무선 장비 지침(RED) 2014/53/EU 개요
RED의 주요 조항
유럽위원회(EC)의 무선 장비 지침 2014/53/EU(RED)는 무선 장비에 대한 규제 프레임워크를 수립하여 안전 및 보건, 전자파 적합성(EMC) 및 무선 스펙트럼 효율성에 대한 필수 요건을 규정하고 있습니다. 이 지침의 제3조 제3항에는 공통 인터페이스부터 사이버 보안에 이르기까지 특정 범주의 무선 장비와 관련된 장치 요구 사항이 포함되어 있습니다.
규정 준수 타임라인
2022년 1월 12일, 유럽연합의 공식 관보에 RED 제3조 제3항 (d)목, (e)목, (f)목의 준수 요건을 시행하는 위임 규정 2022/30/EU가 발표되었습니다. 이 규정은 EU 시장에서 판매되는 해당 무선 디바이스에 네트워크 보안, 개인정보 보호, 프라이버시 보호 및 사기 방지 기능을 제공하는 것을 목표로 합니다(그림 참조). 이 규정은 2022년 2월 1일에 발효되었으며 2025년 8월 1일부터 의무화되므로 디바이스 제조업체에는 42개월의 전환 기간이 주어집니다.
RED 제3조 제3항 사이버 보안 요구 사항에 대한 자세한 분석
RED 제3조 제3항 사이버 보안
제3조 제3항 (d)목에 따른 네트워크 보호
제3조 제3항 (d)목은 네트워크 보호를 개선합니다. 디바이스 제조업체는 통신 네트워크에 해를 끼치지 않고 디바이스의 기능 장애를 방지하는 기능을 포함해야 합니다.
제3조 제3항 (e)목에 따른 개인정보 및 프라이버시 보호
제3조 제3항 (e)목은 개인정보 및 프라이버시 보호를 강화합니다. 예를 들자면 디바이스 제조업체는 소비자의 개인정보에 대한 무단 액세스 및 전송을 방지하는 조치를 구현해야 합니다.
제3조 제3항 (f)목에 따른 사기 방지 조치
제3조 제3항 (f)목은 사기의 위험을 줄여줍니다. 디바이스 제조업체는 사기성 전자 결제 및 송금을 최소화하기 위해 향상된 사용자 인증 제어와 같은 기능을 포함해야 합니다.
RED 사이버 보안 요구 사항의 범위 및 영향
새 규정이 적용되는 디바이스
새로운 규정은 직접 또는 다른 장비를 거쳐 인터넷을 통해 통신할 수 있는 모든 디바이스를 대상으로 합니다. 민감한 개인정보를 노출할 수 있는 무선 디바이스도 적용 대상에 포함됩니다. 예를 들면 다음과 같습니다.
- 휴대폰, 태블릿 및 노트북
- 무선 장난감 및 아동용 안전 장비(예: 아기 모니터)
- 스마트워치, 피트니스 트래커와 같은 웨어러블 디바이스
제3조 제3항 (d)목은 네트워크 보호와 관련된 디바이스에 적용됩니다. 제3조 제3항 (e)목은 개인정보, 트래픽 데이터 또는 위치 데이터를 처리하는 장비에 적용됩니다(자세한 데이터 정의는 EU 규정 2016/679 제4조 제1항 및 제4조 제2항, 지침 2002/58/EC 제2조 (b)목 및 (c)목 참조).
제3조 제3항 (f)목은 소유자 또는 사용자가 EU 지침 2019/713 제2조 (d)목에 정의된 대로 금전, 금전적 가치 또는 가상 화폐를 전송할 수 있는 무선 장비에 적용됩니다. 사이버 보안 대책은 암호화폐 탈취, 랜섬웨어, 근거리 통신 관련 사기, 생체 인증 변조 등 전자 결제 업계에서 새롭게 등장하는 범죄 동향을 반영해야 합니다.
면제 및 특별 고려 사항
이미 EC 규정 2019/21446(차량용 형식 검사), 2018/11397(민간 항공) 또는 지침 2019/520(전자 통행료 시스템)의 범위 내에 있으며 유사한 보안 요구 사항이 있는 디바이스는 새로운 제3조 제3항 (e)목 및 (f)목에 해당하지 않지만 제3조 제3항 (d)목을 준수해야 합니다.
EN 18031 시리즈 표준 개요 및 RED 규정 준수를 촉진하는 UL Solutions의 역할
2022년 8월, EC는 유럽표준화기구(ESO) CEN/CENELEC에 표준화 요청을 발행하고, 이에 따라 조화 표준 제정 작업이 시작되었습니다. UL Solutions는 제안된 표준의 초안을 검토하고 문서 개선에 도움이 되는 여 의견을 제출했습니다.
2024년 8월 14일, 후보 조화 표준인 EN 18031 표준 시리즈가 공식적으로 발표되었습니다. 이 표준은 2024년 8월에 공식 발표되었습니다.
EN 18031은 세 부분, 즉 EN 18031-1, EN 18031-2 및 EN 18031-3으로 구성되어 있으며, 각각 제3조 제3항 (d)목, (e)목 및 (f)목을 다룹니다.
- EN 18031-1:2024 - 무선 장비에 대한 일반적인 안전 요구 사항 - 파트 1: 인터넷에 연결된 무선 장비
- EN 18031-2:2024 - 무선 장비에 대한 일반적인 안전 요구 사항 - 파트 2: 인터넷 연결 무선 장비, 보육 무선 장비, 장난감 무선 장비 및 웨어러블 무선 장비를 포함한 데이터 처리 무선 장비
- EN 18031-3:2024 - 무선 장비에 대한 일반적인 안전 요구 사항 - 파트 3: 가상 화폐 또는 금전적 가치를 취급하는 인터넷 연결 무선 장비
EN 18031 표준 시리즈는 제한 사항과 함께 2025년 1월 28일에 이행 결정 - 2025/138 - EN - EUR-Lex에 따라 조화 표준으로 채택되었습니다. 이와 동시에 DG Grow에서는 이러한 조화를 지원하기 위해 지침 문서를 발행했습니다.
제조업체는 EN 18031 표준을 적용할 수 있으며, 이를 완벽하게 준수하는 경우 더 이상 인증기관(NB)을 거칠 필요가 없습니다. 그러나 PSA, EN 303 645, ISA/IEC 62443 등을 포함한 다른 표준을 적용하는 경우에는 여전히 인증기관이 요구됩니다.
또한 제한 사항이 적용될 경우, 제조업체가 관련 EN 18301 표준을 완전히 적용하지 않거나 해당 “제한 사항”을 준수하지 않는다면, 인증기관을 의무적으로 거쳐야 합니다. 단, 이 표준을 완전히 적용하고 제한 사항을 준수하는 경우에는 인증기관을 거칠 필요가 없습니다.
EN 18031-1:2024(인터넷 연결 무선 장비): 제한 사항
- "근거" 및 "지침" 섹션은 규정 준수를 보장하지 않습니다*.
- 사용자가 비밀번호를 설정하지 않고 디바이스를 작동할 수 있도록 허용하는 행위
* 첫 번째 요점에 대해 자세히 설명하자면 이 섹션은 다음과 같은 목적을 가집니다.
- 근거: 특정 요구 사항의 근거를 설명하여 제조업체와 평가자가 특정 보안 조치가 필요한 이유를 이해할 수 있도록 도와줍니다.
- 지침: 요구 사항을 구현하거나 해석하는 방법에 대한 추가 정보를 제공하여 제조업체에 실질적인 조언을 제공합니다.
이러한 섹션은 표준을 이해하고 이행하는 데 유용하지만, 지침 2014/53/EU 제3조 제3항에 명시된 필수 요건을 준수하는 것으로 추정하지는 않는다는 점에 유의해야 합니다. 즉, 근거에 포함된 지침이나 이해를 따르는 것만으로는 RED 사이버 보안 요건을 준수하고 있음을 입증하기에 충분하지 않습니다.
EN 18031-2:2024(무선 장비 처리 데이터): 제한 사항
- "근거" 및 "지침" 섹션은 규정 준수를 보장하지 않습니다*.
- 사용자가 비밀번호를 설정하지 않고 디바이스를 작동할 수 있도록 허용하는 행위
- 특정 디바이스 클래스에 대한 부적절한 부모/보호자 접근 제어(즉, 관련 디바이스 카테고리에 대해 효과적인 부모/보호자 접근 제어를 구현해야 함)
EN 18031-3:2024(가상 화폐를 처리하는 장비): 제한 사항
- "근거" 및 "지침" 섹션은 규정 준수를 보장하지 않습니다*.
- 사용자가 비밀번호를 설정하지 않고 디바이스를 작동할 수 있도록 허용하는 행위
- 장난감이 부모 또는 보호자의 접근 제어를 보장하지 않는 경우, 인증기관을 거쳐야 합니다.
- 6.3.2.4절에 명시된 표준 평가 기준이 적절하지 않습니다. 본문 단락 (8)에서는 다음과 같이 설명합니다. 조화 표준 EN 18031-3:2024의 6.3.2.4절에는 보안 업데이트에 대한 평가 기준이 포함되어 있습니다. 디지털 서명, 보안 통신 메커니즘, 접근 제어 메커니즘 또는 기타 요소를 기반으로 네 가지 구현 범주가 설정되어 있습니다. 하나의 방법만으로는 금융 자산을 처리하기에 충분하지 않습니다. 평가 기준이 관련 인증 위험을 적절히 다루지 않아 지침 2014/53/EU 제3조 제3항 제1호 (f)목에 명시된 필수 요건 준수를 보장할 수 없는 것으로 간주됩니다.
- “지침”에 따르면 6.3.2.4절이 적용되는 조화 표준 EN 18032-3:2024의 적용을 받는 제품의 제조업체는 제품 설계에 관계없이 적합성 추정의 혜택을 받을 수 없습니다. 따라서 제3자 적합성 평가가 필수입니다.
조화 표준 EN 18031은 제3조 제3항 (d)목, (e)목 및 (f)목에 명시된 필수 요구 사항을 지원하며, 해당 범위의 무선 장비에 대한 기술 사양을 포함합니다. 이러한 사양에는 네트워크 트래픽 모니터링, 서비스 거부 공격 완화, 인증 및 접근 제어 메커니즘, 보안 업데이트 메커니즘, 공격 표면 감소 등의 항목이 포함됩니다. 또한 데이터 보안 및 프라이버시 보호에 관한 사양은 특히 데이터의 우발적 또는 무단 저장, 처리, 접근, 공개, 파기 또는 손실을 방지하는 데 중점을 둡니다. 사용자는 디바이스를 폐기하기 전에 저장된 개인정보를 쉽게 삭제하여 정보 노출을 방지할 수 있습니다.
RED 사이버 보안 규정 준수를 위해 UL Solutions를 선택해야 하는 이유
사이버 보안 및 규정 준수에 대한 전문성
RED는 EU 시장에서 판매할 무선 장비를 생산하는 모든 제조업체에 영향을 미칩니다.
제조업체는 디바이스의 전체 수명 주기 동안 사이버 보안에 대한 책임을 져야 합니다. UL Solutions는 부족한 부분을 진단하고 목표 달성에 도움이 되는 교육 지침을 제공하는 자문 서비스를 통해 RED 규정 준수를 향해 나아갈 수 있도록 도와드립니다.
전략부터 실행까지 종합적인 지원
UL Solutions는 현재 개발 단계에 관계없이 고객을 지원할 수 있습니다. 초기 단계 프로젝트의 경우 보안 설계를 적용하고 거버넌스 및 프로세스에 보안을 포함시키는 방법을 이해하도록 도와드릴 수 있습니다. 이를 위해 UL Solutions는 보안 전문가가 진행하는 교육과 워크샵을 통해 귀사의 팀이 제품을 성공적으로 구현할 수 있는 지식을 갖추도록 지원합니다.
후기 개발 단계의 프로젝트 경우, 제품의 보안 태세를 강화하는 데 도움이 되는 EN 18031-1/EN 18031-2/EN 18031-3, EN 303 645, IEC 62443-4-2에 대한 갭 분석 또는 전체 규정 준수 평가를 통해 지원해 드립니다. 그중 EN 303 645와 IEC 62443-4-2는 RED의 필수 요건과 일부 중복되는 요건을 포함하고 있어, RED 준비에 큰 도움이 됩니다.
규정 준수 자문 및 교육 서비스
RED DA 및 EU 규제 환경 워크샵
이 워크숍에서는 EU 사이버 보안 규제 환경에 대한 개요를 제공하며, RED DA 제3조 제3항 (d)목, (e)목, (f)목과 이 조항들이 연결된 디바이스의 보안 및 프라이버시 강화에 있어 중요한 이유를 살펴봅니다. 또한, 사이버복원력법(Cyber Resilience Act)이 향후 미칠 영향에 대해 더 깊이 이해할 수 있는 계기를 제공합니다.
자문 서비스
RED 규정 준수를 향한 여정의 모든 단계에서 고객을 위한 교육 서비스를 제공합니다.
- 기초 - 레벨 1: 시작
기초 자문 서비스는 RED DA에 대한 여정을 시작하고 향후 규정 준수를 위한 주요 격차를 파악하는 데 도움을 줄 전문가를 찾는 제조업체를 위해 설계되었습니다.
- 중간 - 레벨 2: 개발
중간 자문 서비스는 이미 RED DA를 준수하기 위한 작업을 시작했고 사이버 보안 인증에 대한 사전 경험이 있는 제조업체를 위해 설계되었습니다.
- 고급 - 레벨 3: 체계화
이 서비스는 RED DA를 준수하기 위한 여정이 순조롭게 진행 중이며 작업을 평가할 전문가를 찾고 있는 제조업체를 위해 설계되었습니다.
적합성 평가 서비스
경우에 따라 제조업체는 인증기관의 평가를 통해 자사 제품의 적합성을 입증해야 합니다. UL Solutions는 인증기관으로서 RED 제3조 제3항 (d)목, (e)목, (f)목에 대한 평가 서비스를 제공해 드립니다. 이를 통해 제조업체는 의무 시행일인 2025년 8월 1일보다 앞서 규정 준수 여부를 확인할 수 있어 제품 시험이 몰리는 시기를 피하는 데 도움이 됩니다.
또한 제조업체의 원활한 글로벌 시장 진출을 돕기 위해 다음과 같은 평가, 시험 및 인증 서비스도 제공합니다.
- EN 303 645: 소비자 사물 인터넷(CIoT)을 위한 사이버 보안
- 사이버복원력법(CRA)
- ISA/IEC 62443: 산업 자동화 및 제어 시스템을 위한 보안
- 영국 제품 안전 및 통신 인프라법(PSTI)
- US NISTIR 8259A: IoT 디바이스 사이버 보안 기능 핵심 기준선
- US NISTIR 8425: 소비자 IoT(CIoT) 제품을 위한 IoT 핵심 기준선 프로파일
- 캘리포니아 사물 인터넷 보안법 SB 327
- 싱가포르 사이버 보안 라벨링 프로그램(CLS)
- UL 검증 IoT 디바이스 보안 등급(MCV 1376)
- ISO 27001: 정보 보안, 사이버 보안 및 프라이버시 보호 - 정보 보안 관리 시스템
- FIPS 140-3
- 공통 기준
RED 사이버 보안 규정 준수 요약
무선 장비 지침(RED) 2014/53/EU는 인터넷에 연결된 디바이스와 민감한 개인정보를 처리하는 장치에 대한 중요한 사이버 보안 요건을 도입하고 있습니다. 이러한 요구 사항을 충족하는 데 도움이 되는 솔루션 및 기술 사양을 제공합니다. 제조업체는 2025년 8월 1일까지 이러한 규정을 준수해야 합니다. UL Solutions는 자문 서비스, 갭 분석 및 적합성 평가를 포함하여 RED 규정 준수를 위한 포괄적인 지원을 제공합니다. 초기 단계의 보안 설계 구현부터 후기 단계의 규정 준수 평가에 이르기까지 제품 개발의 다양한 단계를 아우르는 전문성을 갖추고 있습니다. 이러한 새로운 규정의 복잡성과 다가오는 기한을 고려할 때 제조업체는 UL Solutions에 문의하여 RED 규정을 준수하고 제품이 EU 시장에 필요한 사이버 보안 표준을 충족하는 데 필요한 지침과 지원을 받을 것을 권장합니다.
X
영업팀에 문의하세요
UL Solutions 제품과 서비스에 관심을 보여주셔서 감사합니다. 적절한 담당자를 연결해드릴 수 있도록 정보를 입력해 주시면 감사하겠습니다.
Please wait…