디바이스 및 애플리케이션 Cybersecurity 컴플라이언스 | NCCS India

강력한 사이버 보안 테스트란 무엇인가요?

모든 사이버 보안 프로토콜이 동일하게 설계된 것은 아닙니다. 단순히 정해진 절차를 따르는 것을 넘어, 효과적인 사이버 보안 조치는 지속적으로 새로운 공격을 시뮬레이션하여 시스템의 취약점을 찾아내야 합니다. 사이버 공격자가 끊임없이 새로운 기술과 방법을 실험하듯이, 보안 팀 역시 최신 위협에 대응하기 위해 지속적으로 보안을 강화하고 업데이트해야 합니다.

사이버 보안 평가는 다음과 같은 주요 영역을 포함합니다:

접근 권한 및 인증 (Access and Authorization)
인증 속성 관리 (Authentication Attribute Management)
소프트웨어 보안 (Software Security)
시스템 보안 실행 환경 (System Secure Execution Environment)
사용자 감사 (User Audit)
데이터 보호 (Data Protection)
네트워크 서비스 (Network Services)
공격 방지 메커니즘 (Attack Prevention Mechanisms)
취약점 테스트 요구 사항 (Vulnerability Testing Requirements)
운영 체제 (Operating System)
웹 서버 (Web Servers)

Open Web Application Security Project (OWASP)

OWASP(Open Web Application Security Project)는 전 세계적으로 활동하는 비영리 조직으로, 소프트웨어 애플리케이션 보안 향상을 목표로 하고 있습니다. OWASP는 애플리케이션 보안을 개인과 기업 모두가 쉽게 접근할 수 있도록 다양한 자료, 도구, 지식 기반 리소스를 제공합니다. 이러한 리소스에는 보안 코딩 실천 방법, 취약점 테스트 프레임워크, 교육 자료, 그리고 협업과 정보 공유를 촉진하는 커뮤니티 주도 이니셔티브 등이 포함됩니다.

OWASP는 보안 인식 제고를 위한 선도적인 역할을 수행하며, 빠르게 변화하는 위협 환경 속에서 보안 태세를 강화하려는 이들에게 길잡이 역할을 합니다. 특히, OWASP Top Ten은 웹 애플리케이션이 직면한 가장 심각한 보안 위험 10가지를 선정한 리스트로, 개발자, 보안 전문가, 기업들이 취약점을 해결하는 데 널리 활용되고 있습니다. OWASP는 이러한 노력을 통해 전 세계 웹 애플리케이션의 보안 수준을 높이는 데 기여하고 있습니다.

Common Weakness Enumeration (CWE)

CWE(Common Weakness Enumeration)는 소프트웨어 취약점을 식별하고 분류하기 위한 표준화된 언어와 프레임워크를 제공하는 이니셔티브입니다. 이를 통해 소프트웨어 개발자, 보안 전문가, 연구자 간의 효과적인 커뮤니케이션과 협업을 촉진하는 것을 목표로 합니다.

CWE는 CWE 목록(CWE List)을 유지하며, 이는 개발자가 보안 취약점을 식별, 완화 및 예방하는 데 활용할 수 있는 대표적인 소프트웨어 취약점 아카이브입니다. 목록에 포함된 각 취약점은 고유 식별자(CWE-ID)가 부여되며, 해당 취약점이 미칠 수 있는 영향, 실제 사례, 권장되는 대응 방안 등이 상세히 정리되어 있습니다.

또한 CWE 목록은 코딩 오류, 설계 결함, 구성 오류, 보안 미흡 등 공격자가 악용할 수 있는 다양한 소프트웨어 취약점을 설명합니다. 이를 통해 개발자와 보안 실무자는 소프트웨어 시스템의 보안성을 강화하고, 일반적인 취약점과 관련된 위험을 효과적으로 완화할 수 있습니다.

Vulnerability Assessment and Penetration Testing (VAPT) - NIST SP 800-115

미국 국립표준기술연구소(NIST, National Institute of Standards and Technology)는 NIST SP 800-115 - 정보 보안 테스트 및 평가에 대한 기술 가이드(Technical Guide to Information Security Testing and Assessment)를 통해 조직이 보안 모범 사례를 체계적으로 계획, 식별, 분석, 구현 및 유지할 수 있도록 단계별 지침을 제공합니다.

NIST SP 800-115에 정의된 기법 중 하나가 **취약점 평가 및 침투 테스트(VAPT, Vulnerability Assessment and Penetration Testing)**입니다. VAPT는 보안 테스트 접근 방식을 정의하며, 조직이 취약점을 식별하고 해결할 수 있도록 지원합니다.

VAPT는 **취약점 평가(Vulnerability Assessment)**와 **침투 테스트(Penetration Testing)**를 결합한 분석 기법으로, 다양한 산업 분야에 맞게 맞춤형으로 적용될 수 있습니다. VAPT 가이드라인을 준수함으로써, 조직은 상용 보안 도구 및 전문가의 수동 평가를 활용하여 보안 취약점을 신속하게 식별하고 해결할 수 있습니다.

Device security standards

13 provisional items of cybersecurity

국제 표준 기구와 보안 관련 기관들은 보안성이 높은 사이버 보안 시스템을 구축하기 위해 필수적인 13가지 사이버 보안 조항을 정의하였습니다. 이 목록이 완전한 것은 아니지만, 조직이 사이버 보안 위협에 효과적으로 대응할 수 있는 탄탄한 기반을 구축하는 데 도움이 될 것입니다.

기본 비밀번호를 없앨 것 (No universal default passwords)
취약점 신고를 관리할 수 있는 체계를 구축할 것 (Implement a means to manage reports of vulnerabilities)
소프트웨어를 최신 상태로 유지할 것 (Keep software updated)
민감한 보안 매개변수를 안전하게 저장할 것 (Securely store sensitive security parameters)
안전한 통신 방식을 구현할 것 (Communicate securely)
공격 노출 표면을 최소화할 것 (Minimize exposed attack surfaces)
소프트웨어 무결성을 보장할 것 (Ensure software integrity)
개인 데이터를 안전하게 보호할 것 (Ensure that personal data is secure)
시스템이 장애에 강한 내구성을 갖추도록 할 것 (Make systems resilient to outages)
시스템 원격 측정 데이터를 검토할 것 (Examine system telemetry data)
사용자가 자신의 데이터를 쉽게 삭제할 수 있도록 할 것 (Make it easy for users to delete user data)
기기 설치 및 유지보수를 쉽게 할 것 (Make installation and maintenance of devices easy)
입력 데이터를 검증할 것 (Validate input data)

8 fundamental data protection rights

13가지 사이버 보안 조항과 함께, 사이버 방어 시스템이 반드시 보장해야 하는 8가지 기본 데이터 보호 권리가 있습니다. 각 조직과 산업 시스템은 저마다 다르기 때문에, 사이버 보안의 목표를 명확히 설정하는 것이 중요합니다. 이를 통해 보안 시스템이 개별 조직의 필요에 맞춰 수정 및 맞춤화된 이후에도 본래의 목적을 효과적으로 유지할 수 있습니다.

1. 정보 제공 받을 권리 (Right to information)

사용자는 기업이 자신의 개인 데이터를 어떤 목적으로 처리하는지에 대한 정보를 요청할 권리가 있습니다.
예를 들어, 데이터를 열람할 수 있는 승인된 프로세서 목록을 요청할 수 있으며, 이를 통해 누가 자신의 정보에 접근할 수 있는지 확인할 수 있습니다.

2. 개인 데이터에 접근할 권리 (Right to access)

사용자는 자신의 개인 데이터를 직접 확인하거나 사본을 요청할 권리가 있습니다.
이는 본인 인증을 하거나, 기업이 자신의 데이터를 어떻게 사용하는지 확인하는 데 유용합니다.

3. 개인 데이터 수정 요청 권리 (Right to rectification)

사용자는 자신의 개인 데이터가 부정확하거나 최신 정보가 아닐 경우 수정 요청할 권리가 있습니다.
이를 통해 보유된 정보가 올바르고 최신 상태인지 보장할 수 있습니다.

동의 철회 권리 (Right to withdraw consent)

사용자가 이전에 기업에 개인 데이터 사용을 허용했더라도, 이를 철회할 권리가 있습니다.
동의를 철회하면 해당 기업은 더 이상 사용자의 데이터를 해당 목적으로 처리할 수 없습니다.

4. 개인 데이터 처리에 반대할 권리 (Right to object)

사용자는 특정한 사유가 있을 경우 자신의 개인 데이터 처리에 반대할 권리가 있습니다.
예를 들어, 법적 분쟁이나 기타 특별한 상황에서 이 권리를 행사할 수 있습니다.

5. 자동화된 처리(결정)에 반대할 권리 (Right to object to automated processing)

사용자는 자동화된 데이터 처리로 인해 부당한 결정이 내려졌다고 판단될 경우 이에 이의를 제기할 권리가 있습니다.
이 경우, 사람이 직접 해당 사항을 검토하도록 요청할 수 있습니다.

6. 잊혀질 권리 (Right to be forgotten)

사용자는 더 이상 특정 기업과 관계가 없을 경우, 자신의 개인 데이터를 삭제 요청할 권리가 있습니다.
다만, 이 권리는 절대적인 것이 아니며, 해당 기업이 따라야 하는 법적 의무가 있을 경우 제한될 수 있습니다.

7. 데이터 이동 권리 (Right for data portability)

사용자는 자신의 개인 데이터를 다른 서비스 제공자로 이전하거나, 기계가 읽을 수 있는 전자 형식으로 제공받을 권리가 있습니다.
예를 들어, 서비스를 변경할 때 데이터 이전이 필요하거나, 자신의 데이터 사본을 보관하려는 경우 유용합니다.

종합 인증 프로세스

전략적 기획 및 설계 통합

GRL은 제품 개발 초기 단계에서 제조업체와 협력하여 글로벌 보안 표준에 부합하는 보안 조치를 구현합니다. 당사의 전문가 팀은 철저한 **갭 분석(Gap Analysis)**을 수행하고, 전략적인 인증 준수 로드맵을 개발하여 인증 과정에서 발생할 수 있는 장애물을 최소화하고 테스트 프로세스를 간소화합니다.

기술 문서 및 테스트 전문성

GRL의 포괄적인 인증 테스트는 암호화 강도, 시스템 복원력, 데이터 보호 조치 등을 최신 규제 표준에 따라 검증합니다. 또한, 철저한 기술 문서 준비를 통해 인증 신청을 보다 효율적으로 진행할 수 있도록 지원하며, 승인 소요 시간을 단축하여 시장 출시를 앞당깁니다.

글로벌 시장 접근 솔루션

국제 시장 진출을 위해서는 다양한 규제 요건을 고려한 전략적인 인증 계획이 필수적입니다. GRL은 CE 마킹, RED 사이버 보안 검증, NCCS 인증 및 기타 주요 규제 승인에 대한 전문가 가이드를 제공합니다. 또한, 지속적인 규제 변화 모니터링을 통해 제조업체가 최신 규정을 준수하고, 시장 진입에 차질이 없도록 지원합니다.

해외 시장 진출을 위한 지원

India Cybersecurity regulations

NCCS

connected networks and devices-1

인도 정부 통신부(DoT, Department of Telecommunications) 산하에서 운영되는 국가 통신 보안 센터(NCCS, National Centre for Communication Security)**는 보안 인증 및 통신 장비 평가를 통해 인도의 핵심 통신 인프라의 사이버 보안을 보장하는 역할을 담당합니다.

NCCS는 **인도 통신 보안 보증 요구사항(ITSAR, Indian Telecom Security Assurance Requirements)**을 제정하였으며, 이는 인도 내 모든 통신 서비스 제공업체 및 통신 인프라 수입업체에 적용되는 보안 가이드라인입니다.

ITSAR는 필수 통신 장비 테스트 및 인증 제도(MTCTE, Mandatory Testing and Certification of Telecommunication Equipment)의 일부이며, 네트워크 보안, 데이터 프라이버시, 합법적 감청 등의 영역을 다룹니다.
ITSAR 준수는 인도의 통신 인프라 보안을 보장할 뿐만 아니라, 통신 장비 제조업체가 인도의 공공 및 민간 기관과의 계약 입찰에서 경쟁력을 확보할 수 있도록 지원합니다.

NCCS가 지정한 **통신 보안 테스트 연구소(TSTL, Telecom Security Testing Laboratory)**는 ITSAR 및 기타 국내외 보안 표준에 따라 다음과 같은 장비에 대한 사이버 보안 테스트를 수행합니다.

광선로 종단 장치(OLT, Optical Line Terminal)
광 네트워크 단말 장치(ONT, Optical Network Terminal)
IP 라우터 (IP Routers)
Wi-Fi 고객 단말 장치(Wi-Fi CPEs, Customer Premises Equipment)

Kickstart your ITSAR compliance journey with GRL

Learn more about NCCS

BIS CCTV cybersecurity

software application security (1)

인도 전자정보기술부(MeitY, Ministry of Electronics & Information Technology)**는 소비자 전자제품 제조업체가 인도 표준국(BIS, Bureau of Indian Standards)에 제품을 등록하도록 요구하는 필수 등록 제도(CRS, Compulsory Registration Scheme)를 시행하고 있습니다.
이 등록은 BIS가 인정한 실험실에서 제품이 테스트를 완료한 후에만 획득할 수 있습니다.

또한, 모든 CCTV 카메라는 전기 안전 기준뿐만 아니라, 2025년 4월 9일부터 시행되는 필수 요구사항(ER01, Essential Requirements)에서 지정한 사이버 보안 요건도 충족해야 합니다.

CCTV 시스템 보안의 주요 요구사항

물리적 보안: 방 tamper-resistant(변조 방지) 카메라 하우징 및 잠금 메커니즘 사용

접근 제어: 역할 기반 인증(Role-based authentication) 및 접근 권한 정기 검토

네트워크 보안: 데이터 저장 및 전송을 위한 암호화 적용

소프트웨어 보안: 정기 업데이트 수행, 사용하지 않는 기능 비활성화, 강력한 비밀번호 정책 적용

침투 테스트: 사이버 위협에 대한 저항력 보장 및 취약점 대응

ER01에 따르면, 보안 요구사항은 다음과 같이 널리 분류됩니다.

하드웨어 수준 보안 매개변수 (Hardware Level Security Parameters)
소프트웨어 및 펌웨어 보안 (Software/Firmware Security)
보안 프로세스 준수 (Secure Process Conformance)
제품 개발 단계의 보안 준수 (Secure Conformance at Product Development Stage)

Access the Complete guide to BIS Certification

유럽 사이버 보안 컴플라이언스 요구사항

EU RED 사이버 보안 준수

유럽 경제 지역(EEA) 내에서 거래되는 모든 무선 장치를 규제하는 유럽연합 무선 장비 지침(RED, Radio Equipment Directive)**은 네트워크 보안, 개인정보 보호, 사기 방지를 위한 필수 요구사항을 충족하도록 규정하고 있으며, 이를 통해 EEA 시장 내 무역을 원활하게 진행할 수 있도록 합니다.

EU 무선 장비 지침(RED) 및 관련 위임 법령에 따라 CE 마킹 요구사항을 준수하기 위해, 모든 무선 IoT 장치(무선 장비)는 2025년 8월 1일까지 EN 18031-1, EN 18031-2, EN 18031-3 표준을 준수해야 합니다.

RED EN 18031 컴플라이언스 준비 시작하세요

새로운 RED 요구사항에 해당하는 제품은 다음과 같습니다.

소비자 전자제품: 스마트폰, 태블릿, 웨어러블 기기
IoT 및 스마트 기기: 스마트홈 시스템 및 산업 장비
금융 및 결제 기기: 무선 결제 시스템
디지털 및 연결된 화재 장비: IoT 기반 알람 및 조명 시스템
엔터테인먼트 및 교육 제품: 게임 콘솔 및 전자책 리더기
운송 및 안전 장비: 차량 원격 정보 처리 시스템 및 무선 키리스(Keyless) 시스템
통신 및 네트워크 장비: Wi-Fi 라우터 및 블루투스 허브
일부 인터넷에 연결되지 않은 무선 장비: 개인 데이터를 처리하는 웨어러블 기기, 장난감, 아동 보호 제품(예: 음성 및 얼굴 인식 기능 포함)

Device type	Internet connected Radio equipment or Radio equipment	EN 18031-1 (network functions)	EN 18031-2 (data protection)	EN 18031-3 (financial transactions)	Remarks
RED-Essential requirement reference	2014/53	Article 3.3 d)	Article 3.3 e)	Article 3.3 f)
Delegated act reference	2022/30	Article 1.1	Article 1.2	Article 1.3
Tablets/laptops	Internet connected	Yes	Yes	Yes*	Only if financial transactions are supported
Smart phones/ home devices and Wireless IoT devices	Internet connected	Yes	Yes	Yes*	Only if financial transactions are supported
Toys and childcare	Internet connected	Yes	Yes	Yes *	Only if financial transactions are supported
Toys and childcare	Radio devices (no internet)	No	Yes	No
Body worn/wearable devices	Internet connected	Yes	Yes	Yes *	Only if financial transactions are supported
Body worn/wearable devices	Radio devices (no internet)	No	Yes	No
Automotive	Internet connected	Yes	No	No
Aviation (Drones)	Internet connected	Yes	No	No
Road toll systems	Internet connected	Yes	No	No
Medical devices	Internet connected	No	No	No
IVD medical devices	Internet connected	No	No	No

European Security Standards

ETSI EN 303 645

유럽 전기통신 표준 협회(ETSI, European Telecommunications Standards Institute)는 인터넷 연결 소비자 IoT 장치의 보안을 강화하기 위해 2020년 ETSI EN 303 645 표준을 발표하였습니다.
이 표준은 IoT 장치의 설계, 개발 및 라이프사이클 관리에서 요구되는 보안 사항을 명시하고 있으며, 스마트 홈 가전, 웨어러블 기술, 홈 자동화 시스템과 같은 개인 및 가정용 IoT 장치를 대상으로 합니다.

특히 ETSI EN 303 645는 모든 IoT 장치를 포함하는 것이 아니라, 소비자 등급 제품에만 적용됩니다.
즉, 의료, 제조업 또는 산업 환경에서 사용되는 IoT 장치는 해당 표준의 적용 대상이 아니며, 이들 분야는 자체적인 보안 요건과 규제를 따릅니다.

Learn how you can become ETSI EN 303 645 compliant

EU Cyber Resilience Act (CRA)

유럽연합(EU)의 **사이버 복원력법(CRA, Cyber Resilience Act)**은 EU 시장에서 하드웨어 및 소프트웨어 제품이 판매 승인을 받기 전에 제조업체 및 유통업체가 준수해야 할 엄격한 사이버 보안 요구 사항을 규정하고 있습니다.
이 법은 2027년 12월 시행 예정이며, 디지털 제품이 최신 사이버 보안 기준을 충족하도록 요구함으로써 EU 전체 디지털 환경의 보안성을 강화하는 것을 목표로 합니다.

CRA는 직간접적으로 다른 장치 또는 네트워크에 연결할 수 있는 모든 제품에 적용됩니다.
즉, 일반 소비자 전자제품부터 복잡한 산업 시스템까지 포함됩니다. 그러나 기존 다른 규제에서 이미 다루고 있는 오픈소스 소프트웨어 및 서비스는 CRA 적용 대상에서 제외됩니다.

CRA는 데이터 침해, 악성코드 감염, 무단 접근과 같은 사이버 위협을 줄이기 위해 보안 표준 준수를 의무화하며,
CRA 요건을 충족한 제품에는 CE 마킹이 부착됩니다. CE 마킹은 EU 내 안전, 건강 및 환경 보호 기준을 준수함을 의미합니다.

Obtain EU CRA marking for your products

UK’s Product Security and Telecommunications Infrastructure Act 2022 (PSTIA)

제품 보안 및 통신 인프라법(PSTIA, Product Security and Telecommunications Infrastructure Act 2022)**은
영국 내 소비자 "스마트" 제품의 보안을 강화하기 위해 강력한 비밀번호 정책과 보안 관련 정보 제공을 의무화하고 있습니다.
현재까지는 제조업체에만 적용되지만, 향후 수입업체 및 유통업체로 확대될 가능성이 높습니다.
이에 따라, 공급망 관계자들은 PSTIA 준수를 우선시해야 하며, 이를 위반할 경우 높은 비용이 발생할 수 있습니다.

영국의 소비자 연결 제품 보안 체계는 2024년 4월 29일부터 시행되었습니다.
이날부터 제품 보안 및 통신 인프라(Security Requirements for Relevant Connectable Products) 규정 2023이 발효되었으며,
영국 내 소비자 연결 제품(스마트 제품) 제조업체는 법에서 명시한 의무 사항을 준수해야 합니다.

이 규정은 영국 전역(잉글랜드, 웨일스, 스코틀랜드 및 북아일랜드)에 적용되며,
**제품 안전 표준국(OPSS, Office for Product Safety and Standards)**이 영국 디지털부(DSIT)와 협력하여 감독 및 시행을 담당합니다.

제조업체, 수입업체 및 유통업체
인터넷 또는 네트워크에 연결 가능한 스마트 제품 (단, 일부 제외 제품 제외)

2023 규정의 부록 1에는 관련 연결 가능 제품과 관련하여 준수해야 하는 구체적인 요구 사항이 명시되어 있습니다.

1. 비밀번호 관리

각 제품에 대해 고유한 비밀번호를 설정해야 하거나, 사용자가 직접 정의할 수 있어야 합니다.
ETSI EN 303 645의 조항 5.1-1 및 필요시 조항 5.1-2를 준수해야 합니다.

2. 보안 문제 신고 절차 제공

제조업체는 제품의 보안 문제를 보고하는 방법에 대한 정보를 제공해야 합니다.
ETSI EN 303 645의 조항 5.2-1을 준수해야 합니다.

3. 최소 보안 업데이트 기간 정보 제공

- 보안 업데이트 지원 기간에 대한 정보를 명확하고 투명하게 제공해야 합니다.
- ETSI EN 303 645의 조항 5.3-13을 준수해야 합니다.

Securing Your Market Position with the Right Partners

GRL 규정 준수 테스트 및 시장 접근 전문 지식으로 규정 준수 문제를 시장 기회로 전환하세요. 일반적인 사이버 보안 표준을 충족하고 글로벌 시장 성공을 향한 패스트 트랙에 합류하여 고객의 기대치를 뛰어넘으세요.

GRL과 함께 새로운 시장과 미래를 보호하세요.

Schedule a Consultation

사이버 보안 컴플라이언스를 통한 글로벌 시장 진입