산업 네트워크 보안의 위험을 최소화하고 유럽 연합 사이버 복원력 법(CRA)을 준수하는 방법

산업 자동화에서 사이버 보안은 더 이상 선택이 아닌 필수입니다. Industry 4.0이 발전함에 따라 커넥티드 시스템은 사이버 공격과 진화하는 규제로 인한 리스크 증가에 직면해 있습니다. 이 글에서는 Festo가 사이버 보안 및 제품 보안 분야에서 규정 준수와 신뢰성을 보장하는 방법과 유럽연합의 사이버 복원력 법(CRA)이 산업 네트워크 보안에 중요한 이유를 살펴봅니다.

OT(운영 기술) 보안이란 무엇이며 사이버 보안에서 중요한 이유는 무엇인가요?

운영 기술(OT) 보안은 제조, 로봇 공학, 에너지 그리드 및 중요 인프라를 아우르는 산업 운영을 제어하는 시스템을 보호합니다. OT(운영 기술)는 물리적 프로세스를 직접 관리하기 때문에 안전, 신뢰성, 중단 없는 생산을 위해 보호가 필수적입니다.

사이버 공격이 점점 더 정교해짐에 따라 제품 보안은 이제 OT 보안을 확보하는 데 매우 중요합니다. 보안 침해는 운영을 중단하고, 장비를 손상시키며, 중대한 재정 및 안전 위험을 초래하고, 잠재적인 데이터 손실을 초래할 수 있습니다. 따라서 레거시 시스템, 실시간 수요, IT와 OT 네트워크의 융합을 위해서는 맞춤형 전략이 필수적입니다.

OT 보안을 형성하는 주요 규정 및 표준:

• 사이버 복원력 법(CRA): 디지털 요소가 있는 제품, 특히 연결된 장치에 대한 EU 차원의 높은 보안 요구 사항을 설정합니다.
• 2027년 1월 20일부터 적용되는 EU 기계류 규정(EU) 2023/1230에서는 제품이 변조 및 조작으로부터 보호되어야 한다고 규정하고 있습니다.
• 2024년 10월 18일부터 적용되는 EU NIS2 지침(EU) 2022/2555는 필수적이고 중요한 기관에 대해 더 높은 사이버 보안 요구 사항을 설정합니다.
• NIST SP 800-82: OT(운영 기술) 아키텍처, 위협 완화 및 대응에 대한 모범 사례가 포함된 미국 가이드입니다.
• 소프트웨어 제품의 모든 라이브러리와 종속성을 나열하여 투명성과 보안을 개선하는 소프트웨어 자재 명세서(SBOM)입니다.
• IEC 62443: 설계부터 모니터링까지 산업 제어 시스템 보안을 위한 국제 표준입니다.
• ISA/IEC 61511: 안전과 사이버 보안이 교차하는 안전 계측 시스템을 다룹니다.

산업 제어 시스템(ICS)이란 무엇이며 사이버 보안에 중요한 이유는 무엇인가요?

산업 제어 시스템(ICS)은 제조, 에너지, 수처리, 운송과 같은 산업 전반의 프로세스를 모니터링, 제어, 자동화하는 하드웨어 및 소프트웨어 솔루션입니다. 주요 구성 요소에는 원격 감독을 위한 SCADA 시스템, 중앙 집중식 공장 제어를 위한 DCS(분산식 제어 시스템), 특정 공장 작업을 위한 PLC, 작업자가 프로세스를 시각화하고 관리할 수 있는 HMI가 있습니다. 안전하고 효율적인 운영을 보장하는 것 외에도 ICS는 필수 인프라를 방해할 수 있는 사이버 공격을 방어하는 데 매우 중요합니다. 사이버 복원력 법(CRA)은 이러한 시급성을 강조하며, Festo는 규정을 준수하고 신뢰할 수 있는 자동화 솔루션으로 제품 보안을 보장하고 고객을 지원할 것입니다.

유럽연합의 CRA(사이버 복원력 법)가 사이버 보안을 강화하는 방법

EU 사이버 복원력 법(Cyber Resilience Act)은 디지털 요소(하드웨어 및 소프트웨어)를 포함한 모든 연결 제품이 설계 단계부터 안전하고, 기본적으로 보안을 유지하며, 수명 주기 전반에 걸쳐 안전하도록 보장하기 위해 마련된 규정입니다 이는 해당 제품을 EU 시장에 출시하는 제조업체, 수입업체 및 유통업체에 적용됩니다.

주요 의무:

• 제품을 시장에 출시하기 전 위험 평가 및 사이버 보안 평가
• 지속적인 보안 업데이트 및 취약성 관리
• 규정 준수를 증명하는 CE(Conformité Européenne) 마크
• 2026년 9월 11일부터 ENISA에 악용된 취약점 보고

완전한 규정 준수는 2027년 12월 11일부터 의무화되며, 미준수 시 최대 15백만 유로 또는 전 세계 매출액의 2.5%의 과태료가 부과됩니다.

Festo는 사이버 복원력 법(Cyber Resilience Act)에 따라 고객을 어떻게 지원하나요?

디지털 인터페이스가 적용된 Festo 하드웨어 및 소프트웨어( PLC, 엣지 컴퓨터, 밸브 터미널, 모션 컨트롤러, 엔지니어링 툴, 그리고 AI 기반 분석 앱 등)이 CRA의 적용을 받습니다. CRA 준수를 지원하기 위해 Festo는 사용자가 사용된 소프트웨어 구성 요소를 문서화하고 취약점을 탐지할 수 있도록 CycloneDX SBOM을 생성, 편집, 검증하는 오픈 소스 도구를 제공합니다. 훼스토는 기계 제조업체, 유통업체 및 수입업체가 일정, 문서화 및 보안에 대한 CRA 규정 준수를 관리할 수 있도록 지원합니다.

현재 CRA 규정을 준수하는 제품은 없으나, Festo는 TÜV Süd의 심사를 통해 보안 개발에 대한 IEC 62443-4-1 인증을 보유하고 있으며, 제품 사용 시 발생 가능한 위험을 식별하고 완화하기 위해 위협 및 위험 분석(TARA) 방법을 적용하고 있습니다. 2027년 12월까지, 고객은 EU 규정을 준수하는 Festo 솔루션을 안심하고 사용할 수 있습니다.

Festo의 CRA 및 보안 담당자 역할

자동화의 모든 역할에 영향을 미치는 CRA: OEM은 기계류의 규정 준수를 입증해야 하며, 통합업체는 보안 구성 요소에 대한 책임을 지고, 운영자는 지속성에 대한 보증을 요구하며, 조달 담당자는 공급업체의 준비 상태를 평가해야 합니다. 가장 큰 문제는 인증, 제품 수명 주기, 소싱과 관련된 불확실성인데, 훼스토는 투명성과 문서화된 조치로 이를 해결하고 있습니다. Festo는 ISO/IEC 29147 및 ISO/IEC 30111 을 준수합니다.

취약점은 문의 양식 또는 이메일(psirt@festo.com)을 통해 제품 보안 사고 대응팀(PSIRT)에 보고할 수 있으며, 훼스토 웹사이트에 알려진 취약점과 수정된 취약점이 포함된 공개된 권고 사항을 투명하게 게시하고 있습니다.

CRA를 위한 단계별 사이버 보안 규정 준수 체크리스트

☑ CRA가 기계, 운영 및 조달에 어떤 영향을 미치는지 이해합니다.

☑ 공급업체의 CRA 준비 상태를 지금 확인하세요 - 2027년까지 기다리지 마세요.

☑ Festo의 권고 사항, 확인서 및 보안 문서를 계획 수립에 활용합니다.

☑ IEC 62443 및 CRA 요건을 준수하여 규정 준수 위험을 방지합니다.

☑ 제품 보안의 신뢰할 수 있는 파트너로 Festo를 선택합니다.