Cybersecurity 컴플라이언스로 글로벌 시장 진출을 확보하십시오.

Protect your clients. Protect your business.

Navigation

강력한 사이버보안 테스트란 무엇일까?

모든 사이버보안 프로토콜이 동일한 수준으로 만들어지지는 않습니다. 단순히 단계별 프로토콜을 따르는 것을 넘어, 효과적인 사이버보안 대책은 새로운 공격을 지속적으로 시뮬레이션하여 시스템적 취약점을 드러내는 것입니다.

사이버 공격자는 항상 새로운 기술과 방법을 실험하듯이, 사이버보안 팀도 최신 위협에 대응하기 위해 지속적으로 업그레이드해야 합니다.

사이버보안 평가의 주요 영역:

  1. 접근 및 권한 부여 Access and Authorization
  2. 인증 속성 관리 Authentication Attribute Management
  3. 소프트웨어 보안 Software Security
  4. 시스템 안전 실행 환경 System Secure Execution Environment
  5. 사용자 감사 User Audit
  6. 데이터 보호 Data Protection
  7. 네트워크 서비스 Network Services
  8. 공격 방지 메커니즘 Attack Prevention Mechanisms
  9. 취약성 테스트 요구사항 Vulnerability Testing Requirements
  10. 운영 체제 보안 Operating System
  11. 웹 서버 보안 Web Servers

사이버보안 표준과 프레임워크

오픈 웹 애플리케이션 보안 프로젝트(OWASP)

OWASP는 소프트웨어 애플리케이션 보안을 개선하는 데 중점을 둔 전 세계 비영리 기구입니다. 이들은 개인과 조직 모두가 애플리케이션 보안에 접근할 수 있도록 하는 것을 목표로 하는 귀중한 리소스, 도구 및 지식 리소스를 제공합니다. 여기에는 안전한 코딩 관행, 취약성 테스트 프레임워크, 교육 자료 및 협업과 지식 공유를 촉진하기 위한 커뮤니티 중심 이니셔티브가 포함됩니다.

보안 인식을 옹호하는 OWASP는 진화하는 위협 환경 속에서 보안 태세를 강화하려는 사람들에게 지침이 되는 역할을 함으로써 전 세계 웹 애플리케이션의 보안 표준을 높이는 데 중요한 역할을 합니다. OWASP Top Ten은 웹 애플리케이션이 직면한 가장 중요한 보안 위험 10가지를 강조하기 위해 만들어졌으며, 개발자, 보안 전문가 및 조직에서 취약성을 해결하기 위한 노력에 널리 사용됩니다.

공통 약점 열거(CWE)

CWE는 소프트웨어 개발자, 보안 전문가, 연구자 간의 효과적인 커뮤니케이션과 협업을 강화하도록 설계된 표준화된 언어와 프레임워크를 통해 소프트웨어 취약성을 식별하고 분류하는 데 중점을 둔 이니셔티브입니다.

CWE는 개발자가 보안 취약성을 식별, 완화 및 예방하는 데 사용하는 일반적인 소프트웨어 취약성의 포괄적인 아카이브인 CWE 목록을 유지 관리합니다. 목록의 각 취약성에는 고유 식별자가 지정되고 잠재적 영향, 사례 및 권장되는 완화 전략이 자세히 설명되어 있습니다.

또한 CWE 목록에는 공격자가 악용할 수 있는 코딩 오류, 설계 결함, 구성 문제 및 보안 간과와 같은 소프트웨어 취약성도 설명되어 있습니다. 이를 통해 개발자와 보안 실무자는 소프트웨어 시스템의 전반적인 보안을 강화하고 일반적인 취약성과 관련된 위험을 완화할 수 있습니다.

취약성 평가 및 침투 테스트(VAPT) - NIST SP 800-115

미국 국립표준기술원(NIST USA)의 NIST SP 800-115 - 정보 보안 테스트 및 평가 기술 가이드는 조직이 조직 전체에서 최상의 보안 관행을 체계적으로 계획, 식별, 분석, 구현 및 유지하기 위한 단계별 지침을 제공합니다.

NIST SP 800-155에 정의된 한 가지 기술은 취약성 평가 및 침투 테스트(VAPT)로, 취약성을 식별하고 해결하기 위한 보안 테스트 접근 방식을 설명합니다. VAPT의 분석은 다양한 산업 부문에 맞게 사용자 정의할 수 있는 취약성 평가와 침투 테스트를 모두 결합합니다. VAPT 지침을 준수함으로써 조직은 일반적으로 사용 가능한 상용 보안 도구와 전문가의 수동 평가를 사용하여 보안 허점을 신속하게 식별하고 해결할 수 있습니다.

디바이스 보안 표준

code security assessment (9)
13가지 사이버보안 잠정 항목:

국제 사이버보안 표준을 구체화하는 요소로, 국제 표준 기관과 조직이 안전한 사이버보안 시스템의 필수 요소로 합의한 13가지 사이버보안 잠정 항목이 있습니다. 이 목록은 완전하지는 않지만, 조직이 사이버보안 위협에 대응할 수 있는 탄탄한 기초를 마련하는 데 도움이 됩니다.

  1. 기본 비밀번호 사용 금지 No universal default passwords
  2. 취약점 보고 관리 수단 구현 Implement a means to manage reports of vulnerabilities
  3. 소프트웨어 최신 상태 유지 Keep software updated
  4. 민감한 보안 매개변수 안전 저장 Securely store sensitive security parameters
  5. 안전한 통신 Communicate securely
  6. 노출된 공격 표면 최소화 Minimize exposed attack surfaces
  7. 소프트웨어 무결성 보장 Ensure software integrity
  8. 개인 데이터 보안 강화 Ensure that personal data is secure
  9. 시스템 중단에 대한 복원력 확보 Make systems resilient to outages
  10. 시스템 원격 측정 데이터 검토 Examine system telemetry data
  11. 사용자가 데이터를 쉽게 삭제할 수 있도록 지원  Make it easy for users to delete user data
  12. 기기 설치 및 유지관리 용이성 확보 Make installation and maintenance of devices easy
  13. 입력 데이터 검증 Validate input data
code security assessment (8)
8가지 기본 데이터 보호 권리

13가지 사이버보안 잠정 항목과 함께, 사이버 방어 체계가 반드시 보장해야 할 8가지 기본 데이터 보호 권리가 있습니다. 각 조직과 산업 시스템은 고유한 특성을 가지므로, 사이버보안 조치를 통해 의도한 결과를 명확히 보장하는 것이 중요합니다. 특히, 수정이나 맞춤 설정이 이루어진 후에도 보안 조치가 본래 목적을 달성할 수 있도록 권리를 명시하는 것이 필수적입니다.

  1. 정보 접근권 (Right to information):
    사용자는 회사가 자신의 개인 데이터를 어떻게 처리하는지와 그 이유를 요청할 권리가 있습니다.
    예: 자신의 데이터를 열람할 수 있는 승인된 프로세서 목록을 요청하여, 누가 자신의 정보에 접근할 수 있는지 확인할 수 있습니다.
  2. 데이터 열람권 (Right to access):
    사용자는 자신의 개인 데이터를 열람하고 사본을 요청할 권리가 있습니다.
    이는 신원을 확인하거나 회사가 정보를 어떻게 사용하는지 파악하는 데 유용합니다.
  3. 정정권 (Right to rectification):
    사용자가 자신의 개인 데이터가 부정확하거나 최신 상태가 아니라고 판단할 경우 이를 수정하도록 요청할 권리가 있습니다.
    이를 통해 개인 데이터의 정확성과 최신성을 보장할 수 있습니다.
  4. 동의 철회권 (Right to withdraw consent):
    사용자가 이전에 개인 데이터 사용에 동의했지만, 마음이 바뀐 경우 그 동의를 철회할 권리가 있습니다.
    동의를 철회하면, 회사는 해당 목적으로 더 이상 데이터를 처리할 수 없습니다.
  5. 처리 반대권 (Right to object):
    사용자는 특정 이유로 개인 데이터 처리에 반대할 권리가 있습니다.
    예: 법적 분쟁이나 특정 상황으로 인해 데이터 처리가 부적절하다고 판단될 때.
  6. 자동 처리 반대권 (Right to object to automated processing):
    자동화된 처리에 의해 내려진 결정이 불공정하다고 느끼는 경우, 사용자는 이를 수동으로 검토해달라고 요청할 권리가 있습니다.
    이를 통해 사람에 의한 재검토를 요구할 수 있습니다.
  7. 삭제 요청권 (Right to be forgotten):
    사용자는 더 이상 회사와 관계가 없을 때 개인 데이터를 삭제할 권리가 있습니다.
    다만, 이 권리는 절대적인 권리가 아니며, 회사가 준수해야 할 법적 요건이 있을 수 있습니다.
  8. 데이터 이동권 (Right for data portability):
    사용자는 자신의 개인 데이터를 다른 데이터 관리자로 전송하거나, 기계가 읽을 수 있는 전자 형식으로 제공받을 권리가 있습니다.
    예: 서비스 제공자를 변경하거나 자신의 데이터를 보관 목적으로 활용하려 할 때 유용합니다.

포괄적인 인증 프로세스

전략적 계획 및 설계 통합

우리는 제품 개발 주기 초기에 제조업체와 협력하여 글로벌 표준에 맞는 보안 조치를 구현합니다. 당사의 전문가 팀은 철저한 갭 분석을 수행하고 인증 장애물을 최소화하고 테스트 프로세스를 간소화하는 전략적 준수 로드맵을 개발합니다.

기술 문서 및 테스트 우수성

GRL의 포괄적인 준수 테스트는 암호화 강도, 시스템 복원력 및 데이터 보호 조치를 현재 규제 표준에 따라 검증합니다. 기술 문서 준비에 대한 당사의 세심한 접근 방식은 효율적인 인증 제출을 지원하고 승인 일정을 단축하며 시장 준비를 보장합니다.

글로벌 시장 접근 솔루션

시장 접근에는 여러 관할권에 걸친 전략적 인증 계획이 필요합니다. GRL은 CE 마크, RED 사이버 보안 검증, NCCS 인증 및 기타 중요한 규제 승인에 대한 전문가 지침을 제공합니다. 규제 진화에 대한 당사의 지속적인 모니터링은 제조업체가 규정을 준수하고 시장 혼란을 방지하는 데 도움이 됩니다.

해외 시장 진출 (GRL MAS Services)

인도 사이버 보안 규정

NCCS

connected networks and devices-1

인도 정부 통신부(DoT) 산하에서 운영되는 국가 통신 보안 센터(NCCS)는 통신 장비의 보안 인증 및 평가를 통해 인도의 중요 통신 인프라의 사이버 보안을 보장할 책임이 있습니다. 

NCCS는 인도의 모든 통신 서비스 제공업체와 통신 인프라 수입업체에 적용되는 보안 지침 세트인 인도 통신 보안 보증 요구 사항(ITSAR)을 공식화했습니다.

통신 장비의 필수 테스트 및 인증(MTCTE)에 속하는 ITSAR은 네트워크 보안, 데이터 프라이버시, 합법적 가로채기와 같은 분야를 다룹니다. ITSAR을 준수하면 인도의 통신 인프라의 보안이 보장될 뿐만 아니라 통신 장비 제조업체가 인도 공공 및 민간 기관과 계약을 입찰할 때 경쟁 우위를 확보할 수 있습니다.

NCCS 지정 통신 보안 테스트 연구소(TSTL)는 다음 장비에 ITSAR 및 기타 국가 및 국제 표준에 따라 사이버 보안 테스트를 제공합니다.

  • 광 회선 단말(OLT) 및
  • 광 네트워크 단말(ONT)
  • IP 라우터
  • Wi-Fi CPE 

GRL로 ITSAR 준수 여정을 시작하세요

NCCS 더 알아보기

BIS CCTV cybersecurity

software application security (1)

전자정보기술부(MeitY)는 모든 가전제품 제조업체가 제품을 인도표준국(BIS)에 등록하도록 요구하는 의무 등록 제도(CRS)를 시행했습니다. 이 등록은 제품이 BIS 인정 실험실에서 테스트를 거친 후에만 받을 수 있습니다. 모든 CCTV 카메라는 전기 안전 기준 외에도 2025년 4월 9일부터 적용되는 필수 요구 사항(ER01)에 명시된 사이버 보안 요구 사항을 충족해야 합니다.

CCTV 시스템 보안을 위한 간략한 요구 사항
Physical Security: 물리적 보안: 변조 방지 카메라 인클로저 및 잠금 장치 사용
Access Control: 액세스 제어: 역할 기반 인증 및 정기적인 액세스 권한 검토
Network Security: 네트워크 보안: 데이터 저장 및 전송 암호화
Software Security: 소프트웨어 보안: 정기적인 업데이트, 사용하지 않는 기능 비활성화 및 강력한 암호 정책
Penetration Testing: 침투 테스트: 사이버 위협에 대한 저항력 보장 및 취약성 해결

 

ER 01에 따르면 요구 사항은 대체로 다음 섹션으로 분류됩니다.

  1. 하드웨어 수준 보안 매개변수
  2. 소프트웨어/펌웨어
  3. 보안 프로세스 적합성
  4. 제품 개발 단계의 보안 적합성
BIS 인증 가이드에 액세스하세요

유럽 ​​사이버 보안 컴플라이언스 요구 사항

EU RED 사이버 보안 준수

유럽 경제 지역(EEA) 내에서 거래되는 모든 무선 장치를 규제하는 규제 프레임워크인 무선 장비 지침(RED)은 무선 장비가 네트워크 보안, 개인 정보 보호 및 사기 방지에 대한 필수 요구 사항을 충족하도록 규정하여 EEA 시장 내 거래를 간소화합니다.

EU 무선 장비 지침 및 위임된 법률에 따른 CE 마크 요구 사항을 준수하기 위해 모든 무선 IoT 기기(무선 장비)는 2025년 8월 1일까지 EN 18031-1, EN 18031-2 및 EN 18031-3 표준을 준수해야 합니다.

 

RED EN 18031 준수 여정을 시작하세요

새로운 RED 요구 사항에 해당하는 제품은 다음과 같습니다.

  • 가전 제품: 스마트폰, 태블릿 및 웨어러블
  • IoT 및 스마트 기기: 커넥티드 홈 시스템 및 산업 장비
  • 금융 및 지불 기기: 무선 지불 시스템
  • 디지털 및 커넥티드 소방 장비: IoT 지원 알람 및 조명
  • 엔터테인먼트 및 교육 제품: 게임 콘솔 및 전자책
  • 운송 및 안전 장치: 차량 텔레매틱스 및 키리스 엔트리 시스템
  • 통신 및 네트워킹 장비: Wi-Fi 라우터 및 Bluetooth 허브
  • 일부 인터넷에 연결되지 않은 무선 장비: 개인 데이터를 처리하는 웨어러블, 장난감 및 육아 제품 (예: 음성 또는 얼굴 인식)

Device type

Internet connected Radio equipment or Radio equipment

EN 18031-1    (network functions)

EN 18031-2    (data protection)

**EN 18031-3 (financial transactions) **

Remarks

RED-Essential requirement reference

2014/53

Article 3.3 d)

Article 3.3 e)

Article 3.3 f)

  

Delegated act reference

2022/30

Article 1.1

Article 1.2

Article 1.3

  

Tablets/laptops

Internet connected

Yes

Yes

Yes*

Only if financial transactions are supported

Smart phones/ home devices and Wireless IoT devices

Internet connected

Yes

Yes

Yes*

Only if financial transactions are supported

Toys and childcare

Internet connected

Yes

Yes

Yes *

Only if financial transactions are supported

Toys and childcare

Radio devices (no internet)

No

Yes

No

  

Body worn/wearable devices

Internet connected

Yes

Yes

Yes *

Only if financial transactions are supported

Body worn/wearable devices

Radio devices (no internet)

No

Yes

No

  

Automotive

Internet connected

Yes

No

No

  

Aviation (Drones)

Internet connected

Yes

No

No

  

Road toll systems

Internet connected

Yes

No

No

  

Medical devices

Internet connected

No

No

No

  

IVD medical devices

Internet connected

No

No

No

  

 

유럽 ​​보안 표준

code security assessment (9)
ETSI EN 303 645

유럽 전기통신 표준 기관(ETSI)은 사물 인터넷(IoT) 기기의 보안에 대한 우려가 커지면서 2020년에 ETSI EN 303 645 표준을 발표했습니다. 이 표준은 인터넷에 연결된 소비자 IoT 기기의 설계, 개발 및 수명 주기 관리에 대한 보안 요구 사항을 설명합니다. 여기에는 스마트 가전제품, 웨어러블 기술, 홈 자동화 시스템과 같이 개인 및 가정용으로 의도된 기기가 포함됩니다.

특히 ETSI EN 303 645는 모든 IoT 기기를 포함하지 않고 소비자 등급 제품으로 특별히 제한됩니다. 의료, 제조 또는 산업 현장을 포함한 분야의 IoT 기기는 이러한 부문이 종종 ETSI 표준에서 다루지 않는 고유한 보안 요구 사항과 규정을 가지고 있기 때문에 이 법률의 적용을 받지 않습니다.

Learn how you can become ETSI EN 303 645 compliant

code security assessment (8)
EU Cyber Resilience Act (CRA)

유럽연합의 사이버 회복력 법(CRA)은 제조업체와 소매업체가 하드웨어 및 소프트웨어 제품을 EU 시장에서 판매하기 전에 준수해야 하는 엄격한 사이버 보안 요구 사항을 설정합니다. 2027년 12월에 시행될 예정인 이 규정은 소비자에게 제공되는 디지털 요소가 있는 제품이 현재 사이버 보안 표준을 충족하도록 하여 EU 디지털 환경의 전반적인 보안 태세를 강화하는 것을 목표로 합니다.

CRA는 다른 장치나 네트워크에 직접 또는 간접적으로 연결할 수 있는 모든 제품을 포함합니다. 여기에는 일상적인 소비자용 전자 제품에서 복잡한 산업 시스템에 이르기까지 모든 것이 포함됩니다. 그러나 다른 기존 규정에 이미 포함되어 있는 오픈 소스 소프트웨어 및 서비스는 CRA의 관할 범위에서 제외됩니다.

CRA는 사이버 보안 표준을 준수하도록 의무화함으로써 데이터 침해, 맬웨어 감염, 무단 액세스와 같은 사이버 위협과 관련된 위험을 완화하는 것을 목표로 합니다. CRA의 요구 사항을 성공적으로 충족하는 제품에는 EU 안전, 건강 및 환경 보호 표준을 준수함을 나타내는 CE 마크가 부착됩니다.

Obtain EU CRA marking for your products

 

code security assessment (8)
UK’s Product Security and Telecommunications Infrastructure Act 2022 (PSTIA)

PSTIA 2022는 강력한 암호와 고객에게 보안 정보 제공을 의무화하여 영국 소비자의 "스마트" 제품 보안을 강화합니다. 이러한 요구 사항은 작성 당시 제조업체에만 적용되지만 전문가들은 향후 수입업체와 유통업체로까지 확대될 수 있다고 생각합니다. 공급망 이해 관계자는 불이행으로 인한 높은 비용을 피하기 위해 PSTIA 준수를 우선시하는 것이 좋습니다.

영국의 소비자 연결 가능 제품 보안 제도는 2024년 4월 29일부터 시행되었습니다. 제품 보안 및 통신 인프라(관련 연결 가능 제품에 대한 보안 요구 사항) 규정 2023은 제정 이후 영국 소비자 연결 가능 제품(또는 '스마트' 제품) 제조업체가 다음과 같은 최소 보안 요구 사항을 포함하여 해당 법률에 명시된 관련 의무를 준수하도록 요구했습니다.

  1. 이 규정은 제품 보안 및 통신 인프라(관련 연결 가능 제품에 대한 보안 요구 사항) 규정 2023으로 인용될 수 있습니다.
  2. 이 규정은 2024년 4월 29일에 발효되어 영국과 웨일즈, 스코틀랜드, 북아일랜드까지 적용됩니다.

이 규정의 시행은 제품 안전 및 표준 사무국(OPSS)의 유능한 감독 하에 있으며, DSIT와 양해각서에 따라 협력하여 PSTI 법 2022 및 2023 규정을 엄격히 준수하도록 보장합니다.

  • Who's in the spotlight? 관련 연결 가능 제품의 제조업체, 수입업체, 유통업체는 귀하의 안전과 보안을 보장하기 위해 최선을 다하는 경제 주체입니다.
  • What exactly are "relevant connectable products"? 이는 게임 체인저입니다. 인터넷 연결 가능 또는 네트워크 연결 가능 제품으로, 예외 제품으로 간주되는 제품은 제외하고 귀하의 삶을 향상시키도록 설계되었습니다.

2023년 규정의 일정 1은 관련 연결 가능 제품과 관련하여 준수해야 하는 구체적인 요구 사항을 명시합니다.

  1. Passwords: 비밀번호는 제품별로 고유해야 하거나 제품 사용자가 정의할 수 있어야 합니다. ETSI EN 303 645의 조항 5.1-1 및 해당되는 경우 ETSI EN 303 645의 조항 5.1-2를 준수해야 합니다.
  1. Information on how to report security issues: 제조업체는 제품에 대한 보안 문제를 보고하는 방법에 대한 정보를 제공해야 합니다. ETSI EN 303 645의 조항 5.2-1을 준수해야 합니다.
  1. Information on minimum security update periods: 최소 보안 업데이트 기간에 대한 정보는 명확하고 접근 가능하며 투명한 방식으로 공개하여 소비자에게 제공해야 합니다. ETSI EN 303 645의 조항 5.3-13을 준수해야 합니다.

Securing Your Market Position with the Right Partners

GRL 컴플라이언스 테스트와 시장 접근 전문 지식을 통해 컴플라이언스 과제를 시장 기회로 전환하세요. 현재 사이버 보안 표준을 충족하고 글로벌 시장 성공을 향한 빠른 트랙에 뛰어들어 고객 기대치를 뛰어넘으세요. 

컴플라이언스를 넘어서 GRL과 함께 새로운 시장과 미래를 보호하세요.

편하게 문의하세요!

COPYRIGHT 2025 GRANITE RIVER LABS INC. ALL RIGHTS RESERVED.

Privacy Policy