EU 무선 장비 지침(RED) 사이버 보안 컴플라이언스– EN 18031-1/2/3
유럽 연합의 무선 장비 지침(RED)은 EU 시장에서 무선 연결 기기의 보안, 개인정보 보호 및 사기 방지 기능을 강화하기 위해 새로운 사이버 보안 요건을 도입했습니다. EN 18031 표준 시리즈는 제조업체가 EU 지역 내에서 기기를 판매하기 전에 사이버 보안 규정을 준수하고 CE 마크 요건을 지속적으로 준수할 수 있도록 조화로운 규정 준수 프레임워크를 제공합니다.
RED EN 18031 준수 여정을 시작하려면 지금 바로 문의하세요.
새로운 RED 요건에 해당하는 제품은 다음과 같습니다.
- Consumer Electronics: 스마트폰, 태블릿, 웨어러블 기기
- IoT and Smart Devices: 커넥티드 홈 시스템 및 산업 장비
- Financial & Payment Devices: 무선 결제 시스템
- Digital & Connected Fire Equipment: IoT 지원 경보 및 조명
- Entertainment & Educational Products: 게임 콘솔 및 전자책 단말기
- Transportation & Safety Devices: 차량용 텔레매틱스 및 키리스 엔트리 시스템
- Communication & Networking Equipment: Wi-Fi 라우터 및 블루투스 허브
- 인터넷에 연결되지 않는 특정 무선 장비: 개인 데이터(예: 음성 또는 얼굴 인식)를 처리하는 웨어러블, 장난감 및 육아 제품
|
Device type |
Internet connected Radio equipment or Radio equipment |
EN 18031-1 (network functions) |
EN 18031-2 |
**EN 18031-3 (financial transactions) ** |
Remarks |
|
RED-Essential requirement reference |
2014/53 |
Article 3.3 d |
Article 3.3 e) |
Article 3.3 f |
|
|
Delegated act reference |
2022/30 |
Article 1.1 |
Article 1.2 |
Article 1.3 |
|
|
Tablets/laptops |
Internet connected |
Yes |
Yes |
Yes* |
Only if financial transactions are supported |
|
Smart phones/ home devices and Wireless IoT devices |
Internet connected |
Yes |
Yes |
Yes* |
Only if financial transactions are supported |
|
Toys and childcare |
Internet connected |
Yes |
Yes |
Yes* |
Only if financial transactions are supported |
|
Toys and childcare |
Radio devices (no internet) |
No |
Yes |
No |
|
|
Body worn/wearable devices |
Internet connected |
Yes |
Yes |
Yes* |
Only if financial transactions are supported |
|
Body worn/wearable devices |
Radio devices (no internet) |
No |
Yes |
No |
|
|
Automotive |
Internet connected |
Yes |
No |
No |
|
|
Aviation (Drones) |
Internet connected |
Yes |
No |
No |
|
|
Road toll systems |
Internet connected |
Yes |
No |
No |
|
|
Medical devices |
Internet connected |
No |
No |
No |
|
|
IVD medical devices |
Internet connected |
No |
No |
No |
의무 준수 기한 – 2025년 8월 1일
유럽 위원회는 RED에 따라 EN 18031 시리즈를 통합하여 2025년 8월 1일부터 EU 시장에 출시되는 모든 신규 무선 장비에 대해 준수를 의무화했습니다. 제조업체는 규제 승인을 받기 위해 이 기한 전에 장비를 테스트하고 인증해야 합니다.
GRL은 제조업체, 통신 사업자 및 IoT 개발자가 EN 18031-1, EN 18031-2 및 EN 18031-3 요구 사항을 충족하도록 지원합니다.
- 공인 사이버 보안 테스트
GRL의 ISO/IEC 17025 인증 연구소는 EU RED 사이버 보안 지침 준수 여부를 확인하기 위한 제3자 테스트 및 평가를 제공합니다. - Pre-Compliance Testing 및 위험 평가
GRL은 제조업체가 공식 인증 전에 무선 장비의 취약점을 식별하여 보다 원활한 승인 절차를 보장할 수 있도록 지원합니다. - IoT 및 무선 기기 보안 테스트
저희는 네트워크 IoT 기기, 스마트 홈 기기, 웨어러블 기기, 자동차 시스템 및 통신 인프라 분야에 전문성을 갖추고 있습니다.
EN 18031 표준 분석
EN 18031-1 – 네트워크 보호
다음을 방지하여 기기의 네트워크 Integrity 손상시키지 않도록 보장합니다.- 무단 접근 및 중단
- 연결된 기기를 통한 악성코드 확산
- 성능에 영향을 미치는 과도한 대역폭 소모
EN 18031-2 – 사용자 데이터 및 개인정보 보호
다음을 통해 개인 정보 보호에 중점을 둡니다.
- 민감한 데이터(전송 및 저장) 암호화
- 무단 추적 및 개인정보 침해 방지
- 안전한 인증 및 접근 제어
EN 18031-3 – 사기 방지 및 안전한 거래
무선 연결 금융 기기에 대한 사기 방지 보안을 의무화하여 다음을 보장합니다.- 무단 거래 및 신원 사기 방지
- 안전한 무선 결제 처리
- 기기 복제, 변조 및 사이버 사기 방지
ETSI EN 303 645 컴플라이언스
유럽전기통신표준협회(ETSI)는 사물인터넷(IoT) 기기 보안에 대한 우려가 커짐에 따라 2020년 ETSI EN 303 645 표준을 발표했습니다. 이 표준은 인터넷에 연결된 소비자용 IoT 기기의 설계, 개발 및 수명 주기 관리에 대한 보안 요구 사항을 제시합니다. 여기에는 스마트 가전제품, 웨어러블 기술, 홈 오토메이션 시스템과 같이 개인 및 가정용으로 사용되는 기기가 포함됩니다.
ETSI EN 303 645는 모든 IoT 기기를 포괄하는 것은 아니며, 특히 소비자용 제품에만 국한됩니다. 의료, 제조 또는 산업 현장을 포함한 분야의 IoT 기기는 ETSI 표준에서 다루지 않는 고유한 보안 요구 사항 및 규정이 있는 경우가 많기 때문에 이 법의 적용을 받지 않습니다.
Granite River Labs(GRL)는 제조업체, 개발자 및 IoT 공급업체가 ETSI EN 303 645 요구 사항을 충족하고 글로벌 시장 진출을 보장할 수 있도록 종단 간 보안 테스트 및 규정 준수 인증을 제공합니다.
ETSI EN 303 645를 준수하는 방법을 알아보세요.
ETSI EN 303 645란 무엇인가요?
ETSI EN 303 645는 소비자 IoT 사이버 보안을 위한 유럽 표준으로, 커넥티드 기기의 보안 모범 사례를 정의합니다. 다음 기관에서 인정합니다.- EU 사이버 복원력 법
- 영국 PSTI(제품 보안 및 통신 인프라) 법
- IoT 보안을 위한 글로벌 규제 프레임워크
- 컴플라이언스 및 인증 지원
- 사전 컴플라이언스 평가 – ETSI EN 303 645 규정 준수의 미비점 파악
- 기술 문서 및 테스트 보고서 – 규제 승인 준비
- 인증 지원 – EU 규제 요건을 효율적으로 충족
- 침투 테스트 및 위험 평가
- 복원력 테스트 – 사이버 위협으로부터 IoT 기기 보안 평가
- 취약성 평가 – 펌웨어, API 및 네트워크 프로토콜의 취약점 파악
- 다양한 IoT 제품 테스트
- 스마트 홈 및 소비자 IoT – 카메라, 초인종, 스마트 스피커, 웨어러블 기기
- 산업 및 기업 IoT – 스마트 미터, 공장 자동화, 커넥티드 헬스케어 기기
- 네트워크 통신 장치 – 라우터, 게이트웨이, 스마트 허브
EU 사이버 복원력 법(CRA)
유럽 연합의 사이버 복원력 법(CRA)은 제조업체와 소매업체가 하드웨어 및 소프트웨어 제품의 EU 시장 판매 승인을 받기 전에 준수해야 하는 엄격한 사이버 보안 요건을 규정합니다. 2027년 12월 시행 예정인 이 규정은 소비자에게 제공되는 디지털 요소가 포함된 제품이 현행 사이버 보안 기준을 충족하도록 보장하여 EU 디지털 환경의 전반적인 보안 태세를 강화하는 것을 목표로 합니다.
CRA는 다른 장치나 네트워크에 직접 또는 간접적으로 연결할 수 있는 모든 제품을 포괄합니다. 여기에는 일상 가전제품부터 복잡한 산업 시스템까지 모든 것이 포함됩니다. 그러나 기존 규정의 적용을 받는 오픈소스 소프트웨어 및 서비스는 CRA의 적용 범위에서 제외됩니다.
CRA는 사이버 보안 표준 준수를 의무화함으로써 데이터 침해, 악성코드 감염, 무단 접근 등 사이버 위협과 관련된 위험을 완화하는 것을 목표로 합니다. CRA의 요건을 충족하는 제품에는 EU 안전, 보건 및 환경 보호 표준 준수를 의미하는 CE 마크가 부착됩니다.
EU 사이버 복원력 법(CRA)이란 무엇인가요?
CRA는 다음에 적용됩니다.
- 소비자 및 산업용 디지털 제품 – 네트워크에 연결되는 모든 기기 또는 소프트웨어
- IoT 및 스마트 기기 – 웨어러블 기기, 스마트 홈 기기 및 커넥티드 가전
- 엔터프라이즈 및 중요 인프라 시스템 – 클라우드 소프트웨어, 산업 자동화 및 통신 장비
- 제외: 기존 EU 사이버 보안법에 따라 이미 규제되는 오픈 소스 소프트웨어 및 제품
GRL의 CRA 컴플라이언 및 사이버 보안 테스트 서비스
- 사이버 보안 위험 및 취약성 평가
- 사이버 위협, 소프트웨어 취약점 및 네트워크 위험 식별
- 데이터 저장, 전송 및 시스템 무결성 보호
- 침투 테스트 및 보안 검증
- 사이버 공격, 말웨어 및 무단 접근에 대한 복원력 테스트
- 펌웨어, 소프트웨어 및 API 보안 평가
- Compliance 및 CE 마크 준비 상태
- CRA 규정 준수 미비점 파악을 위한 사전 인증 평가
- 규제 제출을 위한 기술 문서 및 테스트 보고서
- CE 마크 승인 지원
- 안전한 소프트웨어 개발 및 수명 주기 관리
- 정기적인 소프트웨어 업데이트, 보안 패치 및 사고 대응 계획 보장
- 강력한 인증 및 접근 제어 메커니즘 구현
영국의 제품 보안 및 통신 인프라법 2022(PSTIA)
PSTIA 2022는 강력한 비밀번호 사용과 고객에게 보안 정보 제공을 의무화함으로써 영국 소비자 "스마트" 제품 보안을 강화합니다. 이러한 요건은 본 문서 작성 시점에는 제조업체에만 적용되지만, 전문가들은 향후 수입업체와 유통업체에도 적용될 수 있다고 보고 있습니다. 공급망 이해관계자들은 PSTIA 준수를 우선시하여 미준수로 인한 높은 비용을 방지해야 합니다.
영국의 소비자 연결 가능 제품 보안 제도는 2024년 4월 29일부터 시행되었습니다. '제품 보안 및 통신 인프라(관련 연결 가능 제품에 대한 보안 요건) 규정 2023'은 시행 이후 영국 소비자 연결 가능 제품(또는 '스마트' 제품) 제조업체가 해당 법에 명시된 관련 의무를 준수하도록 요구해 왔으며, 여기에는 다음과 같은 최소 보안 요건이 포함됩니다.
- 본 규정은 2023년 제품 보안 및 통신 인프라(관련 연결 가능 제품에 대한 보안 요건) 규정으로 인용될 수 있습니다.
- 본 규정은 2024년 4월 29일 발효되어 잉글랜드, 웨일스, 스코틀랜드, 북아일랜드까지 적용됩니다.
본 규정의 시행은 제품 안전 및 표준 사무국(OPSS)의 감독 하에 있으며, DSIT와 양해각서(MoU)를 체결하여 2022년 PSTI법 및 2023년 규정을 엄격히 준수하도록 보장합니다.
- Who's in the spotlight? 관련 연결 가능 제품의 제조업체, 수입업체, 유통업체, 즉 여러분의 안전과 보안을 보장하기 위해 최선을 다하는 경제 주체입니다.
- What exactly are "relevant connectable products"? 이는 삶의 질을 향상시키도록 설계된 인터넷 연결 가능 또는 네트워크 연결 가능 제품으로, 예외 제품으로 간주되는 제품은 제외됩니다.
2023년 규정의 별표 1은 관련 연결 가능 제품과 관련하여 준수해야 하는 구체적인 요건을 명시하고 있습니다.
- Passwords: 비밀번호는 제품별로 고유해야 하거나 제품 사용자가 정의할 수 있어야 합니다. ETSI EN 303 645의 조항 5.1-1 및 해당되는 경우 ETSI EN 303 645의 조항 5.1-2를 준수해야 합니다.
- Information on how to report security issues: 제조업체는 자사 제품의 보안 문제를 보고하는 방법에 대한 정보를 제공해야 합니다. ETSI EN 303 645의 조항 5.2-1을 준수해야 합니다.
- Information on minimum security update periods: 최소 보안 업데이트 기간에 대한 정보는 명확하고 접근 가능하며 투명한 방식으로 게시하고 소비자에게 제공해야 합니다. ETSI EN 303 645의 조항 5.3-13을 준수해야 합니다.
국가통신보안센터(NCCS) - ITSAR 컴플라이언스
인도 정부 통신부(DoT) 산하 국가통신보안센터(NCCS)는 통신 장비의 보안 인증 및 평가를 통해 인도의 주요 통신 인프라의 사이버 보안을 보장할 책임이 있습니다.
NCCS는 인도의 모든 통신 서비스 제공업체와 통신 인프라 수입업체에 적용되는 보안 지침 세트인 인도 통신 보안 보증 요건(ITSAR)을 제정했습니다.
통신 장비 의무 시험 및 인증(MTCTE)에 속하는 ITSAR은 네트워크 보안, 데이터 프라이버시, 합법적 감청 등의 분야를 다룹니다. ITSAR 준수는 인도 통신 인프라의 보안을 보장할 뿐만 아니라 통신 장비 제조업체가 인도 공공 및 민간 기관과의 계약 입찰에서 경쟁 우위를 확보할 수 있도록 지원합니다.
NCCS 지정 통신보안시험소(TSTL)인 GRL은 다음 장비에 대해 ITSAR 및 기타 국가 및 국제 표준에 따라 사이버 보안 시험을 제공합니다.
- IP Routers ( Standalone, Cloud Managed, Virtual Routers) / IP 라우터(독립형, 클라우드 관리형, 가상 라우터)
- Wi-Fi Customer Premises Equipment (CPEs) / Wi-Fi 고객 장비(CPE)
- Standalone or Cloud Managed Access Points (AP) / 독립형 또는 클라우드 관리형 액세스 포인트(AP)
- Optical Line Terminals (OLT) and Optical Network Terminals (ONT) / 광 회선 단말(OLT) 및 광 네트워크 단말(ONT)
- 5G/LTE Core & Radio Network Components / 5G/LTE 코어 및 무선 네트워크 구성 요소
NCCS 인증 획득은 통신 기기의 MTCTE 인증을 획득하기 위한 필수 조건이며, 이는 통신 기기가 인도 시장에 진출하기 위한 필수 요건입니다.
BIS CCTV 사이버 보안
전자정보기술부(MeitY)는 모든 가전제품 제조업체가 인도표준국(BIS)에 제품을 등록하도록 의무화하는 의무등록제도(CRS)를 시행했습니다. 이 등록은 제품이 BIS 공인 시험소에서 시험을 거친 후에만 가능합니다.
모든 CCTV 카메라는 전기 안전 기준 외에도 2025년 4월 9일부터 시행되는 필수 요건(ER01)에 명시된 사이버보안 요건을 충족해야 합니다.
CCTV 카메라 보안은 민감한 정보를 보호하고 시스템의 효과적인 작동을 보장하는 데 매우 중요합니다. 주요 테스트 영역에는 노출된 네트워크 서비스, 장치 통신 프로토콜, 장치의 UART, JTAG, SWD 등에 대한 물리적 접근, 메모리 및 펌웨어 추출 기능, 펌웨어 업데이트 프로세스 보안, 데이터 저장 및 암호화 등이 포함됩니다. OEM은 CCTV 카메라에 대해 다음과 같은 최소 보안 요건을 충족해야 합니다.
- 액세스 제어 - 관리자, 운영자 및 사용자에 대한 역할 기반 인증을 구현합니다.
- 네트워크 보안 - 도청이나 데이터 유출을 방지하기 위해 데이터 저장 및 전송에 대한 종단 간 암호화를 보장합니다.
- 소프트웨어 보안 - 취약점 패치를 위해 정기적인 펌웨어 및 소프트웨어 업데이트를 수행합니다. 사용하지 않는 기능을 비활성화하고 불필요한 네트워크 서비스를 제한합니다. 다중 요소 인증(MFA)을 포함한 강력한 암호 정책을 시행합니다.
- 침투 테스트 및 사이버 위협 저항 - 취약점을 식별하고 수정하기 위해 정기적인 침투 테스트를 수행합니다. 시스템이 사이버 공격, 맬웨어 및 무단 액세스 시도를 견딜 수 있는지 확인합니다.
GRL India는 강제 등록 제도(CRS)에 따라 CCTV 카메라의 사이버 보안 테스트를 위해 BIS의 승인을 받았으며, 제조업체가 인증 전에(사전 준수 및 ER01에 나열된 필수 보안 요구 사항에 정의된 보안 매개변수를 다음 범주에 따라 테스트할 수 있도록 지원합니다.
- Hardware Level Security Parameters / 하드웨어 수준 보안 매개변수
- Software/ Firmware / 소프트웨어/펌웨어
- Secure Process Conformance / 보안 프로세스 적합성
- Secure Conformance at Product Development stage / 제품 개발 단계의 보안 적합성
취약점 평가 및 침투 테스트(VAPT)
VAPT는 통신, IoT, 드론을 포함한 연결된 기기의 보안 위험을 식별, 분석 및 완화하는 데 필수적입니다. 미국 국립표준기술원(NIST) SP 800-115는 강력한 사이버 복원력과 규정 준수를 보장하기 위한 체계적인 보안 테스트 방법론을 제공합니다.
제공되는 서비스는 다음과 같습니다.
- 취약성 평가(VA) - 보안 허점 식별
- 하드웨어, 펌웨어 및 소프트웨어의 취약점에 대한 자동 및 수동 검사
- 암호화, 인증 및 액세스 제어 메커니즘 평가
- 심각도 영향에 따른 위험 평가 및 우선순위 지정
- 침투 테스트(PT) - 실제 공격 시뮬레이션
- 블랙박스, 그레이박스, 화이트박스 테스트 방법론
- 사이버 공격, 맬웨어 주입 및 무단 액세스 시도 시뮬레이션
- 펌웨어 무결성, API 보안 및 네트워크 복원력 테스트
애플리케이션 보안 테스트(AST)
웹, 모바일, IoT, 통신 네트워크 또는 임베디드 기기 등에서 실행되는 최신 애플리케이션은 사이버 공격의 주요 표적입니다. 취약한 인증, 안전하지 않은 API, 패치되지 않은 취약점은 시스템을 보안 침해, 데이터 유출 및 서비스 중단에 노출시킬 수 있습니다. 강력한 애플리케이션 보안을 확보하는 것은 사용자 신뢰, 규정 준수 및 비즈니스 연속성을 유지하는 데 필수적입니다.
- 테스트 제공
- 웹 및 모바일 애플리케이션 보안 테스트
- IoT 및 임베디드 시스템 애플리케이션 보안
- API 및 클라우드 애플리케이션 보안 테스트
- 침투 테스트 및 익스플로잇 시뮬레이션
- 보안 소프트웨어 개발 및 DevSecOps
Granite River Labs(GRL)는 NABL(ISO/IEC 17025) 인증 랩으로서 제조업체, 소프트웨어 개발자 및 서비스 제공업체가 OWASP Top 10 및 CWE 25 프레임워크를 기반으로 하는 엄격한 보안 테스트를 통해 애플리케이션을 강화할 수 있도록 지원합니다. 당사의 종단 간 보안 평가는 개발부터 배포까지 모든 단계에서 애플리케이션이 사이버 위협에 대해 회복력이 있는지 확인합니다.
CIS 벤치마크 컴플라이언스 테스트
네트워크 인프라는 사이버 위협의 주요 타깃이므로 라우터, 스위치, 방화벽, VPN 게이트웨이 및 기타 네트워크 장치의 보안 강화가 최우선 과제입니다. 인터넷 보안 센터(CIS) 벤치마크는 취약점을 줄이고, 무단 접근을 방지하며, 시스템 복원력을 강화하는 업계에서 인정받는 보안 구성을 제공합니다. GRL의 CIS 벤치마크 규정 준수 테스트 서비스
- 기본 보안 구성 검증
- 네트워크 강화 및 보안 구성 테스트
- 자동화된 컴플라이언스 감사 및 보고
- 침투 테스트 및 취약점 평가
