[ 정책 2 ] EU 사이버 복원력

by


2022년 8월 15일, 유럽 연합 “사이버 복원력 법”에 대한 제안 표. 이 내용을 보완하기 위해 유럽연합은 이 제안을 “CE 마킹”의 세부 규정으로 개정할 계획입니다.
EU는 변경 사항을 확정하지 않았지만 1~2년 내에 EU는 법을 개정하고 제조업체에 1년의 유예 기간을 부여할 것입니다.
그런 다음 유럽 시장에서 제품을 판매할 때 해당 제품은 개정된 CE 인증 규정을 준수해야 합니다.
공공 서비스에서 높은 수준의 안전과 신뢰성을 요구하는 의료 기기, 차량 형식 승인 및 비행 안전 규정은 이 법안에서 다루지 않습니다.
이번 편에서는 어떤 제품이 이 『사이버복원력법』에 해당하는지, 어떤 사양을 포함해야 하는지에 대해 간략히 알아보겠습니다.
의무 규정 및 안전 절차에 대한 세부 사항은 법안이 확정되는 대로 다루어질 것입니다.

목적 및 목적

EU 사이버 복원력 법은 인터넷 시장의 신뢰성을 보장하기 위한 지침입니다.
 열린 인터넷에서 사이버테러는 국경을 자유롭게 넘나드는 초국가적 현상이다.
인터넷은 글로벌 시장입니다.
인터넷에 연결할 수 있는 장치는 언제든지 더 큰 정보 시스템에 연결할 수 있습니다.
사이버 공간의 인터넷 시장에서는 화폐와 상품의 수출입이 자유롭다.
글로벌 관점에서 거래 활동은 B2C 및 B2B 부문에서 활발히 이루어지고 있습니다.
개인정보가 인터넷 시장에 유출되면 사이버 범죄의 잠재적인 요인이 됩니다.
또한 사이버 테러에 취약한 장치이기 때문에 해커가 사용자 모르게 개인 정보를 유출할 수 있습니다.
인터넷 시장에서 사용자는 이해 부족으로 인해 사이버 보안에 취약한 제품을 선택하거나 경제적 위협에 직면할 수 있습니다.

지금까지 유럽 연합은 임베디드 소프트웨어 보안법만 제정했으며 대부분의 소프트웨어 및 하드웨어 법률은 사이버 보안을 다루지 않았습니다.
사이버 범죄의 사회적 비용을 줄이고 인터넷 시장에서 통화 및 제품의 자유롭고 안전한 이동성을 보장하기 위해 유럽 연합 회원국은 EU가 아직 다루지 않은 외부 장치 및 소프트웨어의 보안 수준 및 성능에 관한 법률내가 할게.


이미지: EU 홈페이지 녹화

유럽 ​​연합은 인터넷에 연결되는 “디지털 요소”가 있는 일반 하드웨어 및 소프트웨어 제품에 대한 기본 보안 사양을 요구합니다.
EU의 기본 지침은 상품의 수명주기 관리 방법입니다.
제품 기획부터 설계, 개발, 생산, 배송 및 유지 관리 단계에 이르기까지 제조업체와 판매자 제품 제조, 서비스 제공, 위험 관리, 범죄 활동의 4가지 측면에서 보안을 보장하는 방법을 제공합니다.
제품의 사이버 보안 기능과 데이터 관리 기능을 유럽 연합에 입증해야 합니다.
이 규정은 민간 기업이 제품의 보안 리소스 및 투명성에 대한 기술 사양을 공개하도록 의무화합니다.
특히 의료 서비스와 관련된 데이터 관리 방법은 개별 규정을 준수해야 합니다.

이 법을 통해 유럽 연합은 프라이버시에 대한 기본권을 보호하기를 원합니다.
궁극적으로 개인 데이터를 보호하고 개인의 업무 수행 자율성을 보장하며 개인의 존엄성과 무결성을 보장하는 것입니다.
법률에서 언급하는 사이버 공격 및 위협은 개인 데이터의 손실과 밀접한 관련이 있습니다.
여기에는 개인이 생성한 데이터와 개인 데이터가 포함되며 제조업체와 판매자는 데이터의 기밀성, 무결성 및 정보 사용 범위를 보장해야 합니다.
즉, 제조업체는 사용자에게 기능적이고 안전한 방식으로 인터넷의 개방성, 접근성 및 서비스 신뢰성을 보장해야 합니다.

규정 개요

적용 가능성 및 일반 요구 사항

사이버 레질리언스에 관한 EU 법률

목표

이 법은 인터넷 시장에 접속할 수 있는 모든 일반 제품 및 소프트웨어에 적용됩니다.
이 법안은 거의 모든 인터넷 연결 하드웨어 및 소프트웨어 제품을 대상으로 합니다.
여기에는 하드웨어 인터페이스를 통해 인터넷에 액세스하는 제품과 네트워크 소켓, 파이프, 파일, 응용 프로그램, 프로그램 또는 기타 소프트웨어 인터페이스를 통해 인터넷에 액세스하는 제품이 모두 포함됩니다.
여기에는 개인 데이터를 다른 시스템에 직간접적으로 연결하는 모든 전자, 통신 및 기계가 포함됩니다.
원문에서는 “디지털 요소가 있는 제품”이라고 합니다.
위에서 언급한 바와 같이 중요도가 높은 공공서비스는 다른 법안에 의해 다루어지며 아래의 표는 관련 법안과 분야를 나열한 것이다.

필드
법이 없다
개정
의료 기기
EU 규정 2017/745 및 746
  • 2019년 12월 의료기기 사이버 보안 지침이 제공되었습니다.
차량 형식 승인
EU 규정 2019/2144
  • 2019 사이버 보안 관리 시스템 및 소프트웨어 업로드 기능을 포함한 모든 차량 부품 및 시스템에 대한 차종 승인 신청
  • EU는 기술 사양 및 사이버 보안 기능을 승인합니다.
비행 안전
EU 규정 2018/1139
  • 2018년 시민 비행 안전 수준 유지
  • 항공 엔지니어 제품, 부품 및 시설과 관련된 소프트웨어 계약 포함
  • 보안 위협으로부터 정보를 보호하는 안정적인 서비스 품질에 대한 필수 요구 사항

일반 요구 사항 사양: 전제 조건 및 취약성을 처리하는 방법

모든 제품은 적절한 수준의 사이버 보안을 갖추어야 하며 사이버 취약점이 없는 제품을 제공해야 합니다.
EU에서 요구하는 사이버 보안 기능 사양은 (1) 필수 요구 사항과 (2) 취약성 관리로 구분됩니다.
필수 항목은 11개 평가 항목이며 제조업체는 설계 및 개발 단계에서 위원회에서 설정한 필수 요구 사항을 충족해야 합니다.
자세한 내용은 아래 표를 첨부하십시오.

항구
사양 요구 사항
세부 사항
하나
기본 구성의 안정성
  • 사용자가 응용 프로그램, 컴퓨터 프로그램 및 장치를 설치할 수 있는 공간 절약
  • 제품을 초기 상태로 재설정할 수 있어야 합니다.
2
무단 액세스 차단 및 보호
  • 승인되지 않은 배지 또는 액세스 관리 시스템에 대한 적절한 제어 설계
데이터 기밀 유지 의무
  • 저장 또는 전송된 데이터의 기밀성을 존중합니다.
  • 관련 데이터 암호화 또는 전송 기술 사용
4
데이터 무결성 보장
  • 저장되거나 전송된 데이터의 무결성 보호
  • 권한이 없는 사용자 또는 부패한 조직에 의한 변조 또는 수정 차단
5
데이터 처리
  • ‘데이터 최소화’ (나는 로직 최적화로 세었다)
6
탄력성 보호 기능
  • 서비스 거부 공격 발생 시 상태를 완화하기 위해 복원력을 비롯한 주요 기능을 활용하도록 설계되었습니다.
7
부정적인 영향 최소화
  • 디바이스 및 네트워크에서 제공하는 서비스 이용 시 부정적인 영향 최소화
8일
공격 제한 구역 지정
  • 외부 인터페이스를 포함하는 공격 경계를 설계, 개발 및 생성해야 함
9
부당한 사용자 차단 기술 제공
  • 악용 방지 메커니즘 및 기술을 사용하여 공격의 영향을 줄입니다.
    설계, 개발, 생산해야 합니다.
10
정보 보안 공급
  • 내부 활동을 모니터링하거나 기록하여 정보 보안을 제공합니다.
  • 변경 데이터, 서비스 및 기능에 대한 액세스를 포함합니다.
11
취약점 관리의 지속적인 보장
  • 보안 SW 업데이트로 지속적으로 취약점 보완 및 관리
  • 사용 가능한 보안 소프트웨어 및 기능을 사용자에게 알립니다.

취약점 처리는 EU에서 권장하는 업데이트 방법 및 절차에 관한 것입니다.
오전. 제품의 라이프 사이클에 대해서는 판매 후에도 회사가 지속적으로 관리해야 할 문제를 나타내며 회사는 시장을 모니터링하고 소프트웨어에서 취약점이 발견되면 제조업체는 소프트웨어를 업데이트하여 취약점을 보완해야 합니다.
취약점 처리를 위한 요구사항은 총 8가지이며 그 내용을 요약하면 다음과 같다.

항구
사양 요구 사항
세부 사항
하나
보안 허점 지적
  • 보안 취약점에 대한 SBoM 및 기계 판독 가능 형식 사양
  • 이 법에서 “소프트웨어 명세서(SBoM)”는 소프트웨어 및 공급망을 구축하는 데 사용되는 구성 요소에 대한 자세한 정보를 설명합니다.
    형식 레코드로 정의됨
  • 제품이 가장 많이 의존하는 기계 판독 가능 형식을 보여줍니다.
2
취약점 수정
  • 제품에서 위험 요소가 발견되면 보안 업데이트를 통해 취약점을 즉시 개선합니다.
정기 테스트 및 보안 점검
  • 효과적이고 정기적인 테스트를 수행하고 제품 안전성을 확인합니다.
4
보안 업데이트 규칙
  • 보안 업데이트 릴리스 후 공식적으로 수정된 취약점을 표시합니다.
  • 취약점에 대한 설명, 제품에 영향을 미치는 취약점 및 사용자의 영향을 식별하고 이 정보의 심각도 및 해결 방법을 정확하게 식별하는 정보
5
보안 정책 수립
  • 정책 강화를 위한 성과 정리
6
적절한 보안 협력 조치
  • 부품 공급업체와 잠재적인 취약점에 대한 정보 공유
7
업데이트의 안전한 공급
  • 취약성을 수정하는 업데이트를 안전하게 배포하는 메커니즘을 제공합니다.
8일
무료 업데이트 보장
  • 지연 및 청구 없이 업데이트 또는 보안 패치 보장
  • 공급업체의 관련 정보 및 잠재적인 활동가 메시지 포함

규정 개요

중요 제품의 성능 평가

사이버 레질리언스에 관한 EU 법률

유럽 ​​위원회는 핵심 기능에 따라 “핵심 제품” 그룹으로 분류했으며, 중요 제품은 사이버 보안 위험 수준에 따라 클래스 1 및 2 그룹으로 추가 분류되었습니다.
Class 1은 개별 관리 시스템 및 환경 설정 기능을 갖춘 제품군이며, Class 2는 총 15개 제품으로 시스템 제어 기능이 포함된 제품이 많습니다.
그만큼 중요한 제품은 유럽 연합에서 정한 적합성 평가를 따릅니다.
 이 법률 초안에서 예상되는 성능 평가는 인증 기관에 기술 문서 및 성능 평가 절차를 보고하기 위한 유럽 형식 승인 절차를 따릅니다(법 초안의 23조 및 24조 참조). 이 제품군의 경우 위원회는 평가 수준 및 적용 범위에 대한 재량권을 갖습니다.

크리티컬 스위트: 클래스 1
크리티컬 스위트: 클래스 2


이미지: EU 사이버 레질리언스 법률 – Annex Class 1 & Class 2

마지막으로 유럽 연합 『사이버복원에 관한 법률』은 법의 책임자와 의무 조항을 정하고, 그 의무를 성실히 이행했을 때 책임자에게 부여하는 CE 마킹의 효과를 설명하고 있다.
제품 제조업체, 수입업체 및 유통업체는 “일반 제품 안전 표준”을 충족해야 합니다.
앞서 제품별로 표준화해야 할 항목에 대해 간략히 설명했지만, 구체적인 필수 절차와 위반 시 처벌에 대해서는 설명하지 않았다.
고위험 제품은 이미 개정된 차량 형식 승인과 유사한 방법론으로 처리될 가능성이 매우 높습니다.

규정 개요

통찰력

사이버 레질리언스에 관한 EU 법률

EU는 단기적으로 시장 결정력을 행사할 것입니다.
유럽 ​​연합의 의무를 준수하지 않는 제조업체는 시장에서 제외되거나 제품을 판매할 수 없는 상황에 직면합니다.
특정 국가를 명시적으로 거부하는 경우가 발생할 수 있습니다.
유럽연합(EU)은 정책적으로 인터넷 시장의 전환을 강력히 촉구해왔다.
기술 리더십보다 강화된 사이버 보안으로의 전환에 가깝습니다.

소프트웨어 및 하드웨어의 제품 가격은 꾸준히 상승할 것입니다.
유럽 ​​연합에서 요구하는 필수 규정을 충족하기 위해 제품을 제조하는 민간 기업은 추가 비용과 공장 투자가 필요합니다.
특히 조직이 지속적으로 보안관리 역할을 수행하기 위해서는 많은 인력과 시스템이 필요하다.
회사는 수익을 목표로 하기 때문에 사이버 보안 비용은 제품 가격에 포함됩니다.
결국 이 정책은 사용자와 생산자 모두에게 비용 부담을 증가시킵니다.
시장 수요에 영향을 줄 수 있습니다.

사회의 사이버보안 일자리와 소프트웨어 일자리가 늘고 사이버보안 전문 아웃소싱 업체도 늘고 있다.
할 일. 해킹 위험 성능 평가 및 관리 시스템을 구축하기 위해서는 시장 감시 시설을 갖추어야 합니다.
소상공인이나 하드웨어 업체는 보안 전문인력이 부족해 공동위탁 방식으로 사이버보안 관리업체를 지명할 수밖에 없다.