이동식 장비를 위한 솔루션
사이버 보안, OEM 제조사들이 지금 행동해야 하는 이유
사이버복원력법(CRA)은 이동식 기계에 대한 규정 준수 요건을 근본적으로 변화시킵니다. "안전, 보안 및 AI" 블로그 시리즈의 세 번째 편에서는 제조업사가 이동식 기계를 보호하고 비용을 통제하는 방법을 살펴봅니다.
이제 대응이 시급합니다. 2027년 12월 11일부터 사이버복원력법(CRA) 은 EU 시장에 새로 출시되는 모든 디지털 요소가 포함된 제품에 완전히 적용됩니다. 이미 2026년 6월 11일부터 적합성 평가 기한이 단축되며, 2026년 9월 11일부터는 보안 사고에 대한 보고 의무 기한도 단축됩니다. 특장 장비 제조사는 제품의 개발, 운영부터 폐기에 이르는 전체 수명 주기에 걸쳐 사이버 보안을 보장해야 합니다. 이를 위해 OEM 제조사는 사이버 보안과 기능 안전의 통합은 물론, 현재 양산 중인 모든 레거시 시스템의 전환까지 완료해야 합니다. "안전, 보안 및 AI" 블로그 시리즈의 세 번째 편은 사이버 보안과 OEM 업체들이 규정 준수 요구사항을 경쟁 우위로 전환하는 방법에 초점을 맞춥니다.
CRA가 이동식 기계에 미치는 영향은 무엇일까요?
CCRA 요구사항에 따르면, 사이버 보안은 개발 초기부터 제품 수명 주기 전반에 걸쳐 보안 설계(Security-by-Design) 접근 방식 을 통해 구현되어야 합니다. 여기에는 다음이 포함됩니다.
- 위험 분석 및 위협 평가(TARA)
- 보안 조치의 증명 / 보안 조치의 증거
- 운영 중 보안 모니터링 및 사고 관리
이동식 기계의 경우, 고도로 네트워크화되어 있고 가혹한 환경에서 작동하며 때로는 개방형 아키텍처를 갖추고 있어 공격 표면이 확대되는 등 복잡한 과제가 됩니다. CRA 규정을 위반하면 전 세계 연간 매출의 최대 2%에 달하는 벌금, 보험 및 법적 책임 비용 증가, 기업 평판 실추, CE 인증 불가로 인한 시장 출하 불가 등 심각한 결과에 직면할 수 있습니다. 간단히 말해서, EU 내 시장에서는 CRA를 준수하는 기계만 판매할 수 있습니다. 따라서 핵심 과제는 다음과 같습니다.제한된 자원을 가진 OEM이 비용 급증이나 EU 시장 진입 차단 없이 보안 규정을 준수할 수 있는 방법은 무엇인가?
확실한 보안 준수를 위한 협력
Bosch Rexroth는 BODAS를 통해 복잡한 규제 요구사항 구현을 지원하는 종합 생태계를 OEM에 제공합니다. 그 기반은 Bosch의 자동차 부문에서 검증된 보안 프로세스와 기술을 Bosch Rexroth가 광범위한 특장 분야 경험을 바탕으로 이동식 기계에 적용한 것입니다. 중요한 점은, BODAS가 제공하는 모듈식 솔루션, 제품 및 지원 전체가 ISO 21434를 기반으로 하며, 보안 설계 및 구현부터 취약점 관리, 사고 대응, 제품 폐기에 이르는 전체 수명 주기를 포괄한다는 것입니다.
일관성, 투명성, 미래 대비를 통해 자동차 분야에서 검증된 Bosch의 솔루션과 프로세스는 이동식 기계의 CRA 규정 준수도 확실하게 보장합니다. (그래픽: Bosch Rexroth AG)
1. 방법론적 토대 위의 보안 엔지니어링 프로세스
보안 설계(Security-by-Design) 접근 방식에 따라, OEM은 개념 설계 및 생산부터 운영 단계(CE 인증 획득 포함)에 이르기까지 제품 전체 수명 주기에 걸쳐 사이버 보안을 입증해야 합니다. 이는 명확한 보안 프로세스가 없으면 거의 불가능합니다.
솔루션 접근 방식: Bosch Rexroth를 파트너로 선택하면 OEM은 Bosch 자동차 부문에서 검증된 보안 엔지니어링 프로세스 의 이점을 활용할 수 있습니다. BODAS 생태계 역시 이를 견고한 기반으로 삼고 있습니다. 여기에는 개발, 생산 및 운영에 대한 명확한 지침, 사용된 제품(컨트롤러, 텔레매틱스 장치 또는 보조 기능)의 문서화된 적합성 증명, 일관된 수명 주기 모델에 안전 및 보안을 통합하는 것이 포함됩니다.
2. 프로세스 구현: 위험 식별, 평가 및 보안
구현 단계에서는 수립된 보안 프로세스가 실행됩니다. 위험 평가는 이 단계뿐만 아니라 제품의 향후 전체 수명 주기에 걸쳐 중요한 역할을 합니다. 위협 분석 및 위험 평가(TARA) 프레임워크를 통해 공격 표면을 체계적으로 식별하고 평가합니다. OEM은 식별된 보안 위험을 허용 가능한 수준으로 낮추기 위한 구체적인 대응 조치를 정의해야 합니다. 또한, 사용된 모든 소프트웨어 구성 요소는 소프트웨어 자재 명세서(SBOM)를 통해 투명하게 문서화해야 합니다. 모든 보안 기능은 최신 기술 수준을 유지하고 업데이트 가능해야 하며, 이를 통해 진화하는 표준에 대응할 수 있습니다.
솔루션 접근 방식: Bosch Rexroth는 모든 BODAS 소프트웨어에 대해 TARA 및 SBOM 를 일관되게 제공함으로써 OEM의 구현 부담을 크게 줄여줍니다. 이를 통해 OEM은 자체 입증 의무를 손쉽게 충족하고 사고 관리를 위한 효과적인 조치를 수립하고 문서화할 수 있습니다. 보안 부팅, 보안 로깅, 암호화 또는 디지털 서명과 같은 최첨단 보안 기능은 BODAS 생태계의 표준이며 지속적으로 개선되고 있습니다. 또한 Bosch Rexroth는 즉시 사용 가능한 API, 툴체인 및 CRA 소프트웨어 마이그레이션 지원을 제공하여 OEM의 CRA 보안 적합성 달성을 효율적으로 지원합니다.
3. 보안 모니터링: 운영 중 보안 유지
구현을 마치면 모든 작업이 완료되는 건가요? 전혀 그렇지 않습니다. 제품 인도 후에도 보안은 지속적인 과제입니다. 제조사는 시스템을 모니터링하고, 보안 사고를 감지 및 평가하며, 고객과 당국에 보고할 의무가 있습니다. 제품 수명 주기 전반에 걸쳐 보안 프로세스에서 가장 긴 단계인 보안 모니터링에서 OEM은 잠재적인 취약점을 지속적으로 주시해야 합니다. 이러한 취약점은 언제든 발생할 수 있으므로, 끊김 없는 취약점 관리 역시 필수입니다. 보안 사고가 발생하면 기계 가동 중단 없이 보안 격차를 신속하게 해소해야 합니다.
솔루션 접근 방식: 운영 단계에서도 OEM은 보안 측면에서 BODAS 생태계의 제품 품질을 전적으로 신뢰할 수 있습니다. BOSCH Incident Monitoring System은 보안 사고를 평가하고 보고하기 위한 구조화된 프로세스로 검증된 인프라를 요약하며, 사고 관리, 취약점 처리 및 연중무휴 모니터링을 포함한 모든 CRA 요구 사항을 기본 사양으로 충족합니다. BOSCH Incident Response Team은 모든 Rexroth 시스템을 24시간 지속적으로 감시하고, 경보를 분석하며, 그 결과를 공개 취약점 데이터베이스와 비교합니다. BODAS Over-the-Air(OTA) 서비스를 통해 OEM은 필요 시 개별 기계 및 지정된 차량 군에 패치와 업데이트를 효율적이고 안전하며 추적 가능하게 전송할 수 있습니다. 주요 이점: 개방형 무선 업데이트(FOTA)는 타사 IoT 솔루션 제공업체(BODAS OTA 파트너)와도 연동됩니다.
효율적이고 안전하게 함께 시작하기
보안 분야에서는 조기 대응이 성과를 냅니다. 전체 기계 플릿에 대한 보안 규정을 제대로 수립하고 이행하는 기업은 EU 역내 시장 접근권을 확보하여 명확한 경쟁 우위를 얻을 수 있습니다. 좋은 소식은, OEM이 이렇게 복잡한 요구 사항을 단독으로 해결할 필요가 없다는 것입니다. Bosch Rexroth와 함께 규정을 준수하는 BODAS 생태계와 Bosch의 검증된 자동차 부문 프로세스를 활용하면 ISO21434에 따른 보안 수명 주기의 모든 단계를 훨씬 적은 노력으로 완수할 수 있습니다. 보안 엔지니어링 및 구현부터 모니터링과 사고 관리까지 전 과정이 포함됩니다.
그러나 이는 일부에 불과합니다. Bosch Rexroth 및 BODAS 생태계를 통해, 이동식 기계 제조사들은 미래 지향적인 차량 플릿을 위한 기반을 구축할 수 있습니다. 검증되고 모듈화된 BODAS 플랫폼은 다음과 같은 이점을 제공합니다. 필요에 따라 새로운 기능을 통합할 수 있는 개방성, 모든 기계 시리즈를 효율적으로 보호하는 확장성, 그리고 혁신적인 기계로 시장에 빠르고 안전하게 진입할 수 있는 유연성을 갖추고 있습니다.
규정 준수를 신뢰 구축, 시장 입지 강화, 미래 경쟁력 확보를 위한 기회라고 생각하시나요? 지금 myBODAS 커뮤니티 전문가들과 교류하며 전문 지식을 습득하거나, 안전 및 보안 컨설팅에 대해 직접 문의해 보세요.
» 프리미엄 지원 및 BODAS 컨설팅
이 "이동식 작업 기계의 안전, 보안 및 AI" 블로그 시리즈의 모든 게시글
01. 오늘날 특장 제조사에게 중요한 사이버 보안, 기능 안전 및 AI
02. 기능적 안전성: OEM 제조사들이 EU-MVO, CRA 및 AI 법의 요구사항을 마스터하는 방법
03. 사이버 보안, OEM 제조사들이 지금 행동해야 하는 이유
이브 다세(Yves Dasse) 는 Bosch Rexroth의 모바일 솔루션 사업부에서 Bosch 사이버 보안 전문가 겸 소프트웨어 개발 우수성 책임자입니다. 그는 특장 기계 및 자동차 시스템 개발 분야에서 풍부한 경험을 보유하고 있습니다.
완징 수(Wanjing Su) 는 Bosch Rexroth의 모바일 솔루션 사업부 소프트웨어 그룹 리더입니다. 그녀는 특장 기계의 기능 안전, 임베디드 소프트웨어 및 개발 툴 소프트웨어 분야에서 풍부한 경험을 보유하고 있습니다.
마르틴 시코라(Martin Sykora) 는 Bosch Rexroth의 이동기계용 전자장치 영업 책임자입니다. 그는 Bosch 그룹에서 22년 이상 근무했으며 이동기계용 전자장치 분야에서 19년 이상의 전문성을 쌓았습니다. 마르틴과 그의 팀은 BODAS 기반 솔루션을 통해 이동식 장비의 디지털 혁신을 이루려는 전 세계 고객들을 위한 글로벌 연락 창구 역할을 하고 있습니다.