디지털 제품 사용자는 취약한 제품에 대해 업데이트를 설치하거나 업데이트를 기다리는 동안 제품을 격리하는 등 신속히 대응해야 합니다. TÜV SÜD는 이러한 사고 보고를 위한 프로세스를 구현하고, CRA 요구 사항에 따른 기술 문서 작성 서비스를 지원합니다.

투명한 소통 및 문서화

사이버 복원력법(CRA)은 제품의 주요 특성과 보안 기능을 모두 나열한 포괄적 제품 문서화를 요구합니다. 문서에는 어떤 상황에서 어떤 사이버 보안 위험이 발생할 수 있는지, 사이버 보안 취약점 발생 시 연락 가능한 담당자의 세부 사항, CE 마크 및 SBOM (Software Bill of Materials)의 위치를 명시해야 합니다. SBOM은 모든 소프트웨어 요소의 세부 목록을 제공하여 보안 관리를 보다 용이하게 합니다.

사이버 복원력법(CRA)의 모든 요구 사항은 36개월의 전환 기간 후에 발효됩니다. 에르난데스 매니저는 “제조업체, 유통업체 및 수입업체는 사용자 보안을 보장하고 경쟁력 저하를 방지하기 위해 CRA를 조기에 대비해야 한다. 제조업체는 제품을 개선하기 위한 새로운 여정을 시작해야 하며, 이는 단기간에 이루어질 수 없다”고 강조했습니다. 이를 위해 TÜV SÜD는 이미 사이버 복원력(CRA)에 대한 포괄적인 교육 및 테스트 프로그램을 제공하고 있습니다.

더 많은 자료 확인하기:

• tuvsud.com/ko-kr/resource-centre/stories/cyber-resilience-act-a-new-era-in-product-cybersecurity
• tuvsud.com/ko-kr/themes/cybersecurity
• Regulation - 2024/2847 - EN - EUR-Lex

Download Press Release

Press-contact: Dirk Moser-Delarami