IoT 보안에 있어서 유럽연합 사이버 보안 강화법(EU Cyber Resilience Act)의 의미

유럽연합 사이버 보안 강화 법은 제조업체에 사이버 보안 규정을 적용한 최초의 유럽연합법입니다. 이 법은 하드웨어와 소프트웨어에 모두 해당하며 제조업체와 개발업체 모두에 적용되므로 해당 기업들은 연결된 기기의 보안에 책임을 지게 됩니다.유럽연합 집행위원회 보고서 해당 법은 두 가지 문제점을 다루고 있습니다. “해당 제품 중 상당수가 사이버 보안에 취약하다는 점, 그리고 무엇보다도, 이러한 취약점 개선에 필요한 업데이트를 제공하지 않는 제조업체가 많다는 점입니다.”

유럽연합 사이버 보안 강화법에서 요구하는 것

법적 요구사항이 작성 및 발표됨에 따라 구체적인 방안이 필요할 것입니다. 우리는 유럽연합 정부가 "중요한 정보는 암호화해야 한다," "기기는 반드시 업데이트될 수 있어야 한다," "소프트웨어 및 펌웨어의 무결성을 확보해야 한다," 등 다른 규제 내용에서 볼 수 있는 것과 비슷한 모호한 접근법을 취할 것이라 예상합니다. 하지만 처벌의 근거를 마련하기 위해서는 측정 가능한 접근법이 필요할 것입니다. 유럽연합 집행위원회에서 관련 문제점에 대해 지적하였으므로, 주기적인 업데이트가 요구될 가능성이 높습니다. 수많은 기기에 자동 업데이트를 전송하는 것은 제조업체가 업무 능력을 유지하고 과제를 자동화할 수 있게 도와주는 솔루션 없이는 어려운 일입니다. 덧붙여, 유럽연합 집행위원회는 소비자가 구매를 결정하고 기기를 안전하게 설정하는 것을 도울 수 있도록 더 많은 정보가 제공되어야 한다고 주장했습니다.

유럽연합 사이버 보안 강화법이 IoT 기기 제조업체에 미칠 영향

유럽연합 사이버 보안 강화법을 준수하지 않은 IoT 기기 제조업체는 상당한 수준의 벌금 내고 처벌을 받을 수 있습니다. 이는 최초로 규제 미준수 기관에 벌금을 부과하는 법 중 하나입니다. 유럽연합은 해당 법과 연관해 발생하는 기기 제조 관련 금전적 부담은 제조업체 및 개발업체들의 몫임을 명확히 하고 있습니다.

또한 사이버 보안 '필수' 요구사항에 부합하지 않는 제품은 시장 판매가 금지될 것입니다. 그러므로 제조업체들은 지금부터 보안 문제를 고려하여 제품을 설계해야 합니다. 그래야만 향후 몇 년 동안 시장에 판매될 기기들이 법적으로 요구되는 보안 표준에 부합하도록 할 수 있습니다. 각 유럽연합 국가의 시장 조사 기관들은 법을 준수하지 않은 기업에 법에 명시된 한도 내의 벌금을 매기고, 기준에 부합하지 않는 제품들의 시장 출시를 금지할 의무를 부여받게 될 것입니다. 하지만 다른 한편으로는, 유럽연합 전역을 포괄하는 하나의 사이버 보안 기준이 마련되었으므로 제조업체의 입장에서는 법을 준수하는 과정이 더욱 간단명료해집니다.

유럽연합 사이버 보안 강화법이 소비자에게 미칠 영향

유럽연합 사이버 보안 강화법은 제조업체들이 소비자에게 제품 구매 전 기기 보안에 대한 정보를 제공하도록 함으로써 소비자의 구매력을 강화하고 기기에 대한 신뢰를 높일 것입니다. 이 법으로 인하여 안전한 제품을 고르는 법 및 기기를 안전하게 설치하는 법에 대한 정보를 더 많이 제공해야 할 것입니다. 소비자들이 식료품의 영양성분표를 확인함으로써 해당 제품이 어떤 재료로 만들어졌는지 더 잘 이해할 수 있는 것처럼, 기기 보안에 대한 정보를 미리 제공하면 소비자들이 좀 더 많은 정보를 토대로 구매 결정을 내릴 수 있게 될 것입니다.

제조업체들이 제조한 기기의 사이버 보안 정보를 더 투명하게 밝힐 의무를 지게 될 것이므로, 소비자들은 시장에서 판매되는 연결 기기를 더 신뢰하게 됩니다. 더 나아가서 유럽연합 집행위원회는 제품 보안에 대한 소비자들의 신뢰가 높아진다면 “디지털 요소를 갖춘 제품”에 대한 수요가 늘어날 수도 있다고 예상하고 있습니다.

IoT 보안 관리는 설계 단계부터

규제 당국이 보안 강화를 위해 무거운 벌금과 벌칙을 부과하지 않아도 관련 법이 잘 지켜져야 합니다. 하지만 제품 개발 과정에서 보안 요소가 가장 뒷전으로 밀리는 경우가 너무나도 많은 것이 안타까운 현실입니다. 기업들이 자산, 고객, 평판, 직원을 지키는 것의 중요성을 깨닫고, 자발적인 양심에 따라 바람직한 방법으로 보안을 관리하는 것이 가장 이상적입니다. 하지만 그렇게 되기 전까지는, 규제 당국의 처벌 집행을 받아들여야 합니다. 여기에 더해, 국가 조사 기관이 규정 미준수 제품의 시장 판매를 금지하고 제한할 수 있는 권한을 가지기 때문에 처벌 효과가 발생하여 보안 수준이 더욱 향상될 것입니다.

유럽연합 사이버 보안 강화법의 적용 시점

현재 유럽연합 사이버 보안 강화법은 유럽의회와 유럽 이사회의 검토를 거쳐 채택합니다 이 법이 제정되면 가입국들은 그로부터 2년 이내에 해당 법을 채택해야 합니다. 그러므로 제조업체들은 앞으로 몇 년 안에 해당 법의 기준에 부합할 준비를 해야 합니다.

그러나 연결 기기에 대한 규제는 앞으로도 계속 강화될 것입니다. 유럽연합 사이버 보안 강화법은 단지 시작에 불과합니다. 우리는 다른 규제 당국이 이 법을 기준으로 유사한 표준을 마련할 것이라고 예상합니다. 앞으로 사물인터넷 및 사물인터넷 설계와 관련한 규제가 더 많아질 것입니다. 그러므로 이제 제조업체들은 앞으로의 IoT 규제에 대비하기 위해 제품 설계 단계부터 사이버 보안을 고려해야 합니다.

IoT 규제도 증가하고 있지만, 많은 산업 분야가 기기 보안 문제를 해결하기 위해 힘을 합치고 있습니다. 예를 들어 앞으로 출시될 예정인 Matter 프로토콜은 스마트홈 기기의 상호운용성, 보안, 신뢰도를 지원함으로써 더 나은 IoT 기기 보안을 위한 산업기반 로드맵이 될 수 있을 것입니다. 유럽 연합법의 세부 사항은 아직 발표되지 않았지만, Matter 보안 기준을 따르는 제조업체들은 기기 증명 인증서 및 제품 증명 중재 시스템을 이용하기 때문에 해당 유럽연합법의 요구사항에 부합할 가능성이 높습니다. 더욱이 해당 Matter 지원 기기에 Matter 인증 마크가 있다면 제조업체는 소비자에게 제품의 보안성을 알릴 수 있을 것입니다.

DigiCert를 통한 사이버 보안 강화

DigiCert는 유럽연합 사이버 보안법을 통해 연결된 세상의 디지털 신뢰가 강화될 것이라고 믿습니다. DigiCert는 설계를 통해 보안 요소를 갖추는 데 있어서 오랫동안 우수한 성과를 내었으며, 제조업체들이 이를 달성하도록 돕는데 필요한 전문성과 솔루션을 갖추고 있습니다. 예를 들어, 연결 기기를 위한 DigiCert는 수상경력을 갖춘 솔루션인 IoT 디바이스 매니저 및 Mocana를 통해 보안 업데이트 전송을 포함한 제조업체들의 기기 전체 수명 주기 관리를 돕습니다. Digicert 웹페이지를 방문하여 해당 법이 시행되기 전 미리 IoT 보안을 증진시키고 디지털 신뢰를 향상할 수 있는 방법을 확인해 보십시오. https://www.digicert.com/iot/trust-for-connected-devices

DigiCert® IoT 디바이스 매니저

IoT 디바이스 매니저는 기업들이 제조 과정 및 위기 상황에서 인증서 기반 보안을 통해 IoT 기기를 관리할 수 있도록, 포괄적이고 자동화된 워크플로를 제공합니다. 이는 연결된 기기 네트워크에 필요한 다양한 역량, 유연성, 제어, 효율성을 제공해줍니다. 관리자들은 인증서의 전체 생명 주기를 모니터하고, 보안을 업데이트하고, 인증서 내에서 기기 관련 메타데이터를 맞춤화 함과 동시에 관련 규제를 준수할 수 있습니다. IoT 디바이스 매니저는 자체 관리형 PKI를 구축 및 유지하는 것이 아니라, PKI를 자동 배포함으로써 광범위한 기기 네트워크를 관리하기 쉽게 만듭니다. 관리자는 허가 및 접속 제어를 맞춤화함으로써 서로 다른 사용자 그룹이 나눠서 관리작업을 할 수 있게끔 합니다. IoT 디바이스 매니저는 DigiCert ONE™의 일부이므로, 사내, 국내 또는 클라우드 환경 어디든 구축할 수 있는 유연성을 갖추고 엄격한 규정, 맞춤형 통합 및 에어갭 요구사항을 충족합니다.