
보안은 설계 단계부터 시작해야 하는 이유
사이버 보안 위협은 더 이상 사후 고려 사항이 아니라 커넥티드 제품의 성공, 안전성, 수명을 결정하는 결정적인 요소입니다. EU 사이버 복원력 법(CRA), 무선 장비 지침(RED), 의료 기기를 위한 FDA 사이버 보안 지침과 같은 규정은 처음부터 보안을 구축해야 한다는 한 가지 중요한 점을 강조합니다.
이것이 바로 보안 설계의 기본입니다. 제품 출시가 임박해서 보안을 강화하는 것이 아니라, 제품 설계의 초기 단계부터 보안 개발 관행을 통합하는 것이 중요합니다. 보안 코딩 관행부터 장기적인 복원력을 고려한 아키텍처 결정에 이르기까지 이 접근 방식은 제품이 수명 주기 내내 위협을 견딜 수 있도록 보장합니다.
실제 보안 설계
의료 기술을 위한 IEC 81001-5-1, RED를 위한 EN 18031, 산업 자동화를 위한 IEC 62443-4와 같은 표준은 이러한 기대치를 공식화합니다. 이러한 표준은 개발자에게 안전한 설계를 채택할 뿐만 아니라 다음과 같은 엄격한 관행을 통해 이를 입증할 것을 요구합니다:
- 정적 코드 분석(예: IAR C-STAT): 보안 코딩 규칙을 준수하여 소스에서 취약성을 줄입니다.
- 위협 모델링 및 위험 평가: 개발 프로세스 초기에 공격 벡터를 식별합니다.
- 소프트웨어 자재 명세서(SBOM): 모든 구성 요소에 대한 투명성 제공(CRA 및 RED의 요구 사항).
- 취약점 없는 릴리스: 공개적으로 알려진 익스플로잇 가능한 취약점이 있는 제품을 출시해서는 안 됩니다.
이러한 관행을 개발 워크플로에 포함시킴으로써 조직은 규정 준수를 보장하고 제품의 신뢰성을 강화할 수 있습니다.
제품 수명 주기 전반으로 보안 확장
그러나 보안은 출시로 끝나는 것이 아닙니다. 규정에서는 지속적인 취약성 처리, 인시던트 보고, 최소 5년간의 업데이트와 최대 10년간의 문서 제공 등 장기적인 지원을 명시적으로 요구하고 있습니다.
바로 이 부분에서 보안 프로비저닝이 중요한 역할을 합니다. 제조 과정에서 안전하게 프로비저닝하면 디바이스 ID, 암호화 키 및 인증서를 첫날부터 보호할 수 있습니다. 제조 외에도 수명 주기 보안에는 다음이 포함됩니다:
- 소프트웨어 보안 업데이트 중요한 패치와 업그레이드를 현장에서 안전하게 제공합니다.
- 식별 및 인증: 제조 단계부터 프로비저닝된 키와 인증서가 제품 신원을 보호하고 통신, 스토리지, 업데이트를 보호하는 동시에 클라우드 온보딩과 수명 주기 보안을 간소화합니다.
- 취약성 공개 및 사고 대응: 명확한 처리 및 보고 프로세스를 통해 규제 요건을 충족합니다.
설계별 보안과 보안 프로비저닝은 초기 설계부터 배포, 폐기에 이르기까지 연결된 디바이스를 보호하는 엔드투엔드 보안 전략의 근간을 이룹니다.
기준이 높아지는 규제 동인
이제 글로벌 규정은 이러한 수명 주기 관점을 의무화하고 있습니다:
- EU CRA: 모든 커넥티드 디바이스에 적용되며, 기본 보안 설계, 지속적인 업데이트, SBOM 및 사고 처리를 요구합니다.
- EU RED 업데이트: 무선 제품에 중점을 두고 있으며, EN 18031 보안 표준 준수를 요구합니다.
- FDA 의료 기기 사이버 보안 지침: 안전한 설계, 시판 후 모니터링 및 패치 적용을 시행합니다.
- IEC 81001-5-1: 국제적 기대치에 부합하는 의료 기술 소프트웨어 수명 주기 보안 전용 표준입니다.
- IEC 62443: 산업 자동화 및 제어 시스템(IACS) 보안 전용 표준으로, 현재 백본 보안 표준으로 자리 잡았습니다.
이러한 프레임워크는 보안 설계 및 보안 프로비저닝을 채택하지 않는 조직이 규제 처벌, 평판 손상, 잠재적인 제품 리콜의 위험에 처할 수 있다는 점을 분명히 합니다.
고객을 위한 보안 솔루션 프레임워크
엔지니어링 팀과 의사 결정권자에게 보안 설계 및 보안 제품 수명주기는 보안을 이해하고 행동에 옮길 수 있는 접근 방식을 제공합니다. 추상적인 규정 준수 체크리스트 대신 명확하고 고객 친화적인 프레임워크를 제시합니다:
- 설계 단계: 안전하게 빌드하고 프로덕션용 소프트웨어 패키지를 보호합니다.
- 전송 단계: 개발에서 프로덕션까지 안전하게 전송합니다.
- 프로덕션 단계: 안전하게 프로비저닝하세요.
- 운영 단계: 안전하게 유지 관리하고 업데이트합니다.
이러한 프레임워크를 통해 기업은 엄격한 글로벌 요구 사항을 충족하면서 고객과 파트너에게 보다 명확하게 가치를 전달할 수 있습니다.
요약
보안을 위한 전환은 더 이상 선택 사항이 아니라 규제의 기대치이자 경쟁 우위입니다. 보안 설계 원칙을 채택하고 전체 수명 주기에서 보안 프로비저닝을 통해 이를 확장함으로써 조직은 CRA, RED, FDA 및 IEC 표준을 준수할 뿐만 아니라 장기적인 신뢰를 얻을 수 있는 제품을 구축할 수 있습니다.
보안은 기능이 아닙니다. 보안은 기반입니다. 그리고 보안은 코드의 첫 줄부터 제품이 현장에 출시되는 마지막 날까지 지속되어야 합니다.
IAR에서는 보안 제품 수명 주기를 임베디드 팀이 자신감을 가지고 개념에서 규정 준수까지 나아갈 수 있도록 지원하는 실용적인 프레임워크로 보고 있습니다. 보안 개발 도구, 프로비저닝 기능, 수명 주기 보안 관행을 결합한 IAR 플랫폼을 통해 조직은 규제 기관, 고객, 시장이 요구하는 수준으로 임베디드 보안을 강화할 수 있습니다.
IAR이 안전한 제품 수명주기를 지원하는 방법을 https://www.iar.com/embedded-development-tools/embedded-security 에서 확인하세요.