관련이슈
인도, AIS-189(CSMS)와 DPDP Act(개인정보보호법) 이중 컴플라이언스 구조 형성 — 자동차 OEM 규제 과제 부상
보도일: 2026년 1월 15일|수집일: 2026년 5월 21일
요약
인도에서 자동차 사이버보안 규정 AIS-189(CSMS 의무화)와 디지털 개인데이터 보호법(DPDP Act)이 동시에 시행됨에 따라, 인도 시장에 진출하는 자동차 OEM은 사이버보안과 개인정보보호의 이중 컴플라이언스 구조에 직면하게 되었다.
본문
인도 도로교통부(MoRTH)의 AIS-189 규정은 M, N, T, L7 카테고리 차량에 UN R155에 준하는 사이버보안 관리 체계(CSMS) 구축을 의무화하며, 2025년 10월부터 신차종에 적용이 시작되었다. 2026~2027년에는 형식승인 요건으로 본격 편입될 예정이다. 동시에 2023년 제정된 인도 디지털 개인데이터 보호법(DPDP Act)이 커넥티드카에서 수집하는 운전자 위치·행동·생체 데이터에 대해 동의 기반 처리, 데이터 지역화, 침해 시 72시간 내 통보 의무를 부과한다. 또한 인도 CERT-In 규정은 사이버 보안 사건 발생 시 6시간 이내 신고를 요구하여, AIS-189의 사이버 사건 보고 요건과 이중 보고 구조를 형성한다. CyEQT 분석에 따르면 CSMS 체계 구축에 평균 30개월이 소요되며, 인도 시장 진출을 준비하는 글로벌 OEM은 이미 착수하지 않았다면 일정 지연 위험이 있다. 인도 자동차 인증 기관 ARAI(Automotive Research Association of India)가 AIS-189 형식승인을 담당한다.
시사점
인도는 세계 3위 자동차 시장으로, 현대차·기아를 비롯한 한국 OEM의 핵심 수출 시장이다. AIS-189와 DPDP Act의 이중 컴플라이언스는 기존 UN R155/ISO 21434 기반 CSMS를 보유한 기업이라도 인도 고유의 데이터 지역화 요건과 CERT-In 사고 보고 체계에 추가 대응해야 함을 의미한다. 인도 시장 진출 또는 기존 사업을 영위 중인 국내 OEM과 부품사는 AIS-189 인증 타임라인을 확인하고, DPDP Act 컴플라이언스를 CSMS와 통합적으로 관리하는 체계를 수립해야 한다.