미국의 일부 주에서는 이미 2020년부터 소비자 제품의 사이버 보안에 대한 몇 가지 요구사항을 도입해왔습니다. 캘리포니아와 오리건 주가 선두를 달리고 있지만, 이러한 요구사항이 미국 전역으로 확대되기까지는 시간이 필요할 것으로 보입니다. 이러한 추세는 라벨링 제도에서도 마찬가지로 나타나고 있습니다.
그러나 더욱 중요한 것은 이러한 요구사항을 충족하기 위한 새로운 표준과 절차가 도입되고 있다는 것입니다. 이는 소비자들이 제품을 구매할 때 더 많은 안전성과 보안성을 기대할 수 있게 해줍니다. 미래에는 이러한 사이버 보안 요구사항이 모든 소비자 제품에 적용되어, 더욱 안전한 디지털 환경을 만들어나갈 것으로 기대됩니다.
이 요구사항은 NIST 표준 NIST IR 8259A 및 NIST IR 8425를 기반으로 합니다. 그러나 NIST에는 이러한 요구사항을 집행할 권한이 없고, 이 책임은 2023년 8월 FCC 23-65를 통해 FCC(연방통신위원회)에 부여됩니다. 기술 제도 요구사항은 부속서에 포함되어 있으며 대략 다음과 같이 분류할 수 있습니다.
자산 식별:
1. 자산 식별
2. 제품 구성
3. 데이터 보호
4. 인터페이스 접근 제어
5. 소프트웨어 업데이트
6. 사이버 보안 상태 인식
7. 문서화
8. 정보 및 문의 접수
9. 정보 배포
10. 교육 및 인식 제고
교육 및 인식 제고를 제외한 나머지 요구사항 다수는 여러 사이버 보안 표준에서 쉽게 발견할 수 있습니다. 그리고 아마도 우리처럼 많은 사람들이 제품 제조업체가 이를 어떻게 달성할 수 있는지 궁금해했을 것입니다. 답은 이중 라벨에 있습니다. 하나는 "US CYBER TRUST MARK" 문구가, 다른 하나는 웹 페이지로 연결되는 QR 코드가 표기되어 있습니다.
FCC는 연내 제도 개시를 목표로 하고 있으며, 이 제도는 자발적이지만 실제로는 미국 소비자가 구매 제품의 보안을 확인할 수 있는 유일한 수단입니다. 또한 NIST SP 800-213 시리즈 등을 통해 스스로 사이버 보안에 대한 요구 사항을 설정함으로써 사이버 보안을 강화하기 위해 연방 조직의 구매력을 활용하려는 목표도 표명되었습니다.
자세한 내용은 사이버시큐리티 온디맨드 웹 세미나를 참조하세요
오늘날 IoT 제품을 대상으로 하는 몇 가지 사이버 보안 표준이 있습니다. 아마 ETSI EN 303 645가 전 세계에서 가장 보편적으로 활용될 것입니다. 미국에서 NIST는 앞서 언급한 NIST IR 8259 A와 NISTIR 8425를 곧 도입할 미국 사이버 트러스트 마크의 기반으로 삼았습니다.
Nemko는 이러한 모든 표준에 대한 경험이 있습니다. 여러분의 제품과 관련된 사항을 알고 싶으시다면 아래 링크를 통해 문의해주시기 바랍니다.