[테크월드뉴스=이광재 기자] 사이버 복원력 법(CRA)과 같은 보안 규정은 산업용 기계 및 플랜트 엔지니어링 뿐만 아니라 장비 제조업체에도 광범위한 영향을 미친다. 그렇다면 왜 이러한 현상이 발생하며 해당 분야의 사용자들은 어떤 어려움에 직면할까?
산업용 통신 전문 기업 토마스 라우흐(Thomas Rauch) 힐셔(Hilscher) 최고기술책임자(CTO)는 다음과 같이 분석하고 있다.
![토마스 라우흐(Thomas Rauch) 힐셔 최고기술책임자(CTO) [제공=힐셔]](https://cdn.epnc.co.kr/news/photo/202508/321023_326069_5615.jpg)
유럽 연합의 사이버 복원력 법(CRA)과 같은 새로운 보안 요건들은 별개로 볼 수 없으며 이들은 NIS2 지침 및 독일 시행 법(NIS2UmsuCG)과 같은 다른 프레임워크와 직접적으로 연관돼 있다.
이들은 더욱 엄격한 보안 요건, 법적 책임 문제, 그리고 의무적인 정기 보안 업데이트를 포함해 자동화 산업에 매우 중요하다.
토마스 라우흐 CTO는 “패러다임의 전환이 일어나고 있다. 산업용 통신 시스템 분야에서 사이버 보안은 더 이상 선택 사항이 아니라 필수 전제 조건이 됐다”며 “이는 앞으로 사이버 보안을 완벽히 갖추지 않고는 안전한 산업용 네트워크를 구축할 수 없다는 것을 의미한다. 체계적인 구현 계획을 빨리 수립하고 실행할수록 좋다”고 말했다.
도전과제
![CRA 규정 로드맵 [제공=힐셔]](https://cdn.epnc.co.kr/news/photo/202508/321023_326070_5651.jpg)
제조업체와 자동화 산업은 매우 복잡한 과제에 직면한다. 이에 대해 살펴보면 CRA는 모든 연결 장치(유선 통신과 블루투스, LAN, USB 등의 기타 인터페이스 및 무선 포함)에 적용되며 인터넷에 직접 접속할 수 없는 장치도 영향을 받는다.
또 엄격한 보고 의무 즉 2026년 9월11일부터 보안 사고 발생시 24시간 이내에 BSI에 보고해야 하며 2027년 12월11일부터 CRA 규정의 완전한 준수가 이행돼야 한다.
이와 함께 무선 모듈(예: 블루투스)이 장착된 기기는 지난 8월1일부터 RED 규정의 적용을 받고 있다.
토마스 라우흐 CTO는 “가장 큰 과제는 이러한 새로운 요구 사항들을 실질적으로 구현하는 것”이라며 “다수의 기업들이 아직 이 여정의 초기 단계에 있고 다가오는 사이버 보안 변화의 규모를 과소평가하고 있다”고 밝혔다.
제조업체에 대한 일부 요건들, 이미 명확하다
![현장에서의 사이버 보안 5가지 원칙 ‘권한 부여·무결성·기밀성·인증성·가용성’ [제공=힐셔]](https://cdn.epnc.co.kr/news/photo/202508/321023_326071_5712.jpg)
▲악용 가능한 취약점이 없는 안전한 제품 제공 ▲패치 관리를 통한 필수 취약점 수정 ▲필수 업데이트 기능 ▲폐기시 데이터 삭제 기능 ▲장치 가용성·기밀성 및 무결성 보호 ▲인증·액세스 관리·보안 부팅 프로세스 ▲인증서 기반 통신 및 로깅 등 CRA에서 발생하는 특정 의무는 이미 제조업체에 대해 정의돼 있다.
데이터 보안의 중요성 증가
사물인터넷(IoT) 및 인더스트리 4.0(Industry 4.0)과 같은 기술의 부상으로 새로운 공격 벡터의 등장과 함께 사이버 보안은 더욱 중요해졌다. 사이버 위협에 대한 실질적인 보호는 고객 신뢰의 강화와 생존을 위한 필수 요소가 돼 궁극적으로는 경쟁 우위의 선점으로 이어진다.
힐셔는‘넷필드 디바이스 관리(netFIELD Device Management)’의 개발을 통해 이 문제를 해결했다.
이 제품은 ▲엣지 게이트웨이를 통한 작업 현장에서의 중앙 집중형 장치 관리 ▲그룹 및 하위 조직 장치 관리 ▲컨테이너화된 애플리케이션 배포 및 업데이트를 위한 플릿 관리 ▲시스템 사용률 및 알려진 취약점(CVE) 모니터링 ▲플랫폼을 통한 안전한 원격 장치 액세스 등의 기능을 제공한다.
그래도 삭제하시겠습니까?