우리 전문가들이 Nemko 블로그에서 말하는 모든 것을 읽으십시오

CE 인증에 필수적인 사이버보안

Written by seungyeun SONG | Jan 22, 2024

Last updated: January 2024

수년간의 논의 끝에 EU 위원회는 대부분의 IoT 및 무선 제품에 적용되는 무선 장비 지침(RED)에 사이버 보안을 도입하기로 결정했습니다. 추가 의견이나 지연에 대한 최종 기한이 12월에 종료되면서 2022년 1월 1일부로 2024년 8월까지 30개월의 카운트다운이 시작되었습니다. 사이버 보안이 무선 장비의 CE 마킹에 대한 필수 요구사항으로 공식 적용되는 날이 다가오는 것입니다. 제조업체가 새로운 표준의 의미를 완전히 이해하고, 효과적으로 구현하며, 규정 준수 프로그램을 준비하는 데 필요한 시간을 제공하기 위해 2023년 7월에 12개월이 연장되었습니다. 이는 소비자들에게도 도움이 될 것입니다. 새로운 시행일은 2025년 8월 1일입니다.

Note:  영국은 2024년 4월 29일부터 의무적인 사이버 보안 요구사항을 도입합니다 - 자세히보기


새로운 요구 사항의 배경

사이버 보안 요구사은 항상 RED의 일부였으나, 규정 준수를 입증하는 방법에 대한 불확실성으로 인해 이 부분은 지금까지 제대로 이행된 적은 없었습니다. 

관련 요구사항은 RED의 제3조 (3) d), e), f)에 명시되어 있으며, 요약하면 다음과 같습니다:

(d) 네트워크에 해를 끼치거나 네트워크 리소스를 오용하여 허용할 수 없는 서비스 저하를 초래하지 않을 것.
(e) 개인 데이터 및 개인정보 보호
(f) 사기로부터의 보호

현재 이러한 요구 사항에 대한 표준이 지정되어 있지 않기 때문에 EU 집행위원회는 제조업체가 이에 따라 제품을 평가할 수 있도록 유럽 표준화 기구(ETSI, CEN, CENELEC)에 관련 표준 제정을 요청했습니다.

그렇다고 해서 사이버 보안에 대한 표준이 없는 것은 아닙니다. 2020년에 ETSI는 예상되는 요구사항에 가장 근접한 표준으로 간주되는 '소비자 사물 인터넷을 위한 사이버 보안'을 발표했습니다.
 
어떤 제품이 대상에 포함되나요?
사이버 보안 조항뿐만 아니라 RED의 범위가 넓기 때문에 우리가 일상에서 사용하는 대부분의 커넥티드 제품이 새로운 요구사항에 포함됩니다.

위에서 설명한 참조를 사용하면 해당 범위는 다음과 같습니다:
(d) 인터넷을 통해 직간접적으로 통신하는 모든 무선 장비.
(e) 개인 데이터 또는 트래픽 데이터와 위치 데이터를 처리하는 모든 무선 장비(예: 다음):

  • 인터넷 연결 무전기 장비
  • 보육용 무선 장비*
  • 장난감 지침*에 따른 무선 장비
  • 웨어러블 무선 장비
(f) 송금을 가능하게 하는 인터넷에 연결된 무선 장비

*인터넷에 연결되지 않은 장비를 포함하여 무선 기능이 장착된 모든 어린이용 장비가 해당

의료기기 또는 체외 규정, 항공, 차량, 도로 통행료 시스템이 적용되는 장비는 특별히 제외됩니다.
 
자세히 알아보기 : 전자책: 사이버 보안 인증 - IoT 제품
언제 어떻게 준비해야 하나요?
최종 표준이 발표될 때까지 기다리는 것은 좋은 제품 규정 준수 전략이 아닙니다. 표준의 완성 시기는 지연될 수 있지만 규정의 시행 시기는 지연되지 않을 수 있기 때문입니다. 그렇게 되면 표준이 발표되고 요구사항이 시행되기까지의 시간이 매우 짧아 요구사항 및 변경 사항을 구현하기가 매우 어려울 수 있습니다.

표준에 대비하기 위해서는 다가오는 표준에 대한 좋은 가이드라인으로 인식되고 있는 ETSI의 '소비자 사물 인터넷을 위한 사이버 보안'을 미리 살펴보는 것이 좋습니다. 표준이 발표되기 전에 먼저 제품을 평가한다면 2025년 8월 1일에 요구 사항이 의무화되는 다음 제품에 미비점을 개선할 시간을 벌 수 있다는 또다른 장점을 취할 수도 있습니다.

시작하는 방법

그간의 사례를 볼 때, 많은 제조업체가 사이버 보안 표준 이행 및 준수 시기를 늦추는 이유는 주로 두 가지입니다:

 
  1. 사이버 보안 규정에 대한 지식 부족: 기존 제품이 연결되지 않은 제조업체는 사이버 보안에 대한 경험이 부족한 경우가 많습니다.
  2. 공식 표준에 대한 지식 부족; 제조업체는 커넥티드 제품 제작 경험이 풍부하지만 사이버 보안 표준에 대한 경험이 없을 수 있으며, 여기에는 전통적으로 사이버 보안으로 간주되는 요구사항이 포함되는 경우가 많습니다.
두 그룹 모두 제조업체의 경험에 따라 기술적인 부분 또는 공식적인 부분에 초점을 맞춰 표준을 소개하는 것부터 시작해야 합니다.

또 다른 옵션은 표준에 대한 제품의 갭 분석을 수행하는 것입니다. 이를 통해 제조업체는 다음 제품에서 구현해야 할 구체적이고 가치 있는 개선 사항 목록을 얻을 수 있습니다.