유럽 전역의 안전을 지키는 자동차 사이버보안 규정 및 지침

국가는 국민의 안전과 재산을 보호해야 합니다. 이를 위해 국가는 법이나 규정을 만들기도 하는데요, 우리나라의 식품위생법, 시설물안전법 등이 일상 중에 가장 와닿는 예시라고 볼 수 있습니다. 이러한 법이나 규정이 없다면, 어떻게 될까요? 처벌을 받지 않기 때문에 이를 악용하려는 사업자도 생길 것이며, 명확한 규정이 없어 안전을 지키고 싶어도 방법을 몰라 지키지 못하는 사업자도 생기게 될 것입니다. 우리는 이렇듯 국가의 법과 규정을 통해 조금 더 안전하게 생활하고 있다고 할 수 있습니다.

자동차 산업은 그 어떤 분야보다도 안전이 강조되는데요, 자동차 산업에는 도로 차량뿐만 아니라 건설기계와 농업 기계 등의 오프로드 차량 또한 포함하기 때문에 안전의 중요성이 대두되지 않을 수 없습니다. 자동차 산업 안전의 많은 요소 중 최근 가장 주목을 받는 것이 바로 사이버보안입니다. 차량 관련 기술이 발전함에 따라 차량 내∙외부에 소프트웨어 및 통신 기능이 탑재되기 시작하였는데요, 기술의 발전은 차량의 운전자를 더욱 안전하고 편리하게 작동하기도 하지만 사이버 공격의 대상이 될 수도 있음을 의미합니다. 이에 따라 각국은 법제화를 통해 차량에 사이버보안을 적용하기 위해 제도를 마련하고 있는데요, 유럽 연합(EU)은 사이버보안 혹은 차량과 관련된 규정 및 지침을 통해 직간접적으로 자동차 산업에 사이버보안을 적용하도록 명시하고 있습니다.

유럽 연합 디지털 전환의 핵심 가치로 사이버 복원력(Cyber Resilience)을 강조하는데요, EU의 주요 사이버보안 전략 중 하나인 「The EU's Cybersecurity Strategy for the Digital Decade」는 사이버 복원력을 구현하기 위해 3가지 축을 정의하고 있습니다.

- 규제(Regulatory) – 사이버보안을 위한 법·지침 제정
- 투자(Investment) – 민·관 파트너십을 통한 기술 자립 및 산업 성장
- 정책(Policy) – 운영·대응·외교 등 다양한 수준의 보안 체계 구축

유럽 연합의 사이버보안 전략은 차량 제조 단계만을 고려하지 않으며, 차량을 구성하는 디지털 부품, 차량 외부와 연결되는 인프라, 그리고 이를 통제하는 국가 거버넌스까지 다층적으로 보안 체계를 설계합니다. 단일 산업이나 특정 기술을 위한 것이 아니라, 전 산업 분야에 걸쳐 규제 간 연계와 계층화된 적용을 목표한다는 것을 알 수 있으며, 자동차 산업은 이 전략의 핵심 적용 분야로 자리잡고 있습니다. 유럽 연합은 이러한 전략을 기반으로 규정과 지침 등을 통해 사이버보안을 적용하고자 하는데요, 오늘은 유럽 연합의 자동차 사이버보안 관련 규정 및 지침들에 대해 알아보도록 하겠습니다.

​

표 1 유럽 자동차 사이버보안 규정 및 지침 개요

Cybersecurity Act
Cybersecurity Act는 2019년 발표된 유럽 연합의 사이버보안, 사이버 복원력 및 신뢰를 달성하는 것을 목표로 하는 규정으로, 실제 법으로 간주되지는 않지만 중요성을 강조하기 위해 Cybersecurity Act로 통칭되고 있습니다. 규정은 2021년 6월 28일부터 유럽 연합 전역에 적용되고 있으며, 내용으로는 사이버보안청인 ENISA(European Union Agency for Network and Information Security)의 목표, 임무 및 조직사항을 규정하고, 유럽 연합 내 ICT(Information and Communications Technology) 제품, 서비스 및 프로세스에 대한 적절한 사이버보안 수준을 보장하도록 하며, 유럽 연합 내 사이버보안 인증제를 설립하기 위한 프레임워크를 마련하고 있습니다. Cybersecurity Act는 유럽 연합 내 ICT 제품, 서비스 및 프로세스를 대상으로 하고 있어, 따로 명시되지는 않았으나 자동차 산업에서 정보∙통신 기술이 포함된 차량 및 부품과 관련 서비스 및 프로세스가 적용대상이 될 수 있습니다.

Cyber Resilience Act
Cyber Resilience Act(CRA)는 2024년 10월 발표된 디지털 제품에 대한 필수 사이버보안 요구사항을 도입하는 규정으로, 실제 법으로 간주되지는 않지만 중요성을 강조하기 위해 CRA로 통칭되고 있습니다. 규정은 부적절한 보안 기능을 갖춘 디지털 제품으로부터 소비자와 기업을 보호하는 것을 목표로 하며, EU 시장에 출시, 판매 및 거래를 위해 제조업체의 의무사항으로 제정되었습니다.

CRA는 의료기기, 차량, 항공 및 국가안보 목적으로 설계된 제품 등은 관련된 EU 규정이 마련되어 있으므로 적용대상에서 제외함을 명시하고 있는데요, 따라서 Category M,N,O 차량의 경우 기존 EU 규정인 GSR II(General Safety Regulation II)로 인해 CRA의 적용대상에서 제외되나, Category M,N,O 외 농업 기계 및 건설기계 등 오프로드 차량과 디지털 요소가 포함된 차량 부품은 적용대상이 될 수 있어 관련 업체는 CRA 준수를 고려해야 합니다.

General Safety Regulation II
GSR II는 2019년 11월 발표된 차량 안전을 위한 일반 규정으로, 2024년 7월부터 모든 신차에 대해 의무 적용되고 있습니다. 규정은 완성차 제조업체의 차량 형식 승인(Type Approval)을 다루고 있으며, 적용대상은 Category M,N,O 차량을 제조하는 완성차 제조업체입니다. 2024년 개정판에서 차량 형식 승인을 위한 목록에 UN Regulation No.155를 포함하며 사이버 공격으로부터 차량을 보호해야 함을 강조하기도 하였습니다.

UN Regulation No.155
유엔 유럽 경제 위원회의 차량 규정을 위한 세계 포럼인 UNECE WP.29는 2020년 6월 UN Regulation No.155 (UN R155)를 발표하였으며, 유럽 연합은 2021년 1월 이를 유럽 규정인 Regulation (EU) 2021/387로 채택하였습니다. 규정은 차량의 사이버보안 관리 체계의 내용을 다루고 있으며, Category L,M,N,O 차량 판매를 위해 완성차 제조업체가 형식 승인을 받도록 명시하고 있습니다. 규정은 2024년 7월 이후 신차에 의무 적용되고 었으며, 기존에는 Category M,N,O 도로차량만을 적용대상으로 정의하였으나 2025년 1월 개정판부터 하나 이상의 ECU가 장착된 Category L,M,N,O 차량으로 정의하고 있습니다.

Network and Information Security Directive 2
Network and Information Security Directive 2(NIS 2)는 유럽 회원국의 사이버보안을 달성하기 위한 지침으로, 유럽의 회원국으로 하여금 기업들이 사이버보안을 관리하기 위한 거버넌스 구조 마련, 침해 보고 의무 준수, 공급망 내 사이버보안 위험 모니터링을 요구하고 있으며, ENISA의 지원을 강조하고 있습니다. 지침의 주요 적용대상은 관련 국가 기관으로, 자동차 산업과 관련한 일부를 다음과 같이 중요 주체로 명시하고 있습니다.

- Critical Entity: 모빌리티 충전소 운영자, 교통 관리 제어 도로 당국, 지능형 교통 시스템(ITS) 운영자, Trust Service Provider
- Others: 자동차, 트레일러 및 세미 트레일러 제조업체

유럽 연합은 전략을 달성하기 위해 각 규정 및 지침을 단절적으로 적용하는 방식이 아니라, 서로 다른 주체에 적용되는 법을 계층적으로 연결함으로써 전체 산업을 일관되게 보호하는 구조를 갖추고 있는데요, 예를 들어 1개 차량이 시장에 출시되기 위해 아래 기준들을 계층적으로 적용하게 됩니다.

- CRA 기준을 만족하는 부품 사용|
- GSR II 기준에 따른 형식승인
- UN R155 기반의 CSMS 보유
- 해당 차량이 사용하는 교통 인프라는 NIS 2의 관할 아래 관리

자동차 산업 생태계는 도로 및 오프로드 차량 제조업체, 차량 부품 공급업체, 지능형 교통 시스템 운영자 등 다양한 참여자로 이루어져 있습니다. 다양한 참여자들에게 일괄적인 사이버보안 요구사항을 규정하는 경우, 현실적으로 준수할 수 없거나 비효율성의 문제가 발생할 수 있기 때문에 유럽 연합은 각 범주에 맞는 다양한 규정 및 지침을 제공하여 자동차 산업 생태계 참여자들로 하여금 이를 각각 준수하도록 하고 있습니다. 자동차 산업 생태계의 모두가 사이버보안을 위한 규정과 지침을 기반으로 하여 안전한 유럽, 나아가 안전한 세계를 만들어 가길 기대해봅니다.