EU 집행위, 사물인터넷 보안 강화 위한 '사이버리질리언스법(CRA)' 발표 예정
- 한국무역협회 브뤼셀지부 / KBA Europe 제공
EU 집행위는 네트워크 연결 장비의 최소 사이버보안 기준 도입 및 중요 품목의 인증절차 강화를 위한 '사이버리질리언스법(CRA : Cyber Resilience Act)'(안)을 금주 발표 예정
사물인터넷 보급이 확산하는 가운데 단일 장비에 대한 해킹만으로 기업 전체 또는 공급망에 중대한 파급효과를 초래할 수 있는 이른바 '취약고리' 등 네트워크 연결 장비의 광범위한 취약성을 보완하고, 사이버보안 관련 정확한 정보를 소비자에 제공하기 위한 목적
CRA 법안은 모든 네트워크 연결 장비의 전체 생애주기 동안 사이버보안을 강화 및 보장하는 법적 프레임을 마련하기 위한 세계 최초의 시도
[적용 대상 품목]
법안의 적용 대상 품목은 시장에 별도로 출시되는 소프트웨어 또는 하드웨어를 포함한 소프트웨어 제품 또는 하드웨어 제품 및 원격 데이터처리 솔루션' 등 '디지털 요소를 포함한 제품'. 단, 의료장비 등 별도의 섹터별 입법에 의해 규제되는 제품은 제외
[제품 필수요건]
사물인터넷 제품 제조사는 제품 출시 전 디자인, 개발 및 생산 관련 '필수요건'을 준수하고, 제품 취약성 모니터링 및 생애주기 무료 자동 업데이트를 통해 취약점을 보완해야 함
제조사, 유통사 및 수입자에 대해 디지털 요소가 포함된 제품의 시장 출시 또는 유통과 관련하여 공급망에서 각각의 역할 및 책임에 상응하는 의무가 부여됨
사이버보안 관련 '필수요건'에는 적정한 수준의 사이버보안 유지, 취약점이 발견된 상품의 시장 출시 금지, 초기설정을 통한 보안, 권한 없는 접속으로부터의 보호, (해킹 등) 공격표면 제한 및 사고 시 영향 최소화 등이 포함됨
사물인터넷 제품은 암호화기술 등을 활용, 데이터 비밀을 유지하고, 데이터의 완결성을 보호해야 하며, 제품 기능 수행에 반드시 필요한 경우 제한적으로 데이터를 처리해야 함
제조사는 정기적인 테스트를 통해 제품의 취약점을 발견하고 취약점 발견 시 지체 없이 보완해야 하며, 취약점에 대한 사이버 공격 및 보안사고 발생 시 이를 보고해야 함
[위험 품목]
법안은 사물인터넷 제품에 대한 필수요건 이외에 위험도가 높은 일부 중요 품목을 규제 준수 프로세스의 차이에 따라 ClassⅠ 또는 ClassⅡ로 분류
ClassⅠ : 계정관리시스템, 브라우저, 패스워드 관리, 안티바이러스, 방화벽, 가상사설네트워크(VPN), 네트워크관리시스템, 물리 네트워크 인터페이스, 라우터, 개정 사이버보안지침(NIS2)이 규정한 필수 단체(Essential Entities)*에 사용되는 반도체 칩 및 Class Ⅱ에 포함되지 않은 모든 운영체제, 마이크로프로세서 및 산업용 사물인터넷 등
* NIS2는 백신제조, 연구개발, 긴급 보건 상황 대응 의료장비 제조 및 공간 인프라를 포함한 헬스케어 관련 법인 단체, 클라우드 컴퓨팅 서비스, 컨텐츠 전송 네트워크 프로바이더, 신뢰 서비스 프로바이더, 공공 전자통신 네트워크 등을 포함한 디지털 인프라 등을 필수 단체로 규정
ClassⅡ : 데스크탑 및 모바일 장비, 가상운영체제, 디지털 인증발행기, 범용 마이크로프로세서, 카드 리더, 로봇 센서, 스마트 미터 및 '민감 환경(sensitive environment)'에서 사용되는 산업용도의 사물인터넷, 라우터 및 방화벽
집행위는 위임입법을 통해 ClassⅠ또는 ClassⅡ에 포함되는 중요 품목의 리스트를 개정할 수 있으며, 고도의 중요 품목에 대해 인증 의무를 부과할 수 있음
[제품 인증]
제조사는 내부적 절차에 따른 자체 인증 또는 동 법에 의해 지정된 제3자 인증기관에 의한 EU 형식검사(EU-type examination)를 통한 인증을 받아야 함
EU 조화표준(Harmonised standards)을 이용하거나, EU 적합성선언(EU Statement of Conformity) 또는 유럽 사이버보안증명을 획득한 경우 제품 인증을 받은 것으로 간주
수입자와 유통사는 제조사가 적합한 절차를 통해 제품에 대한 CE 인증을 획득했는지 여부를 확인해야 함
ClassⅠ 또는 ClassⅡ에 해당하는 중요 품목의 제조사는 카테고리에 상응하는 별도의 절차를 준수해야 하며, ClassⅡ 해당 품목의 경우 제3자 인증기관의 인증을 받아야 함
[인증기관 지정 및 이행감독]
회원국 관계 당국은 제3자 인증을 부여할 일련의 인증기관 지정 요건을 준수해야 하며, 제품 인증 등 규제 준수 여부를 감시할 '시장 감시기구'를 설치해야 함
회원국 관계 당국은 특정 품목의 규제 준수 여부에 대한 일제 동시 단속(Sweeps)을 실시할 수 있으며, 지속적 위반이 발견되면 해당 제품의 EU 시장 판매를 금지할 수 있음
[벌칙]
필수요건 위반 기업에 대해 1,500만 유로 또는 연간 매출의 2.5% 가운데 높은 금액을 벌금으로 부과할 있음
[적용시기]
법안은 발효 24개월 후부터 적용되나, 제조사의 보고의무는 발효 12개월 후부터 적용됨
