OBL-ART13-01Binding
제품 전체 수명주기에 걸친 보안 보장 (보안 내재화 설계)
- 적용 대상
- Manufacturer
- 출처 인용
- Art. 13(1)Art. 13(2)Annex I Part I §1
Last reviewed
쉬운 설명
제품은 처음부터 보안을 염두에 두고 구축되어야 합니다. 이는 출시 전에 보안 위험을 식별하고, 사후 조치가 아닌 설계 단계에서 보안 관련 결정을 내리며, 제품의 지원 기간 내내 보안을 지속적으로 다루어야 함을 의미합니다. 이를 "보안 내재화 설계"라고 하며, 좋은 의도만으로는 부족하고 문서화된 절차가 필요합니다.
법률 조문
규정(EU) 2024/2847 제13조 제1항은 디지털 요소가 포함된 제품의 제조업체가 부속서 I 제1부에 규정된 필수 사이버 보안 요건에 따라 제품을 설계·개발· 생산하도록 의무화합니다.
제13조 제2항은 제조업체가 사용자의 보안 및 안전에 대한 위험을 고려하여 디지털 요소가 포함된 제품과 관련된 사이버 보안 위험 평가를 수행하도록 추가로 요구합니다.
주요 요건
- 설계 단계 위험 평가 — 보안 위험을 식별하고 문서화
- 안전한 개발 프로세스 — 전체 과정에서 부속서 I 제1부 요건 적용
- 기본 보안 구성 — 기본값으로 안전하지 않은 상태가 존재해서는 안 됨
- 공격 표면 최소화 — 불필요한 기능 및 포트 비활성화
- 수명주기 보안 — 설계·개발·생산 전반에 걸쳐 보안 반영
필요할 수 있는 증거
- 제품 사이버 보안 위험 평가서 (문서화)
- 보안 개발 수명주기 정책
- 보안 결정 사항을 보여주는 아키텍처 및 설계 문서
- 부속서 I 준수를 입증하는 테스트 기록