우리 전문가들이 Nemko 블로그에서 말하는 모든 것을 읽으십시오

CE 마킹을 위해 사이버 보안은 필수

Written by seungyeun SONG | Jan 28, 2022

수년간의 논의 끝에 EU 위원회는 IoT 및 무선 제품의 대부분을 다루는 CE RED(Radio Equipment Directive)에 사이버 보안을 적용하기로 결정했습니다. 추가 의견이나 지연에 대한 최종 기한이 12월부로 종료되었음으로 2022년 1월 1일 시작으로 30개월 카운트다운이 2024년 7월 31일까지 진행됩니다. 2024년 8월 1일 부터 사이버 보안은 공식적으로 무선 장비의 CE 마킹에 대한 필수 요건이 됩니다.


새로운 요구 사항의 배경

사이버 보안 요구 사항은 항상 RED의 일부였지만 규정 준수를 입증하는 방법에 대한 불확실성으로 인해 지금까지 적용되지 않았습니다.

관련 요구 사항은 RED의 3(3) d), e) 및 f)에서 찾을 수 있으며 다음과 같습니다:

(d) 허용할 수 없는 서비스 감소를 유발하는 네트워크의 위해 및 오용이 존재하지 않는다.
(e) 개인 데이터 및 개인 정보 보호
(f) 사기로부터 보호

현재 이러한 요구 사항에 대해 지정된 표준이 없으므로 EU 위원회는 유럽 표준화 기구 (ETSI, CEN 및 CENELEC) 에 제조업체가 그에 따라 제품을 평가할 수 있도록 관련 표준을 만들도록 요청했습니다.

그러나 이것이 사이버 보안에 대한 표준이 없다는 것을 의미하지는 않습니다. 2020년 ETSI는 기대 요구 사항에 가장 근접한 ‘소비자 사물 인터넷을 위한 사이버 보안’을 발표 했습니다.
이 요구사항에 해당되는 제품은 무엇인가?
RED의 사이버 보안 범위는 사이버 보안 기사 내용은 물론이고 우리가 일상 생활에서 사용하는 대부분의 연결 제품 (Connected product)이 새로운 요구 사항에 포함됩니다.

위의 설명을 참조하는 경우 해당 범위는 다음과 같습니다:
(d) 인터넷을 통해 직접 또는 간접적으로 통신하는 모든 무선 장비
(e) 개인 데이터 또는 교통 데이터 및 위치 데이터를 처리하는 모든 무선 장비, 예)
  • 인터넷 연결 무선 장비
  • 보육용 무선 장비*
  • 장난감 지침" 내의 무선 장비
  • 웨어러블 무선 장비
(f) 송금이 가능한 인터넷에 연결된 모든 무선 장비

*인터넷에 연결되지 않은 장비를 포함하여 어린이용 라디오가 있는 모든 장비가 포함되어 있습니다.

특별히 의료 기기 또는 체외 진단기, 항공, 차량 및 도로 통행료 시스템이 적용되는 장비는 제외됩니다.
 
자세히 알아보기:  E-book: 사이버 보안 인증 - IoT 제품 
언제, 어떻게 준비해야 하는가
최종 표준이 발표될 때까지 기다리는 것은 표준 발행 시간이 지연될 수 있지만 규정 적용 일자는 지연되지 않기 때문에 좋은 전략이 아닙니다. 표준이 발행되고 적용되는 시점 사이의 시간이 매우 짧아 제품에 요구 사항 적용 및 부적합에 따른 변경 사항을 적용하기가 매우 어려울 수 있습니다.

새로운 표준 적용을 준비하려면 ETSI의 ‘소비자 사물 인터넷을 위한 사이버 보안’ 을  숙지하는 것을 권고 합니다. 이표준이 새로운 표준에 대한 좋은 지침으로 인식되고 있기 때문입니다. 표준이 발표될 때까지 기다리지 않고 지금 제품을 평가하는 것의 또 다른 큰 장점은 30개월(2024년 8월 1일)후 요구 사항을 의무적으로 적용해야 하는 차기 제품에 문제점을 보완할 시간을 준다는 것입니다.
어떻게 시작 해야 하나?
우리의 경험에 따르면 많은 제조업체가 사이버 보안 표준의 구현 및 적용 시작을 연기하고자 하는데, 이유는 두 가지로 볼 수 있습니다:
 
  1. 사이버 보안 규정에 대한 제한된 지식, 연결되지 않는제품 (not connected product)의 제조업체는 종종 사이버 보안에 대한 경험이 제한적일 수 있습니다.
  2. 공식 표준에 대한 제한된 지식; 연결된 제품을 만든 광범위한 경험이 있지만 사이버 보안 표준에 대한 경험이 없을 수 있는 제조업체.
두 그룹 모두 제조업체의 경험 정도에 따라 기술적인 부분이나 형식적인 부분에 중점을 두고 표준에 대한 공부를 시작해야 합니다.

또 다른 방법은 표준에 따라 제품의 갭 분석을 수행하는 것입니다. 갭 분석을 통해 제조업체는 차기 제품에서 구현될 수 있는 구체적이고 가치 있는 개선 목록을 갖게 될 것입니다.

Nemko에  연락하여 위에 나열된 서비스를 포함하여 취약성 및 침투 테스트(vulnerability and penetration testing)와 같은 보안 강화에 대한 추가 지원에 대해 자세히 알아보십시오