한때 디지털 보안을 지키는 수문장이었던 비밀번호는 이제는 오늘날 깊이 연결된 기기 생태계에서 가장 큰 취약점으로 전락했습니다. Verizon의 2023 데이터 유출 조사 보고서에 따르면, 전체 유출 사고의 약 75%가 도난된 자격 증명(즉, 비밀번호)과 관련이 있었으며, 대부분은 피싱이나 사회공학 기법에 의한 것이었습니다. 이러한 공격 방식이 점점 더 정교해짐에 따라, 이제 단순한 비밀번호에 의존하는 것은 충분하지 않습니다.
이러한 변화는 규제 환경에서도 드러납니다. 2025년 8월 1일부터, EU의 라디오 장비 지침(RED: Radio Equipment Directive)에 따라 인터넷에 연결되는 라디오 장비, 개인 데이터를 처리하는 장비, 금융 거래를 지원하는 라디오 장비에 3가지 신규 요건이 적용됩니다. 기존에는 RED 조항 3.3(d), (e), (f)에 대한 적합성 평가를 위해 공인 기관(Notified Body)의 심사가 필요했지만, 앞으로는 EU 공보 저널에 게재된 EN 18031-1, -2, -3이라는 **조화 표준(harmonized standards)**을 기준으로 적합성을 증명할 수 있게 됩니다.
기본값 또는 하드코딩된 비밀번호를 사용하는 전통적인 방식은 이제 RED 조항 3.3에서 요구하는 네트워크 보안, 개인 데이터 보호, 무단 접근 방지 요건을 충족하기에 부족하다는 평가를 받고 있습니다.
비밀번호 보호 기능을 우회하거나 비활성화할 수 있는 기기, 또는 강력한 대체 인증 수단이 없는 기기 또한 EN 18031-1, -2, -3의 요건을 충족하지 못할 수 있습니다. 실제로 이러한 기능이 있는 제품은 조화 표준의 적용 제한 항목에 명시되어 있습니다. 예를 들어, 비밀번호 설정을 건너뛸 수 있는 기기나 강력한 자녀 보호 기능이 없는 기기는 자체 선언 방식(Internal Production Control, Module A)을 사용할 수 없고, 반드시 공인 기관의 검토를 거쳐야 합니다.
이에 따라, 많은 제조사들은 공개키 암호화, 생체인식, 보안 토큰 기반 페어링 등의 패스워드리스(passwordless) 인증 방식을 도입하고 있습니다. 이러한 기술은 공유 비밀을 필요로 하지 않으며, 무단 접근에 본질적으로 더 강하게 대응할 수 있어 RED 조항 3.3(d), (e), (f)의 기대에 더 잘 부합합니다. 다만, 복구 코드나 보조 장치 페어링 등 **대체 인증 수단(fallback mechanism)**도 동일한 수준의 보안 요건을 충족해야 하며, 그렇지 않으면 보안 설계를 무너뜨려 RED 기준을 위반할 수 있습니다.
**조화 표준(harmonized standards)**은 유럽연합 집행위원회가 공식적으로 인정한 규격으로, 관련 지침 또는 규정의 적합성을 입증하는 유효한 방법으로 간주됩니다. 이 표준을 사용하는 것은 의무는 아니지만, 해당 조화 표준을 완전하게 적용한 제조사는 RED 조항 17에 따라 내부 생산 통제(Internal Production Control, Module A) 방식으로 **자체 적합성 선언(Self-declaration)**을 할 수 있습니다.
반면, 고유한 방식(예: 독자적인 보안 제어 방식이나 국제 표준 등)을 사용하는 경우에는 반드시 **공인 기관(Notified Body)**이 기술 문서를 검토해야 합니다. 이제 RED 조항 3.3(d), (e), (f)에 대해서는 새롭게 발표된 EN 18031-1, -2, -3이 조화 표준으로 지정되어, 네트워크 보호, 개인정보 보호, 금융 사기 방지와 관련된 RED의 사이버보안 조항을 충족하는 데 활용할 수 있습니다.
RED 조항 17에 따라 제조사는 다음 세 가지 적합성 평가 방식을 선택할 수 있습니다:
내부 생산 통제 (Module A) – 가장 간단한 경로로, 공인 기관 없이 자체 선언 가능
EU형식검사 + 형식 적합 선언 – 공인 기관이 문서를 검토하고 형식 적합성 인증서(Type Examination Certificate) 발급
완전 품질 보증 방식 (Full Quality Assurance) – 현실에서는 드물게 사용되는 복잡한 경로
조항 3.1(안전성 및 전자기 적합성) 및 3.4(공통 충전기)에 대해서는 제조사의 자율 선택이 가능하지만, **조항 3.2(주파수 사용)**와 **3.3(사이버보안)**에 대해서는 더 엄격한 요건이 적용됩니다.
특히 비밀번호 기반 보호 기능이 있거나 비밀번호를 비활성화할 수 있는 연결 기기의 경우, **조항 3.3(d), (e), (f)**의 충족 여부가 매우 중요합니다. 이때 조화 표준을 완전히 적용하지 않는다면, 반드시 공인 기관이 기술 문서를 평가해야 합니다. 반면, EN 18031-1, -2, -3을 충실히 적용한 경우에는 명확하고 인정된 컴플라이언스 경로로 CE 인증을 받을 수 있습니다.
조화 표준은 조건부로만 인정됩니다. 즉, 제품이 특정 제한(clause)에 해당하는 경우, 해당 표준은 더 이상 조화 표준으로 간주되지 않으며, 시장 출시 전 공인 기관의 개입이 필수입니다.
제품이 비밀번호 설정 없이 사용 가능하거나 비밀번호를 사용하지 않아도 되는 설계라면(6.2.5.1 및 6.2.5.2 조항), 이 표준은 적용할 수 없습니다. 즉, 인증을 건너뛸 수 있는 스마트 디스플레이 등은 자체 선언 방식을 사용할 수 없고, 비밀번호 사용을 기본적으로 강제해야만 조화 표준으로 인정받을 수 있습니다.
위와 같은 비밀번호 제한 외에도, 6.1.3~6.1.6 조항이 적용되는 경우 보호자 접근 제어 기능을 제공해야 합니다. 이는 스마트 토이, 아동용 장비 등에서 특히 중요합니다. 자녀 보호 기능이 부족한 경우, 이 표준을 조화 표준으로 사용할 수 없습니다.
기존의 비밀번호 관련 제한 외에도, **보안 업데이트 메커니즘(6.3.2.4)**에 대한 추가 조건이 있습니다. 만약 제품이 금융 거래를 처리하면서 이 조항에서 정의된 단순한 업데이트 방식만 사용하는 경우, RED 적합성을 인정받을 수 없습니다. 보다 강력한 업데이트 방식이 증명되어야 하며, 이 경우 공인 기관의 평가가 필요합니다.
또한 이 표준의 **해설 및 설명 조항(“Guidance” 및 “Rationale”)**은 정보용일 뿐이며, 적합성 추정 근거로 사용할 수 없습니다. 제조사는 자사 제품이 해당 제한 조항에 해당하는지 면밀히 검토하고, 필요한 경우 공인 기관과 협의해야 합니다.
2025년 8월 RED 적용 마감일이 다가오고 있는 지금, 제조사는 연결 기기의 미래를 대비해 지금 바로 준비해야 합니다. 리스크 평가, 기술 문서, 적합성 절차를 미리 점검하고, 필요시 공인 기관의 자문을 받는 것이 시간과 비용을 절감하는 지름길입니다. 모든 제품은 신규 또는 기존 브랜드에 관계없이 CE 마크를 필수로 부착해야 EU 시장 진입이 가능합니다.
이러한 규정을 이해하고 대응하는 것이 복잡하게 느껴진다면, GRL이 도와드릴 수 있습니다.
GRL의 전문가들과 함께 RED 컴플라이언스를 신속하게 확보하고, 커넥티비티 생태계에 적합한 견고한 사이버 보안 테스트 전략을 수립하세요.
1. https://www.beyondtrust.com/blog/entry/how-compromised-passwords-lead-to-data-breaches