CRA 요구사항은 CRA 부속서 I에 정리되어 있습니다. 테스트 팀은 테스트 시스템에 보안 조치를 적용하는 방법을 이해해야 합니다. 유럽 사이버 복원력 법안은 european-cyber-resilience-act.com/에 게시된 일련의 문서에 잘 설명되어 있습니다. 이 법안에 대한 설명은 57개 문서에 나와 있는데, 다행히도, 기술 요구사항에 대한 설명은 주로 부속서 I에 있습니다.
유럽 CRA 요구사항은 주로 부속서 I에 정리되어 있는데, 그 외에 다음과 같은 추가 부속서 4개가 있습니다.
EU 공동연구센터 (Joint Research Centre, JRC)와 유럽연합 사이버보안청 (European Union Agency for Cybersecurity, ENISA)은 CRA 요구사항이 기존 산업 표준 (EN IEC 62443 포함)과 어떻게 연결되는지 설명하는 문서를 발표했습니다. enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping에서 무료로 얻을 수 있는 이 가이드는 이러한 표준 중 하나를 이미 채택한 기업에 도움이 될 것입니다.
부속서 I은 두 개 섹션으로 나누어져 있습니다. 섹션 1에서는 제품의 속성에 대해 다루고 섹션 2에서는 취약점 발견 시 공급업체의 대응 방법을 설명합니다.
(1) 디지털 요소가 포함된 제품은 위험에 따라 적절한 수준의 사이버 보안을 보장하는 방식으로 설계, 개발 및 제조해야 합니다.
(2) 디지털 요소가 포함된 제품은 알려진 악용 가능한 취약점이 없는 상태로 납품해야 합니다.
(3) 제10조 2항에 언급된 위험 평가에 근거하여 해당하는 경우 디지털 요소가 포함된 제품은 다음과 같아야 합니다.
(a) 제품을 원래 상태로 리셋할 수 있는 기능을 포함해 기본적으로 보안 설정을 갖춘 상태로 납품됩니다.
(b) 인증, ID 또는 접근 관리 시스템을 포함하여(이에 국한되지 않음) 적절한 제어 메커니즘으로 무단 접근을 방지해야 합니다.
(c) 최신 메커니즘을 사용하여 저장 데이터 또는 전송 중인 관련 데이터를 암호화하는 등의 방식으로 저장, 전송 또는 처리되는 개인 데이터 혹은 기타 데이터의 기밀성을 보호합니다.
(d) 사용자가 승인하지 않았는데 조작이나 수정되지 않도록 저장, 전송 또는 처리되는 개인 데이터 혹은 기타 데이터, 명령, 프로그램 및 설정의 무결성을 보호하고 발생한 손상을 보고합니다.
(e) 제품의 의도된 사용과 관련하여 적절하고 관련성이 높고 필요하다고 제한된 개인 또는 기타 데이터만 처리합니다('데이터 최소화').
(f) 사이버 공격을 받았을 때 서비스 거부 공격에 대한 복원력, 서비스 거부 공격 완화를 비롯한 필수 기능을 사용할 수 있어야 합니다.
(g) 다른 디바이스나 네트워크가 제공하는 서비스의 가용성에 미치는 부정적인 영향을 최소화합니다.
(h) 외부 인터페이스를 포함하여 공격 표면을 제한하도록 설계, 개발, 제조합니다.
(i) 적절한 악용 완화 메커니즘 및 기법을 사용하여 사고의 영향을 줄이도록 설계, 개발 및 생산합니다.
(j) 데이터, 서비스 또는 기능에 대한 접근이나 수정을 포함해 관련 내부 활동을 기록하거나 모니터링하여 보안 관련 정보를 제공합니다.
(k) 해당하는 경우 자동 업데이트 방식과 사용자에게 사용 가능한 업데이트를 알리는 방식을 포함해 보안 업데이트를 통해서 취약점을 해소할 수 있도록 합니다.
위 요구사항이 적용되는 테스트 시스템을 개발 중이라면 첫 번째 요구사항을 충족하는 개발 프로세스를 채택해야 합니다. NIST 800-218에 명시된 Microsoft Secure Development Lifecycle, 미국 정부 안전한 소프트웨어 개발 체계(Secure Software Development Framework)를 비롯하여 사용할 수 있는 여러 가지 보안 개발 프레임워크가 있습니다. 이러한 프레임워크는 LabVIEW 또는 TestStand 등과 같은 테스트 시스템이나 제품용으로 개발되지 않았지만, 모든 시스템 개발에 적용되는 일반적인 원리를 포함합니다. 따라서 이러한 프레임워크를 사용하여 CRA 요구사항을 충족하는 팀 프로세스를 만들 수 있습니다.
테스트 시스템의 기능을 계획할 때 CRA의 추가적인 요구사항을 고려해야 합니다. 사용자가 그리고 외부 시스템에서 둘 다 테스트 시스템에 대한 접근을 제어할 수 있도록 계획해야 하고, 암호화를 통해 보호해야 할 데이터와 해당 데이터를 암호화할 방법을 파악해야 합니다. 공격에 대한 방어 기능을 개발해야 하고 감사 로그에 작업을 기록해야 하며 시스템 구성요소에 대한 보안 업데이트를 계획해야 합니다.
이러한 작업으로 인해 개발 팀의 부담은 늘어날 것이고 프로젝트 계획 단계에서 추가 비용을 신중하게 고려해야 합니다. 고객과 협력하여 보안 옵션을 파악하고 시스템 보안을 유지하기 위해 배포 이후 시스템 업데이트를 담당할 사람을 파악해야 합니다.
보안은 시스템 레벨에서 바라봐야 합니다. 일부 구성요소의 경우 단독으로는 이러한 요구사항을 전부 충족할 수 없습니다. 그러나 시스템의 다른 부분과 결합하면 부족한 부분을 메워 완벽한 시스템 보안을 보장할 수 있습니다.
마지막으로, 완전한 보안 문서를 제공하는 일의 가치와 이를 위한 노력이 중요합니다. 시스템이 어떻게 CRA 요구사항을 충족하는지 설명하는 문서를 작성해야 합니다. 시스템을 기본 보안 설정으로 복구하기 위한 문서를 포함해야 하는데, 공격으로 인해 시스템을 사용할 수 없게 되는 경우에는 이 문서가 매우 중요한 자료입니다. 또한 기본 보안 설정과 너무 차이 나지 않도록 시스템을 조정하는 데 사용할 수 있습니다.
디지털 요소가 포함된 제품의 제조업체는 다음 작업을 수행해야 합니다.
(1) 최소한 제품에서 사용하는 최상위 구성요소를 포함하는 SBOM(Software Bill of Materials)을 컴퓨터가 읽을 수 있는 형식으로 작성하는 것을 포함하여 제품에 포함된 취약점과 구성요소를 파악하여 문서로 작성합니다.
(2) 디지털 요소가 포함된 제품에 있는 위험과 관련하여 보안 업데이트를 제공하는 등 취약점을 즉시 해결하여 해소합니다.
(3) 디지털 요소가 포함된 제품의 보안에 대한 효과적이고 정기적인 테스트 및 검토를 수행합니다.
(4) 보안 업데이트가 발표되면 취약점에 대한 설명, 영향을 받는 디지털 요소가 포함된 제품을 식별할 수 있는 정보, 취약점의 영향, 심각도, 사용자가 취약점을 해결할 수 있도록 지원하는 정보를 포함하여 해결된 취약점에 대한 정보를 공개합니다.
(5) 조정된 취약점 공개에 대한 정책을 마련하고 이행합니다.
(6) 디지털 요소가 포함된 제품에서 발견된 취약점을 신고하기 위한 연락처를 제공하는 등 디지털 요소가 포함된 제품과 이 제품에 포함된 타사 구성요소에 있는 잠재적인 취약점에 대한 정보를 빠르게 공유하기 위한 조치를 취합니다.
(7) 디지털 요소가 포함된 제품의 업데이트를 안전하게 배포할 수 있는 메커니즘을 제공하여 악용 가능한 취약점을 적시에 해결하거나 완화할 수 있도록 합니다.
(8) 확인된 보안 문제를 해결하기 위해 보안 패치나 업데이트를 사용할 수 있는 경우 즉시 무료로 배포하고, 가능한 조치를 포함하여 사용자에게 관련 정보를 제공하는 권고 메시지를 함께 제공합니다.
시스템과 함께 제공하는 문서에는 SBOM을 포함해야 할 수도 있습니다. SBOM은 시스템의 모든 소프트웨어 구성요소를 포함합니다. 최근에 발생한 몇 건의 공격에서 기업은 공격에 노출된 소프트웨어가 포함된 시스템을 파악하기 위한 구성요소를 급하게 찾아야 했습니다. SBOM을 사용하면 기업에서는 소프트웨어의 인벤토리를 유지 관리하고 신고된 문제와 해당 인벤토리를 비교하여 문제가 있는 시스템을 관리할 수 있습니다.
SBOM이 늘어날수록 최종 사용자가 시스템이 공격에 취약한 방식을 더 명확하게 알 수 있습니다. 공급업체는 보안 업데이트를 제공하기 위해 더 자주 요청받을 것입니다. CRA는 공급업체가 제품 또는 시스템이 납품 후 5년 동안 업데이트를 제공해야 한다고 요구하므로 팀에서는 이러한 지원을 제공하는 계획을 마련해야 합니다.
대체로 이러한 CRA 요구사항은 모두 테스트 시스템의 보안 방어 기능을 개선할 것이지만 시스템 개발자의 업무가 늘어나고 개발자가 NI와 같은 공급업체에 갖는 기대치가 높아질 것입니다.
팀이 이러한 기대치를 충족할 수 있도록 NI에서 자료를 제공하는 방법을 살펴보십시오.