유럽 연합(EU), 사이버 보안 인증 제도(EUCC) 도입


1. 도입 배경
 
EU 집행위원회(European Commission, 이하 “EC”)는 2024. 1. 31. 유럽 공통 평가기준 기반의 사이버보안 인증제도(European Cybersecurity Scheme on Common Criteria, 이하 “EUCC 인증제도”)를 도입하였습니다. 

EUCC 인증제도는 2019. 3. 12. EU 의회가 제정한 “EU 사이버 보안법(EU Cybersecurity Act)”을 근거로 하고 있습니다. EU 사이버보안법은 IT 제품 및 서비스에 대한 사이버보안 강화를 위하여 EU 사이버보안청(EU Agency for Cybersecurity, 이하 “ENISA”)이 EU 회원국과 함께 EU 통합 사이버보안 인증 프레임워크(EU cybersecurity certification framework)를 개발하도록 하였습니다. EUCC 인증제도는 이러한 프레임워크의 일부로서 최초로 도입된 제도로서, ICT 제품 및 서비스(예: 소프트웨어, 하드웨어, 칩 및 스마트 카드 등의 부품)에 대한 EU 공통의 기술적 요구 사항 등을 규정하여 EU 시장 내 ICT 제품 및 서비스의 사이버보안 수준을 높이는 것을 목표로 합니다.

EU는 최근 사이버보안을 강화하기 위하여 적극적인 입법 활동을 펼쳐왔습니다. 일례로 EU는 2023. 1. 네트워크 및 정보 보안 지침(Network and Information Systems 2, 이하 “NIS2”)을 업데이트하여 특정 산업 분야에 대한 공통의 사이버보안 기준을 부과했습니다. 나아가 EU 의회는 2024. 3.에는 EU 내 커넥티드 디바이스 제조업체의 사이버보안 요구사항을 정하는 내용의 사이버복원력법(Cyber Resilience Act, 이하 “CRA”)을 승인하였습니다. EUCC 인증제도 또한 이러한 입법적 노력의 일환으로 제정된 것으로, 위 법령을 보완하여 EU 내 ICT 제품에 대한 신뢰성을 높여줄 것으로 기대되고 있습니다.



2. 주요 내용

EUCC 인증제도는 강제성이 없는, 기업의 자발적인 참여를 전제로 하는 인증제도입니다. ICT 제품 공급업체가 EUCC 인증을 신청하여 외부 평가 기관에게 자사 제품의 사이버 보안 수준이 일정 수준 이상이라는 사실을 증명하면, 해당 업체는 자사 제품에 EUCC 인증 마크 라벨을 부착할 수 있게 됩니다. 

EUCC 인증제도는 제품에 수반되는 위험성의 정도에 따라 2단계의 보안 수준을 보증해주는데, 이때 위험성의 정도는 보안 사고 발생 가능성 및 사고의 영향력을 고려하여 정해집니다. 2단계의 보증 수준은 다음과 같습니다.
 

1.    상당한 수준(substantial level): ICT 제품이 규정된 기능을 갖추고 있으며, 제한된 기술과 자원을 보유한 행위자에 의한 사이버 보안 위협을 최소화할 수 있는 수준임을 보증합니다. 

2.    높은 수준(high level): ICT 제품이 규정된 기능을 갖추고 있으며, 상당한 기술과 자원을 보유한 행위자에 의한 최첨단 사이버 공격을 최소화할 수 있는 수준임을 보증합니다. 

EUCC 인증제도의 인증 요건은 이미 17개의 EU 국가에서 사용되고 있는 SOG-IS 공통 기준 평가 프레임워크를 기반으로 합니다. SOG-IS 인증 업체의 경우 EUCC 인증제도가 요구하는 추가적인 요건을 충족한 후 SOG-IS 인증서를 EUCC 인증서로 변환할 수 있습니다. EUCC 인증을 받으면 모든 EU 국가 내에서 인증의 혜택을 누릴 수 있으며, 판매 국가 별로 다른 종류의 인증을 받을 필요가 없게 됩니다. 

EUCC 인증을 받은 후라도, 인증 업체는 지속적으로 자사 ICT 제품의 보안상 취약점을 점검하고 보고해야 합니다. 인증 업체는 ICT 제품에 대한 취약점 관리 프로세스를 수립 및 유지해야 하며, 취약점이 확인되는 경우 인증 기관 또는 국가 사이버보안 인증기관에 보고해야 합니다. 만약 이러한 취약점이 해결될 수 없다고 판단되는 경우, EUCC 인증이 일정기간 정지되거나 철회될 수 있습니다.



3. 시사점

이번 EUCC 인증제도 도입으로 EU 시장 내 소비자는 통일적이며 신뢰할 수 있는 기준에 따라 ICT 제품의 안전성을 평가할 수 있게 될 것이며, 이에 따라 ICT 제품 공급업체 역시 자사 제품의 경쟁력 제고를 위하여 보안 수준을 강화할 것으로 예상됩니다. 

비록 EUCC 인증제도는 자발적인 제도이지만, 이미 인증을 받은 업체가 인증 정지 또는 철회를 당하는 경우 기업 이미지에 큰 타격을 받을 수 있습니다. 또한 EUCC 인증제도는 ICT 제품 공급업체가 NIS2, CRA 등 다른 법령에서 정한 의무 사항을 준수하고 있음을 증명해주는 수단으로 활용될 수 있습니다. 따라서 앞으로 다수의 EU ICT 제품 공급업체가 EUCC 인증을 받기 위해 노력할 것으로 예측됩니다. 

우리 기업의 경우에도, ICT 제품 공급업체를 선택할 때 EUCC 인증 여부를 중요한 기준으로 두어 ICT 제품의 안전성을 보증 받고 사이버 보안 사고를 예방할 수 있습니다. 또한 EUCC 인증제도는 EU 기반 제도이지만, EU 이외 국가 기업도 인증을 받을 수 있습니다. 따라서 유럽 시장을 공략하는 우리 나라 ICT 제품 공급업체는 EUCC 인증을 받아 EU 고객 층 사이에서의 제품 경쟁력을 제고할 수 있습니다. 

한편, EUCC 인증제도는 EU 사이버 보안법을 근거로 한 EU 통합 사이버 보안 인증 프레임워크의 일부일 뿐이며, ENISA는 현재 클라우드 서비스에 대한 인증 제도와 5G 통신에 대한 인증 제도도 고안하고 있는 바, 관련 업체는 향후 관련 규칙 제정 과정을 면밀히 모니터링해야 할 것입니다.