디지털 기능이 포함된 제품이라면 이제 보안은 ‘선택’이 아니라 ‘의무’입니다. 유럽연합(EU)의 사이버 복원력 법(CRA) 시행이 다가오면서, OT 산업 전반에도 변화의 바람이 불고 있습니다. 공장 자동화 장비, 에너지 설비, 교통 시스템 등 전통적인 OT 제품들도 앞으로는 ‘보안이 내장된 설계’(secure-by-design)가 기본이 되고, CE 마크와 유사한 보안 적합성 인증이 요구됩니다.
CRA란?
CRA는 유럽 내에서 유통되는 모든 디지털 제품에 사이버보안 요건을 법적으로 명시한 새로운 규제입니다. 하드웨어든 소프트웨어든, 인터넷에 연결되거나 데이터를 처리하는 제품이라면 대상이 됩니다.
주요 요구사항은 다음과 같습니다:
책임 주체는 제조사뿐 아니라 수입업자, 유통업자까지 포함되며, 제품에 따라 자체 적합성 선언 또는 제3자 인증 절차를 거쳐야 합니다.
OT 제품도 예외가 아니다
지금까지 OT는 ‘운영 환경이 폐쇄적’이라는 이유로 규제 논의에서 상대적으로 비껴 있었습니다. 하지만 CRA는 제품의 사용 환경이 아닌 기능과 위험 수준에 따라 규정 적용 여부를 판단합니다.
즉, 연결되지 않은 장비라도 통신 기능이나 데이터 처리 기능이 있다면 CRA 대상이 될 수 있습니다. 다음과 같은 제품들도 CRA 적용 대상에 포함될 수 있습니다:
OT OEM이 준비해야 할 것
CE 인증을 받아야 하는 보안 대상 제품이라면, CRA 요구사항에 따라 다음과 같은 조치가 필요합니다:
OT 제품은 수명 주기가 길고 펌웨어 변경이 까다롭기 때문에, 초기 단계부터 이를 고려한 보안 설계와 문서 체계를 갖추는 것이 관건입니다.
CRA는 언제부터 시행되나?
현재 시점은 ‘전환 기간’에 해당하며, OT OEM 입장에서 보안 인증 전략을 수립하고 체계를 점검하기에 가장 적절한 시기입니다.
앞으로의 보안은 '책임 있는 설계'로
보안을 코드에만 맡기던 시대는 지났습니다. CRA는 보안을 기술의 일부가 아닌, 제품 책임의 일부로 간주하며 명확한 법적 의무로 규정하고 있습니다. OT 업계도 이제 "안전한 운영=보안이 반영된 설계와 관리"라는 인식 전환이 필요합니다. 이제는 점검하고 대비해야 할 때입니다.