5월 21일(수) 개최된 페스카로의 <농기계·건설기계 제작사를 위한 사이버보안 대응 전략> 웨비나가 성황리에 마무리되었습니다.
사이버보안의 필요성이 전범위적으로 강조됨에 따라 디지털 요소가 들어간 제품에 대해 적용되는 법규 CRA(Cyber Resilience Act)가 제정되어 2027년 시행을 앞두고 있습니다. 농기계, 건설기계 등 다양한 산업 분야의 고객사에서 겪고 계신 공통적인 궁금증을 해소하기 위해 페스카로가 웨비나를 준비했습니다. 농기계·건설기계 제작사를 위한 사이버보안 대응 전략을 지금 확인해 보세요.
■ 전문가 패널 소개
고객의 니즈를 정확히 파악해 맞춤형 솔루션을 제시하는 CRA 전문 BM, 최병국 과장
페스카로 자동차 사이버보안 법규 그랜드슬램 주역 인증 전문가, 최광묵 전문기술위원
화이트해커 출신, 보안 전용 시스템을 설계하는 IT 인프라 전문가, 이현정 상무
■ 질문 LIST
1. 2027년에 시행된다는 CRA, 어떤 내용인지 궁금해요.
2. CRA 인증 획득 프로세스는 어떻게 되나요?
3. CRA를 준수하지 않을 경우 패널티가 있는지 알고 싶어요.
4. CRA는 어떤 기업들이 준수해야 하나요?
5. 등급(Class)에 따라 평가 방식이 달라지나요?
6. CRA 인증을 위해 준비해야 할 산출물을 알고 싶어요.
7. CRA 인증만 획득하면 CRA 대응 업무는 끝인가요?
8. 인증 획득 이후, 사이버보안 업무의 효율적인 운영관리 방법이 궁금해요.
■ 영상 Ver.
■ 텍스트 Ver.
1. 2027년에 시행된다는 CRA, 어떤 내용인지 궁금해요.
CRA 적용 대상 (출처 = 페스카로)
먼저 CRA에 대한 개념부터 설명드리겠습니다. CRA는 Cyber Resilience Act로 사이버복원력법입니다.
증가하는 사이버보안 위협에 대응하여, 유럽 내 디지털 생태계를 안전하고 회복력 있게 만들기 위한 필수적인 법적 프레임워크입니다. EU에서는 해당 법안을 통해 기존의 사이버 보안 격차를 해소하고, 회원국 간 규제를 통합하며, 소비자 보호와 기업 운영의 안정성을 높이는 데 기여할 것으로 기대하고 있습니다.
CRA는 유럽연합의 시장에 제품을 수출하는 기업들에 적용되는 EU Regulation이며, 법규 적용 대상은 ‘디지털 요소가 내장된 제품’입니다. 디지털 요소가 내장된 제품이란 소프트웨어(SW) 또는 하드웨어(HW) 제품, 그리고 해당 원격 데이터 처리 솔루션을 의미합니다. 해당 제품의 용도에는 네트워크 또는 장치에 대해 직간접적, 물리적 또는 논리적 데이터 연결이 포함됩니다. 즉, 포괄적인 의미의 직·간접적인 연결성을 갖는 제품이 해당됩니다.
디지털 요소가 있는 제품을 유럽연합(이하 EU) 시장에 출시하려는 기업들은 CRA를 준수해야 합니다. CRA 적합성 평가를 수행하고, 제품에 CE 마크를 부착해야 하는 것입니다.
CRA 시행 일정 (출처 = 페스카로)
CRA의 시행 일정은 크게 세 단계로 구분되어 진행될 예정입니다.
첫째, 26년 6월 11일부터 Notified Body(적합성 공인 평가기관)을 통보합니다. CRA 요구사항 준수 여부를 평가할 수 있는 기관들을 지정하고 공식 통보하는 절차로 해당 통보로 선정된 기관들이 제품 및 제조사에 대한 CRA 평가를 수행하게 됩니다.
둘째, 26년 9월 11일부터는 취약점 및 심각한 사고 보고에 대한 의무가 시행됩니다. 사이버보안은 완벽할 수 없고 지속 관리가 필요하다는 것은 모두 잘 아실 것입니다. CRA 또한 Cyber resilience act '사이버회복력법'으로 사이버보안 문제를 인지하고 빠르게 회복하자는 취지를 담고 있습니다. 이로 인해 CRA 법안 전체를 시행하기 이전 취약점 및 심각한 사고 보고에 대한 의무를 먼저 시행하게 됩니다.
취약점 및 중대한 사고에 대한 보고 방법은 다음과 같습니다. 제조업체는 자사의 제품의 디지털 요소에 영향을 미치거나 악용될 취약점 및 심각한 사고 발견 시 ENISA(유럽연합 사이버보안청)를 통해 국가 당국에 보고를 해야 합니다.
발견 또는 인지시점으로부터 24시간 이내 기본적인 정보(무엇이, 어디서 발생)를 신고해야 하며 72시간 이내(사고 원인 영향, 완화 조치 등) 상세한 통보가 필요합니다. 사후 대응 종료 후 최종 후속보고(복구 조치 결과, 향후 예방 계획 등)를 통해 보고 절차가 마무리됩니다.
마지막 세 번째 단계를 설명드리면, 27년 12월 11일부터 CRA 법안이 전체 시행됩니다. 유럽에서 판매되는 CRA에 해당하는 제품들의 경우 CE 마크 부착이 의무화됩니다.
2. CRA 인증 획득 프로세스는 어떻게 되나요?
CRA 인증 획득 프로세스 (출처 = 페스카로)
CRA의 인증 획득 프로세스는 크게 3가지의 대상자가 있습니다. 제조사, 적합성 공인 평가기관(Notified Body), 통보 당국(정부기관, Notifying Authority)입니다.
먼저, 통보 당국에서는 적합성 공인 평가기관을 지정합니다. 그러면 제조사는 CRA에서 요구하는 사항에 맞춰 사이버보안이 준수되었을 때 적합성 공인 평가기관(적합성 공인 평가기관)을 통해 평가를 받습니다.
적합성 공인 평가기관은 제출된 자료와 심사를 바탕으로 CRA 적합성 인증서를 발급하며 제조사는 이를 기반으로 제품에 CE 마크를 부착하여 판매하게 됩니다.
마지막으로, 통보 당국은 적합성 공인 평가기관이 잘 수행하고 있는지를 평가하고 감독합니다.
그럼 제품에 대해서 CRA 규제관련 적합성 평가 인증을 획득해도 추가적인 대응이 필요합니다. 시장에 나와 있는 제품이 법을 지키는지 단속하고 제재하는 기관인 시장감시 당국(Market Surveillance Authority)에선 ‘정당한 사유’가 있는 경우 제조사에게 사이버보안 관련 내부 문서를 요구할 수 있습니다. 즉, 평가 인증 이후에도 지속적으로 사이버보안 관리 업무를 수행해야만 합니다.
3. CRA를 준수하지 않을 경우 어떤 패널티가 있는지 알고 싶어요.
CRA 미준수 시의 패널티 (출처 = 페스카로)
CRA 미준수 시, 위반 사항에 따라 차등으로 벌금을 부과합니다. 먼저, 필수 사이버보안 요구사항 및 Articles 13, 14에는 보안 설계 및 취약점·사고 보고 의무에 대한 핵심 조항을 다룹니다. 다음의 예를 확인하겠습니다.
제품 설계 및 개발 단계에서 보안 설계 내재화(Security by Design)
보안 업데이트 시스템 확보
지원 기간(Support Period) 명시
기술 문서 작성 및 보관
자체 시장 감시 체계 구축
이 내용을 위반할 경우 최대 1,500만 유로 또는 전년도 글로벌 매출 2.5% 중 높은 금액을 부과합니다.
그리고 Articles 18-23, 28, 30 등 기타 의무에는 다음의 예가 있습니다.
경제 주체별 책임 확장 사항
CE 마크 및 기술문서 관련 조항
시장감시 관련 정보
이 내용을 위반할 경우 최대 1,000만 유로 또는 전년도 글로벌 매출의 2% 중 높은 금액을 부과합니다.
또한 통보기관(Notified Body) 및 시장 감시 당국에 기술문서나 EU 적합성 선언서, 시험 보고서 등의 내용에 있어 부정확한 정보를 제공할 경우 최대 500만 유로 또는 전년도 글로벌 매출의 1% 중 높은 금액을 부과하게 됩니다.
패널티를 받지 않기 위해서라도 인증을 잘 획득하는 게 중요합니다. 페스카로는 자동차 사이버보안 법규 대응 성공 사례를 보유하고 있습니다. 자동차 사이버보안 법규(UN R155, ISO/SAE 21434)와 CRA는 유사한 부분이 많습니다. 큰 공통점은 기업이 보안 리스크를 관리하기 위한 조직적 사이버보안 관리 체계를 구축해야 하며, 동시에 제품 차원에서 기술적 보안 기능이 구현되어야 한다는 점입니다. 페스카로는 사이버보안 법규에 대한 전문 역량을 기반으로 최근 CRA 프로젝트들도 성공적으로 수주한 바 있습니다. CRA 대응이 필요하다면 페스카로에 연락주시면 좋을 것 같습니다.
4. CRA는 어떤 기업들이 준수해야 하나요?
CRA 적용 기업 (출처 = 페스카로)
디지털 요소가 있는 제품을 EU 시장에 2027년 12월 이후에 출시하려는 기업들은 CRA를 준수해야 합니다. 대상이 광범위하기 때문에, 오늘 웨비나에서는 ‘모빌리티‘ 분야에 집중하여 설명드리겠습니다.
승용차 또는 상용차를 판매하는 기업은 해당 CRA 규제가 적용되지 않습니다. 기존처럼 UN Regulation 155 사이버보안 규제만 준수하면 됩니다.
CRA에 준하는 사이버보안 규제가 시행되지 않았던 제품을 EU 시장에 판매하였던 기업들은 CRA 규제의 적용을 받습니다. 예를 들면, 트랙터를 포함하는 농기계를 판매하는 기업, 건설기계를 판매하는 기업, 로봇을 판매하는 기업 등은 CRA 규정을 준수해야 합니다. 그리고 IoT 제품을 판매하는 기업들도 CRA 규정 준수를 고려해야 합니다.
수입사와 유통사도 CRA를 준수해야 합니다. CRA는 제조사가 준수해야 하는 의무사항뿐만 아니라, 수입사와 유통사가 준수해야 하는 의무사항들도 별도 조항으로 명기하고 있습니다. 즉, CRA 규제는 EU 시장에 제품을 판매하는 제조사뿐만 아니라 수입사와 유통사들도 준수해야 합니다.
다음으로 CRA 규제가 적용되는 제품군에 대한 ‘구체적인’ 등급 기준을 설명드리겠습니다. CRA 규제에서는 제품을 4가지로 구분하고 있습니다.
디지털 요소가 있는 제품군
클래스 1등급의 제품군
클래스 2등급의 제품군
크리티컬 등급의 제품군
CRA Regulation에서 Annex Ⅲ과 Ⅳ에 명기된 기준에 따라서 두 번째 등급부터인 클래스 1등급과 2등급, 크리티컬 등급을 구분합니다. 그리고 모든 분류의 제품들은 CRA 규정에서 정의된 모든 사이버보안 필수 요구사항을 준수해야 합니다.
해당 Annex Ⅲ, Ⅳ에 나열된 CRA 규제가 강제 적용되는 클래스 1, 2, 크리티컬 제품군 목록은 2025년 12월에 시행법안으로써 최종 확정되어 업데이트 공시될 예정입니다.
CRA 적용 제품군 (출처 = 페스카로)
각 그룹에 대한 정의를 소개해 드리고, 제품군 예시도 함께 보여드리면서 규제 대상의 등급별 차이를 설명드리겠습니다.
먼저 디지털 요소가 있는 제품군은 CRA 규제 적용 대상이 되는 모든 제품들로써 첫 번째 등급에 해당됩니다.
클래스 1, 2 제품군에는 다음과 같은 특성을 가진 제품이 포함됩니다. 해당 제품이 연결된 다른 제품, 네트워크, 또는 서비스의 보안에 중요한 기능을 수행하거나, 침해될 경우 연결된 제품이나 사용자의 건강, 보안, 안전에 중대한 영향을 미칠 수 있는 기능을 갖춘 제품입니다.
이 기준에 따라서, CRA Regulation의 제정을 담당하는 EU 위원회는 해당 Annex Ⅲ의 제품군 목록을 지속적으로 업데이트하도록 규정되어 있습니다. EU 위원회는 클래스 1, 2 및 크리티컬 제품 목록을 차츰 확대해 나갈 것입니다.
크리티컬 등급 제품군은 CRA Regulation Annex Ⅳ에 나열된 제품군의 핵심 기능을 포함하는 제품들이 해당됩니다.
CRA에서 크리티컬 제품군을 규정하는 기준은 EU 지역(Zone)의 주요 기관이 해당 제품에 대해 종속성이 중대하게 있거나, 또는 해당 제품에 대한 침해가 발생하면 EU 시장 전체의 핵심 공급망이 중단될 수 있는 경우, 둘 중에 하나라도 해당되면 크리티컬 제품군으로 설정될 수 있습니다.
5. 등급(Class)에 따라 평가 방식이 달라지나요?
제품 및 제조사에 대한 적합성 평가 방법 (출처 = 페스카로)
제품을 EU 시장에 출하하려면 제품 및 제조사에 대한 적합성 평가를 사전에 통과해야 합니다. 제품군 등급별로 평가 방법을 설명드리기 전에 네 가지의 평가 방법에 대해 간략히 설명드리겠습니다.
제조사가 적합성 평가를 자체 관리하는 것입니다. CE 마크 제도에서는 이 방식을 모듈 A 라 지칭합니다.
제품은 EU 공인기관으로부터 형식 검사 인증을 받고 생산은 자체 관리하는 것입니다. 이 방식은 모듈 B+C 라 지칭합니다.
EU 공인기관으로부터 제조사의 전체 품질보증 체계를 인증받고, 제조사에서 개발 및 생산되는 모든 제품에 일괄 적용하는 방식입니다. 이는 모듈 H 라 지칭합니다.
EU에서 공식적으로 시행하는 ‘유럽 사이버보안 인증 제도’를 통해 제품 인증을 받는 방식입니다. 이 제도는 EU의 ENISA 기관에서 주관하는 사이버보안 인증 제도입니다.
제품군 등급별로 적용 가능한 적합성 평가 방법은 다음과 같습니다.
첫 번째 분류인 디지털 요소가 있는 제품군에는 모듈 A 자체관리 방식이 가능합니다. 물론, 모듈 B+C 와 모듈 H 도 가능합니다.
클래스 1 등급 제품군에는 모듈 A 자체관리 방식이 적용될 수 없습니다. 기본적으로 EU 공인기관의 적합성 평가 인증이 요구됩니다. 모듈 B+C 방식은 제품 설계만 EU 공인기관의 평가를 받고 생산 공정은 자체 관리하는 방식입니다. 모듈 H 도 가능합니다.
클래스 2 등급 제품군에는 모듈 B+C 와 모듈 H, 그리고 ENISA에서 주관하는 유럽 사이버보안 인증 제도가 적용될 수 있습니다. EU 공인기관은 클래스 1 등급 제품 보다 더 까다로운 기준을 갖고 심사를 진행할 것입니다.
크리티컬 등급 제품군은 기본적으로 EU ENISA 기관이 주관하는 유럽 사이버보안 인증 제도가 요구됩니다. EU 위원회의 추가적인 CRA 위임 법안 채택이 늦어지는 경우, 클래스 2 등급의 적합성 평가 기준이 적용될 수도 있습니다.
지금까지 설명드린 네 가지 등급 모든 제품군에 대해 적합성 평가를 실행할 때 공통적으로 적용되는 기준은, CRA Regulation AnnexⅠ에 명기되어 있는 필수 사이버보안 요구사항들입니다. 즉, 평가 방법은 다를 수 있어도 평가 기준은 모두 동일합니다.
AnnexⅠ에 명시된 필수 사이버보안 요구사항 (출처 = 페스카로)
AnnexⅠ에 명시된 필수 사이버보안 요구사항에 대해 보다 구체적으로 설명드리겠습니다. AnnexⅠ은 PartⅠ과 PartⅡ로 구성되어 있습니다.
PartⅠ 필수 사이버보안 요구사항에는 제품 설계 시 준수되어야 하는 요구사항들이 나열되어 있습니다. 제품 설계 시 반드시 수행해야 하는 사이버보안 위험 평가 – TARA 관련 요구사항과, 제품 설계 시 반드시 적용되어야 하는 기술적인 사이버보안 기능 요구사항들로 구성되어 있습니다.
PartⅡ 필수 사이버보안 요구사항에는 제작사가 프로세스적으로 준수해야 하는 요구사항들이 나열되어 있습니다. SW BOM을 포함하여 제품 설계 및 취약점에 대한 문서화 관련 요구사항과, 제품에서 보안 취약점 발생했을 때 대응하기 위한 취약점 처리 및 교정조치 절차, 보안 업데이트 제공 관련 요구사항들과, 안전한 보안 업데이트 시행을 위한 관련 요구사항들로 구성되어 있습니다.
페스카로는 CRA와 거의 유사한 유럽의 자동차 사이버보안 법규를 기반으로 사이버보안 관리체계 인증과 VTA에 대한 성공 사례를 보유하고 있습니다. CRA 대응이 필요하시다면, 사이버보안 법규에 대한 이해도가 높은 페스카로에 연락주시면 좋을 것 같습니다.
6. CRA 인증을 위해 준비해야 할 산출물을 알고 싶어요.
CRA 인증을 위한 적합성 평가 모듈 (출처 = 페스카로)
CRA 인증 대응을 위해서 준비해야 하는 산출물은 CRA Regulation Annex Ⅶ 에 명기되어 있습니다.
CRA 인증 과정은 제품 특성을 고려한 적합성 평가 방법에 따라 진행됩니다. 앞서 소개한 것과 같이 모듈 A, 모듈 B+C, 모듈 H 3가지 선택지가 있습니다. 적합성 평가 모듈은 여러 선택지가 있지만, 적합성 평가 자체를 수행하는 절차 및 기준은 동일합니다.
제품에 대한 적합성 평가를 수행할 때 적용되는 평가 기준은 CRA AnnexⅠ에 명기된 필수 사이버보안 요구사항들입니다. 적합성 평가를 할 때, 대상 산출물은 CRA Annex Ⅶ 에 명기된 기술 문서 목록입니다.
즉, 제품에 대한 CRA가 요구하는 기술 문서를 대상으로 AnnexⅠ의 필수 사이버보안 요구사항을 준수하는지 여부를 평가하는 것이 적합성 평가 과정입니다.
CRA 인증을 위한 구체적인 산출물 (출처 = 페스카로)
구체적으로 준비해야 하는 산출물에 대해 설명하겠습니다. CRA Annex Ⅶ 에 명기된 ‘기술 문서’로써 요구되는 산출물을 살펴보겠습니다. 산출물은 총 9건을 준비해야 합니다.
1. 제품에 대한 일반 사양 정보를 기술한 문서- 제품의 용도
- CRA 필수 사이버보안 요구사항과 관련이 있는 SW의 버전 정보
- HW 제품인 경우 외부 기능 및 표시, 레이아웃 사진·그림
- 사용자에게 제공되어야 하는 보안 관련 제품 정보 및 지침 (해당 사항은 CRA Annex Ⅱ에 명기됨)
2. 제품 설계 및 개발에 필요한 기본 정보
3. 취약점 발생 시 대응을 위한 오픈 소스 라이브러리 정보 (오픈 소스 정보는 SW BOM 형식으로 문서화 필요)
4. 생산 공정과 시장에 판매된 제품에 대한 보안 모니터링 프로세스에 대한 정보
5. 제품에 대한 사이버보안 위험 평가 결과 (TARA 산출물)
6. 제품에 대한 사이버보안 지원기간 및 관련 정보
7. CRA AnnexⅠ필수 사이버보안 요구사항을 대응하기 위해서, 제품에 채택된 보안 솔루션들에 대한 정보
8. 해당 제품이 CRA AnnexⅠ필수 사이버보안 요구사항을 충족하는지 여부를 시험한 결과 보고서
9. 적합성 평가 완료 시 생산된 제품에 CE 마크를 부착 후 적합성 선언문 작성 (해당 적합성 선언문 사본이 이 기술 문서에 포함됨)
적합성 평가 대상 제품에 대한 기술 문서가 준비되면, 적합성 평가를 수행하고 그 결과를 기록하게 됩니다. 적합성 평가가 완료되면 생산되는 제품에 CE 마크를 부착하게 되고 해당 제품에 대한 EU 적합성 선언문을 작성하게 됩니다. 해당 적합성 평가 결과를 포함하는 제품에 대한 기술 문서는 최소 10년간 보관되어야 하며, 정부 당국에서 요청한 경우 제공될 수 있어야 합니다.
7. CRA 인증만 획득하면 CRA 대응 업무는 끝인가요?
CRA 인증 이후의 대응 업무 (출처 = 페스카로)
CRA는 제품의 전체 수명 주기 동안 지속적인 사이버보안 관리와 유지보수를 요구하는 규제이기 때문에 인증을 획득한다고 끝나지 않습니다.
보안 업데이트 및 패치 관리, 취약점 관리 및 보고, 기술 문서 및 리스크 평가 유지(최신화), 지속적인 규제 준수, 지원 종료 시 사용자에게 알림 등 인증을 획득한 이후에도 제품에 대한 서비스가 종료될 때까지 이러한 다양한 의무를 지속적으로 이행해야 합니다.
또한, 인증은 회사가 받는 것이 아닌 제품 단위로 받아야 하기 때문에 새로운 제품이 출시될 때마다 관리 대상이 누적적으로 증가하여 업무 오버헤드가 급격히 증가하게 됩니다. 정확한 수치는 제품을 구성하는 하위 제어기 수에 따라 달라지겠지만, 일반적으로 제품 1개 당 사이버보안 규제 대응을 위한 문서 산출물 개수가 1000 여개 수준입니다.
수 천개 문서 산출물들 간의 일관성, 정확성, 완전성을 만족시켜야 규제 대응이 가능하지만 이를 일일이 사람이 수작업으로 대응하기에는 많은 어려움이 존재합니다.
자동차 업계에서도 사이버보안 규제에 대응할 때, 지속적인 대응과 산출물 준비하는 부분을 가장 어려워하셨고 인증 획득 이후에 대한 대응도 쉽지 않았습니다.
CRA 인증 이후의 수행 업무 (출처 = 페스카로)
특히, 제품에 대한 사이버보안 엔지니어링 업무뿐만 아니라 사이버보안 규제 대응 업무도 수행해야 하여 제품을 확대 전개할 때마다 추가 인력의 투입이 불가피한 구조입니다. 사이버보안 엔지니어링 업무의 예시를 설명드리면, 위험분석 및 위협평가인 TARA, 보안 요구사항 정의, 보안 어플리케이션 설계 및 개발, 취약점 분석 및 펜테스트 등 제품 개발 과정에서 보안을 기능으로 구현하는 일이 있습니다.
또 사이버보안 규제 대응 업무의 예시로는 규제 해석 및 요구사항 도출, 제3자 인증 대응, 감사 및 평가 준비 등 법·규정을 준수하는지를 증명하는 일이 있습니다. (거버넌스적인 측면)
이에 제품이 확대될 때마다 사이버보안 엔지니어링 업무뿐만 아니라 사이버보안 규제 대응 업무도 지속되어야 합니다.
8. 인증 획득 이후, 사이버보안 업무의 효율적인 운영관리 방법이 궁금해요.
사이버보안 업무의 효율적인 운영관리 방법 (출처 = 페스카로)
사람 중심의 업무 체계에서 시스템 중심의 업무 체계로 전환하면 됩니다.
실제 사례로 설명을 드리면, 페스카로는 이미 시스템 중심의 업무 체계를 구축하고 사이버보안 유럽 인증 획득 및 획득 이후 지속적인 대응에 성공했습니다.
지속 순환형 운영 관리 시스템과 업무 간 자동 연계 시스템을 구축한 실제 사례를 조금 더 구체적으로 설명드리겠습니다.
1) 제품 생명주기 전반에 걸친 지속 순환형 운영 관리 시스템 구축
개발 단계부터 생산 및 출시 단계, 필드 운영 단계까지 사이버보안 및 소프트웨어 업데이트 규제 대응을 위한 모든 업무들을 전산화했습니다. 또한 OEM의 생산라인이나 정비소, 커넥티비티 차량과도 연계가 되어 각 단계 별로 차량의 상태와 차량에서 발생한 보안 이벤트들을 수집하고, 보안 이벤트 발생 원인을 분석하고, 분석한 결과에 따라 다시 개발 단계로 진입하는 순환형 업무 시스템을 구축하여 운영하고 있습니다.
이 ‘지속 순환형 운영 관리 시스템’을 통해 두 가지 효과를 얻을 수 있었습니다. 첫째, 조직 자산화가 가능했습니다. 시스템에 지속적으로 업무 이력이 쌓이면서 개인 경험 중심에서 조직 자산으로의 전환이 이루어졌습니다. 즉 지속적 내재화와 고도화가 가능합니다. 둘째, 제품의 지속적 품질 고도화가 가능했습니다. 사이버보안 관련 필드 이슈 발생 시 신속하게 대응할 수 있었고, 대응 사례가 축적됨에 따라 제품의 지속적인 품질 향상이 가능했으며, 이는 신규 모델 개발 시에도 유용한 참고자료로 활용될 수 있었습니다.
많은 기업이 지속적으로 추구하는 목표 '내재화'와 '품질 고도화'를 달성할 수 있었습니다.
2) 업무 간 자동 연계 시스템 구축
‘업무 간 자동 연계 시스템’ 구축 사례는 다음과 같습니다. 업무 간의 종속성을 사전에 분석하여 자동 연계 시스템을 구축함으로써, 사람이 특정 한 부분만 변경하면 관련 있는 모든 업무들이 시스템에 일관되게 자동으로 반영될 수 있도록 하였습니다. 예를 들어, 요구사항이 변경되면, 요구사항과 연관된 기능 테스트 항목, 보안 테스트 항목, 규제 대응 문서 등이 자동으로 변경됩니다.
마찬가지로 두 가지 효과가 있었습니다. 첫째, 생산성 향상 & 업무 리소스와 비용을 절감했습니다. 반복 업무와 문서 관리에 대한 부담을 시스템에게 넘김으로써, 사람의 업무 투입 리소스를 획기적으로 절감했습니다. 둘째, 규제 대응 일관성을 확보했습니다. 담당자의 업무 스타일에 영향받지 않고 일관된 품질 수준을 유지하며 조직적으로 일관된 규제 대응이 가능했습니다.
(출처 = 페스카로)
페스카로는 이러한 사이버보안 규제 대응에 대한 성공 사례를 활용해서, ‘CSMS 포털(Portal)'을 개발하고 있습니다. 사이버보안 업무를 자동화해 인증 획득 프로세스에 대한 편의성을 높이고, 인증 획득 이후에도 지속적인 운영 관리의 효율성을 극대화했습니다. 간편하게 사이버보안을 지속적으로 고도화하고 싶다면, CSMS 포털을 검토해 보시는 것을 추천드립니다.
■ 보너스 질문
이렇게 끝내기 아쉬운 분들을 위하여 웨비나 사전 등록 시 문의주신 내용을 추가로 다뤘습니다. 위에서 다룬 내용들 외에 가장 궁금해하시는 질문 5개를 선정했습니다. 전문가 패널의 답변이 궁금하신 분들은 영상을 통해 확인해 주세요. (40:35 부터~)
- 건설기계용 부가 작업장치(option)도 CRA를 준수해야 하나요?
- 물리적으로 접근 가능한 네트워크포트가 있다면 CRA 대응을 고려해야 하나요?
- ISO/SAE 21434 이상으로 어떤 활동들을 해야 할까요?
- RED 규제와 CRA 규제 차이점은 뭔가요?
- 사이버보안 대응을 위해 비용을 최적화할 수 있는 방법이 있나요?
- 백*익 상무 "시간이 짧아 아쉬웠지만, 유사업종 담당자들의 고민을 서로 나누고 파악할 수 있어 의미있었습니다."
- 전*규 책임 "건설기계도 사이버보안이 필요하다는 걸 깨달았고, 실제 현업에서 도움이 될만한 내용이 많아 좋았습니다."
- 정*름 대리 "CRA가 다소 광범위한데, 다양한 분야와 계층의 사람들이 듣기에 유익했습니다."
-
PREV [무료 웨비나 개최] 농기계·건설기계 제작사를 위한 사이버보안 대응 전략
-
NEXT 다음 글이 없습니다.