공식 발표: 2025년 8월 1일부터 유럽 연합(EU) 시장에 출시되는 모든 무선 장비 중, 무선 장비 지침(2014/53/EU) 위임법(2022/30) 적용 대상이 되는 장비는 CE 마크 인증을 유지하기 위해 강화된 사이버보안 요건을 충족해야 합니다. 이러한 조치는 점점 더 연결되는 디지털 환경에서 개인 정보 보호를 강화하고, 네트워크 무결성을 보장하며, 사기 행위를 방지하기 위해 고안되었습니다. 제조업체가 EN 18031-1, EN 18031-2 및 EN 18031-3(해당되는 경우) 조화 표준을 충족할 수 있는 경우, 일부 요건에 대한 예외가 허용될 수 있습니다.
원래 2024년 8월 1일 예정되어 있던 시행일은 조화 표준 개발 및 구현 계획 수립에 필요한 추가 시간을 확보하기 위해 1년 연기되었습니다. 제조업체는 신속하게 대응할 것을 강력히 권장합니다. 지금 컴플라이언스를 준비하면 비용이 많이 드는 사후 재설계 위험을 줄이고, 변화하는 EU 규제 환경에 보다 원활하게 적응할 수 있습니다.
어떤 기기가 EU RED 사이버 보안 적용 대상인가요?
모든 무선 기기가 EU RED의 적용을 받는 것은 아닙니다. 사이버 보안 요건은 다음과 같은 기기에만 적용됩니다.
- 인터넷 연결 가전제품. 예: 휴대폰, 태블릿, 카메라, 스마트 TV
- IoT 기능이 있는 기기. 예: 스마트 홈 허브, 웨어러블 기술, 커넥티드 장난감
- 장난감, 육아 및 안전 장비. 예: 베이비 모니터, GPS 추적기
- 네트워크에 연결되는 산업용 무선 장비 및 무선 자동차 전자 부품
- 무선 통신 및 인터넷 연결이 가능한 모든 기기
예외가 적용될 수 있는 기기: 다음 기기는 해당 산업 분야의 규정에 따라 특정 EU RED 조항에서 완전히 제외되거나 예외가 적용될 수 있습니다.
- 완전히 제외: 의료기기
- 제3조(3)(e) 및 (f)에서 제외되는 항목:
- 항공기, 자동차 및 전자 도로 통행료 시스템
- DAB 무전기 또는 레이더 장치와 같이 인터넷에 연결되지 않은 오프라인 전용 무선 기기
자신의 기기가 EU RED 사이버보안 대상인지 확실하지 않은 제조업체는 유럽 위원회 웹사이트1를 참조하거나 GRL의 사이버보안 전문가에게 자세한 정보를 문의하십시오.
기존 기기의 EU RED 준수는 어떻게 되나요?
EU 시장에서 이미 유통 중인 제품은, 잠재적인 보안 문제와 직접적인 관련이 없는 경우, 수명이 끝날 때까지 사용할 수 있습니다. 하지만 8월 1일 이후 EU 시장에 출시되는 모든 개별 무선 제품은 기존 제품 시리즈의 일부인지 여부와 관계없이 최신 요건을 충족해야 합니다.
EU RED 업데이트는 어떻게 사이버보안 위협에 대응하나요?
스마트폰, 산업용 IoT 모듈, 심지어 장난감과 같은 일상적인 무선기기의 확산에 따라 사이버보안 위협이 증가했습니다. 이에 따라 유럽 위원회는 무선 장비 지침(RED) 제3조(3)(d), (e), (f)항을 시행하고 있습니다.
제3.3조(d)항 - 무선 장비는 네트워크 또는 네트워크 기능에 해를 끼치거나 네트워크 리소스를 오용하여 용납할 수 없는 수준의 서비스 품질을 저하시켜서는 안 됩니다.
예: 펌웨어 업데이트 또는 오류 복구 시 네트워크 플러딩을 방지하기 위해 데이터 속도 조절 및 백오프 전략을 구현해야 합니다. 이 조항은 EN 18031-1의 요건을 충족함으로써 충족될 수 있습니다.
제3.3조(e)항 - 무선 장비는 사용자와 가입자의 개인 데이터 및 개인정보를 보호하기 위한 안전장치를 통합해야 합니다.
예: 클라우드 통신 암호화, 불필요한 데이터 수집 최소화, 저장된 데이터 보안을 통해 사용자 개인정보를 보호해야 합니다. 이 조항은 EN 18031-2의 요건을 충족함으로써 충족될 수 있습니다.
제3.3조(f)항 - 무선 장비는 사기 방지를 위한 특정 기능을 지원합니다.
예: 보안 부팅, 암호화 펌웨어 서명, 사용자 인증과 같은 사기 방지 메커니즘을 구축하면 기기가 악의적인 목적으로 악용되는 것을 방지할 수 있습니다. 이 조항은 EN 18031-3의 요건을 충족함으로써 충족될 수 있습니다.
인터넷 연결 기기 vs. 오프라인 기기
무선 기기는 인터넷 연결 가능 여부에 따라 EU RED의 특정 조항에서 면제될 수 있습니다.
- 인터넷 연결 기기는 사기 및 데이터 유출을 방지하기 위해 암호화, 보안 인증 메커니즘, 보안 소프트웨어 업데이트를 지원해야 합니다.
- 인터넷에 연결되지 않은 무선 기기는 대체로 EU RED 제3조(3)(e) 및 (f)항에서 면제됩니다. 그러나 다른 기기 또는 시스템과 상호 작용하는 경우 네트워크 무결성을 위해 제3조(3)(d)항을 준수해야 할 수 있습니다.
비밀번호 없는 기기의 경우
블루투스 비콘이나 수동 센서처럼 사용자가 설정할 수 있는 자격 증명이 없는 기기라 하더라도, EU RED의 사이버 보안 요건에서 제외되지 않습니다. 이 경우, 제조업체는 기존 비밀번호가 없더라도 기기가 악의적인 목적으로 악용되거나 재프로그래밍될 수 없음을 입증하는 대체 기술적 안전 장치를 구현해야 합니다. 이러한 기기에 대한 CE 마크 자체 신고는 허용되지 않으며, 대신 인증 기관의 참여가 필요합니다.
이러한 안전 장치의 예는 다음과 같습니다.
- 페어링 또는 펌웨어 제어를 위한 고유 기기 식별자
- 쉽게 악용될 수 없는 사전 구성된 보안 기본값
- 보안 부팅 메커니즘 또는 제한된 펌웨어 업데이트 경로
8월 1일 EU RED 준수를 위한 경쟁이 시작되었습니다.
2025년 8월 1일 시행을 앞두고, EU RED 준수를 위한 경쟁이 본격화되고 있습니다.
안전하고 신뢰할 수 있는 제품을 만들고 초기 테스트에 투자함으로써,
보안, 개인정보 보호, 네트워크 복원력 측면에서 한발 앞서 나갈 수 있습니다.
Granite River Labs는 EU 내에서의 자유로운 제품 출시를 지원하는 사이버보안 테스트 서비스를 제공합니다.
References
1. Radio Equipment Directive. European Commission.
