주요 규제 동향

의무화: 2022년 7월부터 신규 차종에 적용되었으며, 2024년 7월부터는 모든 생산 차량에 의무화되었습니다. (한국은 2024년 7월 자관법 제정, 2025년 8월 모든 생산 차량 의무화)
- UNECE R155 (사이버 보안 및 사이버 보안 관리 시스템):
  - 내용: 차량 제조 단계부터 생산, 운행, 폐기까지 전 과정에 걸쳐 사이버 보안을 체계적으로 관리하도록 요구합니다.
  - 주요 요건:
    - CSMS 인증: 제조사가 사이버 보안 관리 체계(CSMS)를 구축하고 인증을 받아야 합니다.
    - 위험 관리: 차량의 위협 분석 및 위험 평가(TARA)를 수행해야 합니다.
    - 공급망 보안: 부품 공급망 전반에 걸쳐 보안을 확보해야 합니다.
- UNECE R156 (소프트웨어 업데이트 및 소프트웨어 업데이트 관리 시스템):
  - 내용: 차량 소프트웨어 업데이트의 보안과 무결성을 확보하도록 요구합니다.
  - 주요 요건:
    - SUMS 인증: 제조사가 소프트웨어 업데이트 관리 체계(SUMS)를 구축하고 인증을 받아야 합니다.
    - 보안 업데이트: 업데이트의 보안 취약점 패치를 포함해야 합니다.
    - 기록 관리: 모든 업데이트 이력을 추적하고 기록해야 합니다.
의무화: 2024년 12월 법안 발효되었으며, 2026년 9월부터는 Critical Vulnerability Report 의무화, 2027년 11월부터는 All Vulnerability Report 의무화 됩니다.
- EU 사이버 복원력법 (CRA: Cyber Resilience Act):
  - 내용: 유럽 시장에 출시되는 모든 디지털 제품(소프트웨어 포함)의 사이버 보안을 강화하기 위한 법안입니다.
  - 차량 포함: 커넥티드 차량을 포함한 광범위한 제품에 적용됩니다.
  - CRA의 차량 관련 예외:
    - CRA는 기존에 별도 법규(예: UNECE 규정)로 보안 규제를 받는 특정 품목을 적용 범위에서 제외, 대신 UNECE R155와 R156을 준수
    - 차량의 소프트웨어 공급망 내에 있는 부품 및 소프트웨어는 CRA의 적용을 받을 수 있음
  - 주요 요건: 제품의 수명 주기 전반에 걸쳐 보안 취약점 관리, 보안 업데이트, 투명성 등을 의무화합니다.

영향 및 전망

시장 진입 필수 요건: 규제를 준수하지 못하는 차량은 유럽 시장에서 판매할 수 없으므로, 규제 준수는 자동차 제조사의 필수적인 생존 조건이 되었습니다.
공급망 확장: OEM(완성차 제조사)뿐만 아니라 부품 공급업체(Tier)들도 규제 준수를 위한 보안 체계를 마련해야 합니다.
SDV(소프트웨어 정의 차량) 가속화: 소프트웨어가 중요해지는 차량의 특성상, 보안 규제는 제조사들이 소프트웨어 기반의 혁신을 추진하도록 가속화하는 요인으로 작용하고 있습니다.

주요 규제 동향

References