산업 사이버 보안을 위해 꼭 알아야 할 IEC 62443과 CRA

네, CRA(사이버 회복력 법)의 전환 기간은 명확히 정의되어 있습니다. 규정에서는 두 가지 주요 전환 시점을 제시하고 있습니다.

• 2026년 9월 11일 – 신고 의무 시작
  이 시점부터 제조업체는 자사 디지털 제품에서 악용 중인 보안 취약점이나 보안 사고가 발생한 경우, 24시간 이내에 ENISA(유럽사이버보안청)에 보고해야 합니다.
• 2027년 12월 11일 – 규정 전면 적용
  이 날부터 EU 시장에 출시되는 모든 디지털 구성 요소를 포함한 제품은 CRA의 사이버보안 요구사항을 전면적으로 준수해야 합니다. 여기에는 적합성 평가, 기술 문서 작성, CE 마크 부착 등이 포함됩니다.

네. CRA는 유럽 외 제조업체에도 적용됩니다. 디지털 요소가 포함된 제품을 EU 시장에 판매하거나 제공하는 모든 기업은 소재지와 관계없이 CRA 요건을 반드시 준수해야 합니다. 판매, 유통, 또는 사용 가능하게 만드는 모든 활동이 해당됩니다.

CRA는 2027년 12월 11일 이후에 EU 시장에 출시되는 제품부터 적용됩니다. 다만, 기존에 설치된 제품이라도 사이버 보안에 영향을 미치는 중대한 변경이 발생하거나, 기능 목적이 변경되거나, 해당 날짜 이후에 다시 판매될 경우, CRA 규제를 적용받을 수 있습니다. 즉, 기본적으로는 기존 제품은 소급 적용되지 않지만, 일정 조건에서는 예외가 발생할 수 있습니다.

CRA는 IEC 62443에서 정의된 보안 제어, 보안 개발 절차, 생애주기 접근 방식과 다수의 측면에서 기본 원칙을 공유합니다. CRA는 법적 구속력이 있는 보안 요건을 제시하며, 설계 단계 보안(secure-by-design), 취약점 관리, 기술 문서화 등은 IEC 62443의 보안 실무와 상당히 유사하게 맵핑됩니다. 단, CRA는 더 넓은 제품 범위를 포함한다는 점에서 차이가 있습니다.

네, 지금 시점에서 IEC 62443을 도입하는 것은 매우 전략적인 선택입니다. 이유는 다음과 같습니다:

• CRA 시행 전부터 규제 대응 체계를 미리 갖춰 비준수 리스크를 줄일 수 있습니다.
• 국제 보안 표준에 맞춘 사이버 보안 수준을 전반적으로 강화할 수 있습니다.
• 고객 및 파트너에게 검증된 보안 역량을 어필, 경쟁 우위를 확보할 수 있습니다.
• CRA 요구사항 대부분을 IEC 62443 기반 프로세스로 충족 가능하므로, 향후 전환 비용도 절감됩니다.

즉, 지금 IEC 62443에 투자하면 CRA 대응은 물론, 장기적인 보안 신뢰도와 시장 경쟁력까지 함께 확보할 수 있습니다.

네. 어드밴텍은 2020년 9월, IEC 62443-4-1에 대해 성숙도 수준 2(Maturity Level 2) 인증을 획득했습니다. 이를 기반으로 현재는 IEC 62443-4-2(컴포넌트 수준) 인증까지 단계적으로 추진하고 있습니다. 

자세한 내용은 어드밴텍 사이버 보안 가이드북을 참고해 주세요. 

네. 어드밴텍은 IEC 62443-4-1의 SM-1 개발 프로세스 요건에 따라 제품의 개발, 유지보수, 기술 지원 전반에 걸친 일관된 보안 프로세스를 문서화하고 적용하고 있습니다. 또한, 보안 소프트웨어 개발 생명주기(SSDLC)를 V 모델 기반으로 구축하여, 업계 표준에 부합하는 체계적인 개발 및 보안 대응 체계를 운영 중입니다.

네. CRA 규제에 대비해 SBOM(소프트웨어 구성요소 목록)과 취약점 스캔은 핵심 요소로 간주되며,
어드밴텍은 다음과 같은 자동화된 보안 관리 메커니즘을 운영하고 있습니다: 

서드파티 소프트웨어 구성요소에 대해 생성(Create) – 검토(Review) – 개선(Remediation) – 모니터링(Monitor) – 업데이트(Update) 단계별로 체계적인 SBOM 관리 체계를 갖추고 있으며, 관련 보안 패치와 취약점 점검 역시 정기적으로 자동화된 방식으로 수행하고 있습니다.

네. 어드밴텍은 IEC 62443-4-2의 CR 3.10 요구사항에 따라, 제품의 무결성과 정품 여부를 보호하기 위한 보안 프레임워크를 구축하고 있습니다. 

 업데이트 또는 업그레이드 과정에서는, 설치 전 공급업체가 제공한 디지털 서명(digital signature)을 검증하여 소프트웨어의 진위성과 무결성이 확보되었는지를 확인합니다. 

 이를 통해 생산, 물류, 유통 전반에서 제품 보안을 지속적으로 유지하고 있습니다.

어드밴텍은 Bureau Veritas(BV)가 검증한 사전 컴플라이언스(pre-compliance) 보고서와 문서를 제공합니다. 

이를 통해 CB(인증 기관) 또는 VoC(적합성 확인서) 발급을 위한 추가 작업을 최소화하고, SEMI-E187, IEC 80001, TC65, CRA, RED-DA 등 다양한 규격에 대한 시장 출시 시점을 앞당길 수 있습니다. BV 검토를 거친 문서와 보고서를 활용하면, 글로벌 인증 기관에 제출할 수 있는 신뢰성 있는 근거 자료가 확보되며, 지역별 인증 승인 절차도 더욱 간소화됩니다.

현재 어드밴텍은 Debian, Yocto Project 등 다양한 운영체제로의 확장을 진행하고 있습니다. 다만, BV의 검증 및 승인 절차가 필요하기 때문에 일부 OS에 대해서는 시간이 다소 소요될 수 있습니다.

또한 어드밴텍은 자체 보안 인증 연구소의 검증 역량을 지속적으로 확대 중이며, 지원 운영체제 현황은 웹페이지를 통해 실시간 업데이트됩니다.

어드밴텍의 IEC 62443 인증 솔루션은 보안 설계 및 검증에 필요한 엔지니어링 리소스를 크게 줄여줍니다.

 TPM 2.0 및 보안 BIOS와 같은 하드웨어 보안 기능, BitLocker 및 Secure Boot과 같은 운영체제 기반 보안 기능, Trellix, Acronis 등 소프트웨어 보안 제어 기능이 플랫폼에 사전 통합된 형태로 제공되기 때문에, 고객은 별도의 보안 구성 요소를 처음부터 개발하거나 개별적으로 검증할 필요 없이 즉시 활용 가능한 보안 환경을 기반으로 제품 개발에 집중할 수 있습니다.

어드밴텍은 신뢰받는 제3자 인증기관인 Bureau Veritas(BV)와 협력하여 IEC 62443 인증 서비스를 제공합니다.

BV는 어드밴텍 내부 팀이 작성한 사전 컴플라이언스 보고서에 대해 검토 및 검증을 수행하며, BV의 교육을 이수한 어드밴텍의 소프트웨어 QA팀이 IEC 62443-4-2 요건을 충족할 수 있도록 개발부터 검증까지 지원합니다. 

이러한 협력 구조를 통해 공식 인증 절차를 가속화하고 고객의 인증 비용을 절감하며 보다 효율적인 인증 획득이 가능해집니다. 요약하자면, BV는 인증 권한을 가진 검증 기관, 어드밴텍은 사전 인증 준비와 문서화 과정을 담당하며, 고객이 보다 수월하게 IEC 62443 인증을 획득할 수 있도록 지원합니다.