□ 데이터혁신센터*는 유럽연합 집행위원회(EC)가 발표한 사이버 복원력 법안(Cyber Resilience Act)의 배경과 목적, 주요 내용을 소개하는 보고서** 발표(’22.9.)
* Center for Data Innovation
** An Overview of the EU’s Cyber Resilience Act
ㅇ 유럽연합 집행위원회는 유럽연합 내 디지털 제품의 사이버 보안을 강화*하고 현재의 사이버 보안 규제 격차에 대응하기 위해 사이버 복원력 법안을 발표(’22.9.15.)
* 2020년 세계 사이버 범죄 피해액은 5조 5,000억 유로이며, 2025년 10조 5,000억 유로로 증가할 것으로 전망
- 본 법안은 ‘소프트웨어나 하드웨어 제품, 원격 데이터 솔루션 및 시장에 별도로 출시될 수 있는 그 구성요소’에 적용되며, 설계 단계에서 노후화에 이르기까지 제품 수명주기 전반에 적용
- 법안은 (1) 제조사가 제품의 수명주기 전반의 사이버 보안을 강화하도록 하고 (2) 유럽연합 내에 일관된 사이버 보안 프레임워크를 제시하며 (3) 사이버 보안 활동과 제품 특성, 제조사에 대한 투명성을 개선하고 (4) 안전한 제품을 통해 소비자와 기업을 보호하기 위한 목적으로 작성됨
ㅇ 제품을 기능, 사용목적, 영향범위 등에 따라 ‘Class I, Class II, 기본(Default)’ 3개의 범주로 분류하고 Class I과 II의 경우 보다 엄격한 리스크관리 수행 명시
- 기본(Default) 범주 제품*은 심각한 사이버 보안 취약성이 없는 것으로, 해당 제품을 담당하는 기업은 제품 개선을 위해 자체적인 취약성 평가를 수행
* 사진 편집 소프트웨어나 비디오 게임 등 인터넷 연결 기기의 90%에 해당
- 기본 범주 외의 제품은 위험 수준*에 따라 ClassⅠ과 ClassⅡ(고위험)로 구분되고, ClassⅠ은 적합성을 입증하기 위해 표준을 준수하거나 제3자 평가를 완료해야 하며 ClassⅡ는 제3자 적합성 평가를 완료해야 함
* 제품은 특권 접근(privileged access)이 있는지, 신뢰에 중요한 기능을 수행하는지, 민감한 환경에서 활용되는지, 개인정보 등의 민감 기능을 다루는지, 취약성이 많은 사람에게 영향을 미치는지, 피해가 발생하면 악영향을 야기할 수 있는지 등에 따라 Class I과 II로 구분
7-1.PNG
ㅇ 연결기기 및 서비스 제조사, 수입사, 유통사 등이 준수해야 할 필수적인 사이버 보안 요건을 만들어 설계 단계부터 보안을 고려하는 ‘보안내재화(security-by- design)’를 적용하고 관련 규제 방안을 준수하도록 함
- 제조사와 개발사는 법안의 필수 요건을 준수하고 사이버 보안 리스크 평가를 수행해야 하며, 수입사와 유통사는 필수 요건에 대한 준수 여부를 확인한 후에만 시장에 제품을 출시할 수 있음
7-2.PNG
