힐셔, ‘netX 칩’으로 CRA/NIS2 장벽에 대한 해법 제시
[편집자 주]: 오랫동안 ‘기능’과 ‘성능’이 좌우하던 산업용 OT(운영 기술) 및 임베디드 시장의 패러다임이 근본적으로 바뀌고 있습니다. 유럽연합(EU)이 2027년 말 완전 시행을 목표로 하는 ‘사이버 복원력 법(CRA)’과 OT 보안을 강제하는 ‘NIS2 지침’은, 이제 산업용 ‘사이버 보안’을 선택이 아닌 시장 진입의 전제 조건으로 만들었습니다. 이는 단순한 규제가 아닌, OT/임베디드 기기 제조사들에게 ‘설계부터 폐기까지’ 전 생애주기 책임을 묻는 ‘디지털 무역 장벽’으로 작동할 것입니다.
독일의 산업용 통신 솔루션 전문기업 힐셔(Hilscher)는 11월 11일 가진 온라인 미디어 간담회를 통해, 이러한 EU의 강력한 규제 변화에 대한 자사의 전략과 ‘netX’ 칩 솔루션을 공개했습니다. 이들의 대응 방안은 통신 기능이 탑재된 거의 모든 디지털 기기에 대한 보안을 증명하도록 하는 EU 규제가 가져올 시장의 지각 변동과 한국의 관련 기업들이 무엇을 준비해야 하는지에 대한 핵심적인 방안을 제공합니다.
EU의 ‘디지털 빗장’: CRA와 NIS2가 OT 현장을 바꾸다
EU의 이번 조치는 2030년까지 유럽의 디지털 주권과 회복 탄력성 강화를 목표로 하는 ‘EU 디지털 10개년 전략 2030(EU-Digital-Decade-Strategy 2030)’의 일환이다. 이는 OT와 임베디드 시스템에 ‘패러다임 전환’을 요구하고 있다. 이러한 EU 규정과 지침은 디지털 요소를 가진 제품(PDE)에 해당되며, 필드버스 산업 통신망 이후로 거의 모든 제품들이 디지털 요소로 운용되고 있어, 거의 대부분의 산업용 솔루션, 제품, 부품들 모두가 이 적용을 받게 된다.
프랑크 벤크(Frank Behnke) 힐셔 IT 및 보안 총괄은 “NIS2, CRA, RED, 기계류 규정 및 AI 법과 같은 규제 변화가 OT(운영 기술)와 임베디드 시스템의 패러다임 전환을 주도하며, 보안 및 투명성, 적합성이 제품 개발 초기 단계부터 제품 수명 종료까지 시스템 아키텍처에 통합되야 함을 의미한다”고 설명했다.
NIS2 (운영자 규제): ‘공장’의 책임을 묻다
NIS2 지침은 에너지, 운송, 생산 등 핵심 인프라를 운영하는 ‘운영자'(Asset Owner)를 대상으로 한다. 이제 이들은 강력한 위험 관리 체계를 갖춰야 하며 , 보안 사고 발생 시 24시간 이내에 EU 당국(ENISA)에 보고할 의무를 갖게 된다. NIS2 치침은 OT 운영 기술에서의 보안 안정성을 담보해야 한다는 규정으로, EU 지침에 따라 2024년 10월 17일까지 EU 각 회원국의 국내법으로 전환되어야 했으나, 2026년 1분기에 채택될 예정이다. 이번에는 별도의 전환 기간 없이 즉시 발효될 예정이다. 핵심 요구사항은 다음과 같다.
- 위험 관리: 자산(OT 포함)을 식별하고, 최고 경영진의 승인을 받은 강력한 보안 정책을 수립해야 합니다.
- 공급망 보안: 부품이나 솔루션을 공급받는 ‘협력사(3rd party)’의 보안 수준까지 관리해야 합니다.
- 사고 보고: 중대한 보안 사고 발생 시 24시간 이내에 당국에 신속히 보고해야 합니다.
NIS2 지침에서 가장 중대한 이슈는 모든 OT 보안 사고에 대해 최고경영진(CEO, CTO)가 법적인 책임을 진다는 것이다. 또한 ERP 와 같은 IT 통신망과 OT 통신망을 논리적/물리적으로 완전히 분리해 운영함으로써, 랜섬웨어가 IT망에서 공장 라인으로 넘어오는 것을 막아야 한다. 공장 운영자는 단순히 방화벽을 설치하는 것을 넘어, “우리 공장 네트워크는 이만큼 안전하며, 사고 시 이렇게 대응한다”는 것을 증명할 필요가 있다. 지금까지는 PLC나 센서에 대해서 구매한 공장이 알아서 보안을 설정했다면, 이제는 PLC나 센서 제조사가 출고할 때부터 안전한 제품을 설계하고 제공해야 한다는 것이다.
CRA (제품 규제): ‘제조사’의 무한 책임을 묻다
PLC, 센서, 로봇 등 ‘디지털 요소를 가진 제품’을 만드는 ‘제조사'(Manufacturer)에게 가장 큰 영향을 미치는 것이 바로 CRA이다. 힐셔의 보안 전문가 프랑크 벤크(Frank Behnke)가 “제품 개발 초기 단계부터 보안을 접목해야 한다”고 강조했듯, CRA의 핵심 요구사항은 다음과 같다.
- 설계부터 보안 (Security-by-Design): 출시 시점에 ‘알려진 악용 가능한 취약점’이 없어야 하며 , ‘기본 구성에서 보안’을 갖춘 상태로 출시해야 한다.
- 전 생애주기 책임: 개발부터 폐기까지, 제품의 전 수명 주기(Lifecycle)에 걸쳐 위험 관리를 구현해야 한다. 제조사는 제품 예상 수명(최소 5년)을 반영한 지원 기간을 결정해야 한다.
- 공급망 책임: 가장 무서운 조항 중 하나로, 제조사는 자사 제품에 포함된 타사(3rd-party) 부품이나 오픈소스 SW의 보안 문제에 대해서도 책임을 져야 한다. 가장 우선적으로 소프트웨어 자재 명세서(SBOM) 관리 솔루션을 도입해 제품과 연관된 모든 라이브러리와 소트트웨어에 대한 목록을 100% 확보하고 관리해야 한다.
- 강제적 보고 및 업데이트: 보안 사고 및 취약점 보고가 의무화된다. 최약점 발견시 지체없이 보안패치를 제공하고, 이를 사용자에게 알려야 한다. 이를 해결하기 위한 보안 업데이트(패치 관리) 또한 반드시 보장되어야 한다.
이 규제는 2025년 올 12월에 주요 제품(부속서 III) 및 중대 제품(부속서 IV) 분류에 따른 이행법이 채택되고, 2026년 9월(취약점 보고 의무)부터 단계적으로 시작되어 2027년 12월에 전면 이행된다.
힐셔의 해법: ‘칩 레벨 보안’과 ‘원스톱 에코시스템’
이처럼 복잡하고 총체적인 책임을 요구하는 EU 규제에 대해, 힐셔는 이미 “CRA 요건을 충족할 준비가 되어 있다”고 밝힌다. 그 근거는 ‘보안이 내장된 칩’과 ‘통합 에코시스템’이다.
① ‘CRA 규격 준수’가 내장된 netX 90 칩
힐셔는 자사의 주력 멀티 프로토콜 SoC(System-on-Chip)인 netX 90을 전면에 내세운다. 이 10x10mm 크기의 저전력(750mW) 칩은 , CRA가 요구하는 핵심 보안 기능들을 ‘하드웨어 레벨’에서 이미 구현했다.
하이코 헨켈(Heiko Henkel) 힐셔 칩 제품 관리 책임자는 “고객이 netX 90을 신뢰하는 이유는 하드웨어 수준에서 보안을 직접 제공하기 때문”이라며 , “이는 제품 인증에서 결정적인 강점”이라고 설명한다.
netX 90이 제공하는 ‘CRA 규격 준수’ 내장형 보안 기능은 다음과 같다.
- 보안 부팅 (Secure Boot)
- 서명된 펌웨어 (Signed Firmware) 및 하드웨어 SSL/TLS 지원
- 사용자 인증/권한 부여
- 비밀번호 관리/보호
- 불필요한 인터페이스 비활성화
- 인증서 기반 인증 및 보안 로깅
② ‘원스톱 구매(One-Stop)’ 에코시스템
힐셔는 칩 하나만 제공하는 것이 아니라, 칩을 중심으로 한 하드웨어(모듈, PC 카드), 소프트웨어(사전 인증된 프로토콜 스택), 툴, 서비스 및 클라우드(netFIELD)까지 아우르는 ‘netX 에코시스템’ 전체를 제공한다.
이는 CRA의 ‘공급망 책임’ 조항에 대한 완벽한 해법이 될 수 있다. 장비 제조사는 힐셔라는 단일 공급자로부터 사전 인증되고 필드에서 검증된 칩과 소프트웨어 스택을 공급받음으로써 , 복잡한 공급망 보안을 관리하는 부담과 제품 출시 기간(Time-to-Market)을 획기적으로 줄일 수 있다.
③ ‘라이프사이클 관리’를 위한 netFIELD 플랫폼
CRA는 ‘만드는 것’만큼 ‘운영하는 것’을 중시한다. 힐셔는 산업용사물인터넷(IIoT) 플랫폼인 ‘netFIELD Device Management’를 통해 CRA의 ‘지속적인 패치 관리’ 요구사항을 지원한다. 이 플랫폼은 중앙 집중식 패치 관리와 자동 업데이트 기능을 제공하며, 이는 향후 EU가 명시적으로 요구할 기능들이다.
전망: ‘보안’이 곧 ‘제품 경쟁력’이다
이제 EU 시장에 제조 라인을 구축했거나, 제품이나 솔루션을 공급했거나, 하고자 하는 모든 EU 지역 진출 기업들은 당장 태스크포스팀을 마련해야 한다. 여기에는 법무, R&D, 생산, IT/보안팀이 참여해야 할 것이다. 그리고 나서, 모든 제품과 솔루션에 대한 새로운 방안을 마련해야 한다. 설계 시점부터 점검에 들어가야 하기 때문이다. SBOM 구축 또한 당장 도입해야 할 솔루션이다. 또한 힐셔와 같이 CRA 대응책이 마련된 솔루션을 채택하는 방식을 고려할 필요가 있다.
힐셔의 이번 발표가 한국의 산업용 기기 제조사들에게 던지는 메시지는 명확하다.
첫째, EU의 CRA와 NIS2는 ‘사이버 보안’을 시장 진입을 위한 ‘필수 인증’이자 강력한 ‘비관세 무역 장벽’으로 만들었다. 이제 보안은 비용이 아닌 제품 경쟁력 그 자체이다. 제조사들은 단순한 하드웨어 제조가 아닌, 산업용 통신 솔루션 업체로 변화해야 하는 것이다. 3rd Party 및 오픈소스 소프트웨어에 대한 보안 보장을 스스로 책임져야 하기 때문이다.
둘째, OT/임베디드 제조사는 이제 ‘제품 판매자’에서 ‘보안 서비스 제공자’로의 변신을 강요받고 있다. CRA의 ‘전 생애주기’ 및 ‘업데이트’ 요건은, 단 한 번의 판매로 끝나는 것이 아니라 자사 제품에 대한 예상 수명 주기 동안(최소 5년 이상) 고객 장비의 보안을 책임져야 한다는 의미이다.
셋째, ‘보안 내재화(Secure-by-Design)’가 불가능한 기업은 공급망에서조차 배제될 것이다. 힐셔는 “Hilscher netX 90과 같은 ‘CRA 준수’ 칩을 채택하는 것은, 이러한 개발 부담과 공급망 책임을 동시에 해결하는 가장 현실적인 전략”이라고 밝혔다.
힐셔는 이미 기가비트 통신과 보안 기능을 통합한 차세대 칩(netX 900 시리즈)을 준비 중이며, 2027년 1분기 출시를 예고하고 있다. 이는 CRA가 전면 시행되는 2027년 말과 정확히 시기를 맞춘 것이다. ‘보안’이라는 새로운 규칙이 지배할 OT 시장에서, 준비된 자와 그렇지 않은 자의 격차는 이제 막 벌어지기 시작했다.
