Glebstock / stock.adobe.com

2022-10-28 Testing + Certification

정보 보안 / Cyber Security - VDE 기관을 통한 검증 및 인증

정보는 기업, 관청 및 개인에게 있어서 중요한 가치를 지니고 있으며 그러므로 그에 맞게 적절히 보호되어야 합니다. 정보를 기밀 차원에서 다루며 정보를 보호하는 것은 정보 보안의 핵심적인 목적입니다. VDE 기관은 귀하가 이 목적을 실현하게끔 도와드립니다.

정보 보안, IT 보안 혹은 Cyber Security?

정보 보안이란, 예민한 데이터가 소실되거나 조작되지 않도록 보호하는 것을 뜻함

bluebay2014 / Fotolia

개인과 관련된 예민한 자료들은 종이에도 기록될 수 있고, 컴퓨터나 사람의 두뇌에 저장될 수도 있습니다. 정보 보안은 일단은 전자적으로 저장된 정보의 보호와 그 처리만을 다룹니다. 정보 보안은 즉 정보의 기밀성, 무결성 및 가용성 및 정보 기술이 적절한 조처에 의해 보호되고 있는 상태를 말합니다.

IT 보안 보다는 정보 보안이라는 개념이 보다 포괄적인 의미를 띄며, 따라서 점점 더 많이 활용되는 추세입니다. IT 기본 보안와 관련된 책자 등 몇몇 발간물에서는 그러나 여전히 “IT 보안”이라는 개념이 사용되기도 합니다. 다양한 문서들과 또 표준화 규정들이 그러나 점점 더 정보 보안이라는 개념에 기준을 맞추는 추세를 보이고 있습니다. Cyber Security, Cybersecurity, IT Safety 혹은 Information Security는 영문 표기된 개념들로서, 역시 매우 자주 활용되곤 합니다. 특히 기업들이 국제적으로 활동할 때 이들 영문 표기가 활용됩니다.

VDE 인증을 통해 사이버 공격에 대해 방어하기

디지털화가 가속되며, 이에 발맞춰 산업 부문에서는 물론 가정에서도 지능적 네트워크의 진보가 이루어지면서, 데이터 절도와 조작의 위험도 늘어가고 있습니다. 여러 사례들이 해커가 되어 스마트 홈 및 관리 시스템에 침입하는 게 얼마나 쉬운 일인지 보여주고 있습니다.

VDE 기관은, 일관된 검증 표준을 갖추고 시스템들과 기술들의 상호 운용성을 완비하는 것 뿐만이 아니라, 데이터 보호 분야, Cyber Security 분야 및 기능적 안전성 분야에서의 보안 인증도 수행합니다. 상호 운용성은 상이한 제작사들, 기기들 및 기술들 사이의 커뮤니케이션을 보장합니다. VDE 검증 규정으로는 BSI 보안 표준 공통 평가 기준(Common Criteria)과 BSI IT 기본 보안이 이용됩니다. 이 표준들은 스마트 홈 솔루션에 있어서의 요구 조건에 맞춰 구체화되며, 또한 데이터 보호의 측면을 고려하여 확장되어 이용됩니다. 이리하여 테스트를 에너지, 컴포트, 멀티미디어, 보안 혹은 AAL 등 전체 스마트 홈 분야에 적용하여 시행할 수 있게 됩니다.

정보 보안 감사는 다음 영역으로 구분됩니다.

기기 테스트 (커뮤니케이션 기기 및 게이트웨이)
백업 및 클라우드 시스템 테스트
스마트폰 및 타블렛 용 앱 테스트
보안 소프트웨어 시스템 (개인 인증을 위한 안전한 전자 성명에 활용)

여기서 Cyber Security의 보안 목표들이 제품 및 시스템 구상 차원 및 실행 단계에서 테스트됩니다. 사용자를 위한 기록과, 데이터 보호의 기술적 측면들 또한 테스트의 일부를 이룹니다.

보안 목표에는 다음이 해당됩니다:

도청 및 조작에 대한 커뮤니케이션 보호
허용되지 않은 침입에 대한 시스템 보호,
- 승인되지 않은 사용, 조작
- 데이터 소실
개인 데이터 보호
시스템의 보안 업데이트 보호

제안 요청

당사는 최첨단의 기술들을 이용하여 귀하의 스마트 홈 제품들을 사이버 공격으로부터 보호해드립니다

iconimage / Fotolia

정보 보안 테스트

1. IT 보안 개념의 기본 실행을 확인.
2. IT 보안의 효과적 실행을 확인.
3. IT 보안과 관련된 기록들의 완전성을 확인.

데이터 보호 테스트

1. 데이터 보호 관련 사항의 식별
2. 데이터 보호를 다음 기준에 따라 테스트:
3. 유럽 방침 (EU-DS-GVO 데이터 보호 기본 법령)

무선 인터페이스 탑재 장치에 대한 사이버 보안

위임된 규정(EU) 2022/30에 따라 2024년 중순부터 무선기기지침 2014/53/EU (RED)의 사이버 보안 요구사항을 포함하여 무선기기의 스펙트럼이 확장됩니다. 이에 맞춰 제품을 지금부터 준비하시기 바랍니다. VDE 기관이 곁에서 지원하겠습니다.

2022년 1월 12일, 유럽연합 위원회에서 발표한 위임 규정은 무선기기지침에 관한 내용을 보완했습니다. 이 내용에는 어떤 무선기기(무선 인터페이스가 탑재된 장치)가 무선기기지침의 3, 3, (d), (e) 및 (f)조의 필수 요구 사항을 충족해야 하는지를 지정하고 있습니다.

RED 조 3, 3.(f) (d) RED에 따르면, “무선기기는 네트워크나 작동에 해로운 영향을 미치지 않으며 받아들일 수 없는 서비스 손상을 일으킬 수도 있는 네트워크 리소스의 남용을 일으키지 않습니다.” 이는 위임 규정에 따라 “직접적으로 또는 다른 장치를 통해 통신하는 것과 관계없이 자체적으로 인터넷과 통신할 수 있는” 모든 기기가 해당합니다(”인터넷과 연결된 상태의 무선기기”)“ (1.1조, DR (EU) 2022/30).

RED 조 3, 3.(e) "무선 설비는 사용자의 개인 정보와 프라이버시 보호를 보장하는 보안 장치를 구비한다"는 규정에 따른 기본 요건은 개인 정보, 교통 정보 그리고 위치 정보를 처리할 수 있는 모든 장치에 적용되지만(조 1.2, DR (EU) 2022/30), 무선 설비가 인터넷과 연결된 무선 설비, 어린이 보호에 이용되는 설비(예컨대 베이비 폰), 지침 2009/48/EU(장난감 지침)에 따른 장난감 또는 몸이나 옷에 착용하는 무선 설비("웨어러블")인 경우에 한합니다.

RED 조 3, 3.(f) "무선 설비는 사기 방지용 특정 기능을 지원한다"는 규정에 따른기본 요건은 인터넷과 연결된 무선 장치이고 "소유자나 사용자가 금전, 화폐 가치 또는 가상 통화 […]를 전달할 수 있게 하는"(조 1.3, DR (EU) 2022/30) 모든 장치에 적용됩니다.

모든 관련 장치가 수록된 상세한 카탈로그는 없습니다. 그러나 VDE 연구소 전문가들은 귀하 제품이 신규 위임 규정에 따른 무선 설비 지침 요건에 맞는지 여부를 분석하는 것을 기꺼이 지원합니다.

무선 설비 지침 조 3.3 (d), (e), (f)의 기본 요건은 신규 입법 프레임워크 차원의 위임 규정에 의해 의무적이 됩니다. 해당 조화 기준은 제품 카탈로그 확대판용으로는 아직 발표되지 않았습니다. 그러나 표준화 기관들에 대한 지시는 곧 발표될 예정입니다. VDE 연구소 전문가들이 준비하고 있습니다. VDE에서 인증 기구 RED와 조율하여 이미 위임 규정의 요건을 충족하는 테스트 요건이 작성되었습니다. 중요한 토대는 이미 VDE에서 많은 장치에 성공적으로 적용된 해당 테스트 요건 ETSI TS 103 701이 포함된 표준 ETSI EN 303 645입니다.

무선 장비 생산자로서 조 3, 3. (d), (e), (f)와의 적합성을 선언하려는 경우, 유럽연합 관보에 적합한 조화 규범 출처가 발표될 때까지 의무적으로 인증 기구에 위임해야 합니다(2014/53/EU 조 17, (4)). VDE 연구소는 이와 관련하여 유럽연합형 조사증을 받을 수 있도록 기꺼이 도와드립니다.

신규 규정은 2022년 2월 1일부터 발효하였고 2024년 8월 1일부터는 의무적으로 적용됩니다. 관련 생산자에게 신규 요건을 다룰 올바른 사점은 바로 지금입니다. 2024년 8월 1일부터는 조 3, 3.(d) (d), (e), (f)에 따른 기본 요건을 충족하는 제품만이 유럽 시장에 출시될 수 있기 때문입니다. VDE 연구소는 귀하 무선 설비에 대한 신규 요건과의 적합성 획득과 관련하여 기꺼이 지원해드립니다.

네트워크화된 자택을 위한 기능적 보안

시스템들 간의 커뮤니케이션 가능성들이 추가적으로 증가될 때, 위험도 함께 증가합니까?

DIN EN 61508-4:2011에 준한 기능적 보안 및 제품별 규정(예컨대, 가정용 기기)에 준한 기능적 보안이 이 질문에 대한 답을 줍니다. 보안과 관련된 관찰을 완수하는 의미에서, 이와 같은 과제들에 대해서도 당사는 귀하를 도와드립니다. 기능적 보안 분야에서 당사가 제공하는 서비스들에 대해 더 자세히 알아보세요.

기능적 보안은 정보 보안과 어떻게 다릅니까?

기능적 보안(FuSi - 영어로는 “functional safety”)은, 하나의 기기 혹은 설비가 사람에게 혹은 환경에 위험을 야기하지 않는지 자동화된 기술을 통해 확인하는 작업과 관련되어 있습니다. 이러한 종류의 보안은 “기기로부터 외부로” 향하는 방향과 주로 상관이 있습니다.

정보 보안은 이에 반해, 외부로부터 시스템에 가해지는 위협을 방어하고자 하는 작업과 관련되어 있습니다. 즉, 멀웨어 혹은 시스템에의 승인받지 않은 접근 등과 상관이 있습니다. 기능 보안과 관련된 경우든 정보 보안과 관련된 경우든, 양쪽 경우 모두에 있어서 시스템의 기능이 장애를 일으키거나, 아무 작업도 하지 못하게 되거나 혹은 틀린 작업을 하게 됩니다.

이런 점에서 둘 사이의 연동관계를 알아볼 수 있습니다: 만약 해당 시스템이 예컨대 보안과 관련된 제어 시스템 혹은 보안 기기 내부의 필드 장치라면, 이 시스템의 기능 장애는 동시에 (기능적) 보안 장애이기도 합니다.

귀하의 스마트 팩토리를 VDE 인증을 통해 보호하세요

당사는 오피스 IT나 운영 기술 (OT) 산업 분야에서 기계들, 관리 및 사무 시스템들 및 인터넷 사이의 연결부들을 테스트해드립니다. 네트워크가 공장 내에서 운용되는지 혹은 외부 커뮤니케이션 파트너, 예컨대 타 지점도 인터넷을 통해 이 네트워크와 연결되는지는 테스트에 있어서 전혀 상관이 없습니다. 테스트에는 또한 IEC 62443에 준한 정보 보안 맥락에서의 리스크 분석도 포함되어 있습니다. 테스트를 성공적으로 통과할 경우, 네트워크 운영자는 VDE 정보 보안 인증서를 수요받습니다.

검증된 네트워크는 4개의 등급으로 분류됩니다. 승인을 기다리고 있는 IEC 62443 초안에 따라, 예상되는 공격의 확실성 정도와 실행 수준은 보안 수준(SL)이라고 칭해지는 이 등급에 따라 서술됩니다.

보안 수준 1: 의도치 않은, 우연한 오남용에 대한 보호.
보안 수준 2: 의도적인, 단순한 수단을 이용한, 별다른 수고가 들지 않는, 일반적인 수준의 능력만이 요구되며 공격의 동기가 약한 오남용에 대한 보호.
보안 수준 3: 기술적으로 높은 수준의 수단을 이용한, 보통 정도의 수고가 드는, 자동화 기술적인 특수 능력과 보통의 공격 동기가 필요한 오남용에 대한 보호.
보안 수준 4: 기술적으로 높은 수준의 수단을 이용한, 매우 많은 수고가 드는, 자동화 기술적인 특수 능력과 높은의 공격 동기가 필요한 오남용에 대한 보호.