TOP
기술칼럼

본문

기술칼럼

Technical column

SCROLL

사이버보안 국제 동향

기술칼럼 01
(미국) 자율적 사이버 보안 라벨링 프로그램이란?

2024년 9월 9일부로, 미국의 사물인터넷(IoT) 사이버 보안 라벨링 규칙이 발효되었습니다.

사이버 보안 기준을 충족하는 제품에 "미국 사이버 신뢰 마크(U.S. Cyber Trust Mark)"를 부여하여, 소비자들이 신뢰할 수 있는 제품을 쉽게 식별하고, 제조업체가 더 높은 보안 기준을 충족하도록 장려하는 미국 정부의 프로그램 입니다. 이 프로그램은 공공 및 민간 부문 간의 협력을 바탕으로 FCC가 감독하며, 인증 절차를 관리하는 제3자 관리자가 제품을 평가하고 라벨 사용을 승인하게 됩니다.

24년 9월 10일, 미국 연방통신위원회(FCC)의 공공안전 및 국토안보국은 사이버 보안 라벨링 프로그램을 위한 관리자를 모집한다고 발표했습니다.
- 사이버 보안 라벨링 관리자(CLA)와 리드 관리자(Lead Administrator)를 모집
CLA는 미국 정부 인증 마크(U.S. Cyber Trust Mark)를 사용할 수 있도록, 제품이 사이버 보안 규정을 준수했는지 인증하는 역할을 합니다. 리드 관리자는 FCC와 CLA 간의 연락을 담당하며, IoT 제품의 기술 표준과 테스트 절차를 개발하고, 소비자 교육 캠페인을 계획하고 실행하는 등의 역할을 수행합니다.

  • 아래와 같은 무선 소비자용 사물인터넷(IoT) 기기를 대상으로 합니다
    • 예: home security cameras, voice-activated shopping devices, internet-connected appliances, fitness trackers, garage door openers, and baby monitors, smart speaker, doorbell or shopping device and the apps
  • 관련 규정
    • Rule Part 8 CFR 47 Safeguarding and Securing the Internet
    • Subpart B—Cybersecurity Labeling Program for IoT Products

추가적으로 24년 9월 10일, NIST(National Institute of Standard and Technology)에서는 소비자용 라우터 제품에 대한 사이버보안 요구사항을 설명한 문서를 발행하였습니다. 사물인터넷(IoT) 장치와 원격 근무 환경이 점점 더 보편화됨에 따라, 가정에서 사용되는 소비자용 라우터의 사이버 보안 중요성이 더욱 커지고 있습니다. 라우터 보안이 취약할 경우 개인 정보뿐만 아니라 전체 네트워크의 안전에도 위협이 될 수 있기에, 해커나 악성 소프트웨어의 공격으로부터 안전하게 보호될 수 있도록 하기 위한 것 입니다.

자세한 내용은 아래 문서들을 참고하여 주세요.

출처: Public Notice_DA-24-791A1 출처: Public Notice_DOC-405340A1 출처: Public Notice_DA-24-900A1 출처: NIST IR 8425A
기술칼럼 02
(유럽) Cyber Security

유럽은 산업, 정부 기관, 금융 및 에너지 부문에서의 디지털 시스템 의존도가 높아지면서 사이버 공격에 대한 위험도가 증가함에 따라 사이버 보안을 강화하기 위해 여러 규제와 전략을 수립해왔으며, 2022년 1월 12일 사이버 보안에 대한 delegated regulation (EU) 2022/30을 발행하였습니다.

유럽의 사이버 보안 대상 기기는 Internet-Connected Radio Equipment 로, IoT 기기, wearable, potable 무선기기, 개인건강정보, 돈 또는 가상화폐 전송에 사용되는 기기이며 적용시점은 기존 2024년 8월 1일에서 연기되어 2025년 8월 1일부터 강제화 될 예정입니다.

관련된 규격으로는 EN 303 645, TS 103 701 등이 있으며, 지난 8월 EN 18031-1, EN 18031-2, EN 18031-3 규격이 정식 발행되면서 제조사에서는 이에 대한 준비가 필요할 예정입니다.

  • EN 18031-1: Internet connected radio equipment (네트워크 성능저하에 해를 끼치지 않을 것)
  • EN 18031-2: Equipment processing personal data (개인 데이터 보호)
  • EN 18031-3: Virtual money or monetary value (사기로부터 보호하는 기능을 지원)

각각의 규격은 항목별 요구사항이 있으며, 제조사 에서는 항목별 요구사항에 대한 증빙이 가능한 문서를 제공하여 실제 제품이 안전하게 보호되고 있는지 검증을 받아야 합니다. 현재 Cyber security에 대한 Essential requirements는 Article 3.3(d), (e), (f) 이며, RED의 OJEU에 등재된 Harmonized Standard 를 모두 적용하지 않는 경우, EU-Type examination (Module B, NB 에게 인증서를 발급받는 절차) 절차를 따라야 합니다.