뉴스

최신 자동차 사이버보안 뉴스 및 분석

"CRA" · 17건

정책동향2026.09.11 발효

EU CRA Article 14 — 2026년 9월 11일 취약점·사고 보고 의무 발효

EU 사이버복원력법(CRA) Article 14에 따라 2026년 9월 11일부터 디지털 요소 포함 제품의 제조사는 적극 악용되는 취약점을 24시간 내 ENISA에 보고해야 한다. 레거시 제품에도 적용되며, 자동차 디지털 제품을 포함한 광범위한 제품군이 대상이다.

EU CRA사이버복원력법취약점 보고ENISA+2

정책동향2026.04.22

중국 자동차 제조사, 글로벌 사이버보안 규제 강화로 해외 진출 차질 — UN R155·EU CRA 대응 과제 부각

중국 자동차 제조사들이 해외 시장 진출을 적극 추진하고 있으나, UN R155, EU CRA 등 점점 강화되는 글로벌 사이버보안 규제에 대한 대응 미비로 인해 진출이 지연되고 있다는 분석이 보도되었다.

중국OEMUN R155EU CRA+4

정책동향2026.04.16

KISA·과기정통부, SBOM 기반 공급망 보안 사례집 발간 — 자동차 부품 공급망에도 적용 가능

과학기술정보통신부와 KISA가 40억 원 규모 SBOM 기반 소프트웨어 공급망 보안 관리체계 구축 사업의 성과로 8개 기업 적용 사례집을 발간했다.

SBOM공급망 보안KISA과기정통부+2

정책동향2026.04.15

ENISA, 2026 유럽 사이버보안 인증 컨퍼런스 — CSA2·CRA·Cyber Solidarity Act 연계 논의

ENISA가 EU 이사회 키프로스 의장국과 공동으로 2026 유럽 사이버보안 인증 컨퍼런스를 개최하여, CSA2·CRA·NIS2·Cyber Solidarity Act 간 상호 연계를 논의했다.

ENISACSA2CRACyber Solidarity Act+3

정책동향2026.04.03

ICR, KOLAS 평가 통해 사이버보안 분야 시험 인정범위 확대 — ISO/SAE 21434(자동차), IEC 62443, EN 18031 포함

국제공인시험기관 ICR이 한국인정기구(KOLAS) 평가를 통해 사이버보안 분야 시험 인정범위를 대폭 확대했다. 자동차 분야 ISO/SAE 21434, 산업제어시스템 IEC 62443 시리즈, 무선기기 EN 18031 시리즈·EN 303 645, 의료기기 IEC 60601-4-5 등이 새로 포함되었으며, EU 사이버복원력법(CRA) 2027년 12월 의무화를 앞두고 국내 시험·인증 인프라의 중요한 확충이다.

ICRKOLASISO/SAE 21434IEC 62443+6

정책동향2026.04 (복수 분석 기사 게재)

EU Data Act 차량 데이터 가이던스 — 2026년 9월 '설계 의무'(Article 3) 시행까지 5개월, OEM 데이터 공유 대비 본격화

EU 집행위원회가 2025년 9월 발표한 차량 데이터 가이던스(Data Act Chapter II 이행 지침)의 핵심 시한인 Article 3(설계 의무)이 2026년 9월 12일 시행을 앞두고, 자동차 업계의 대비가 본격화되고 있다.

EU Data Act차량 데이터설계 의무Article 3+5

정책동향2026.04 (4월 게재)

Bird & Bird, "중국산 배제(China-free) 자동차는 신화" — EU 법이 실제로 요구하는 것에 대한 법률 분석

국제 로펌 Bird & Bird가 EU 법상 '중국산 자동차 부품·기술 배제(China-free)'가 법적 요건이 아닌 신화(myth)라는 분석 기사를 게재했다. EU에는 자동차 분야에서 중국산 부품을 명시적으로 금지하는 법규가 존재하지 않으며, 현재의 규제 프레임워크는 위험 기반(risk-based) 보안 접근법이라고 설명했다.

Bird & BirdEUChina-freeUN R155+4

정책동향2026.04

EU NIS2·PLD·CRA, 자동차 산업에 다층적 사이버보안 규제 부담 가중 — Reed Smith 종합 분석

Reed Smith가 EU의 CRA·NIS2·PLD(제조물책임지침) 3대 규제가 자동차 산업에 미치는 복합적 영향을 종합 분석한 보고서를 발표했다.

EU CRANIS2PLD제조물책임+4

정책동향2026.04

[UPDATE] EU CRA 초안 가이던스 의견수렴 4/13 마감 — 자동차 적용범위 제외 기준 구체화

유럽집행위가 3월 3일 발행한 CRA 적용 지침 초안에 대한 의견수렴이 4월 13일 마감되었다. 자동차 분야 적용범위 제외 기준이 핵심 쟁점이다.

EU CRA적용범위sectoral exclusion의견수렴+1

정책동향2026.04

EU CRA Notified Body 지정 전무 — 2026.6.11 지정당국 설립 기한 임박에도 인증기관 0개

EU CRA에 따라 회원국은 2026년 6월 11일까지 적합성평가기관 지정을 위한 통보당국(Notifying Authority)을 설립해야 하나, 4월 현재 NANDO 데이터베이스에 등록된 CRA Notified Body는 0개이다.

EU CRANotified Body적합성평가sectoral exclusion+1

Cybeats Technologies, 글로벌 자동차 부품 제조사와 SBOM 관리 계약 체결 — 자동차 업계 첫 진출

캐나다 사이버보안 기업 Cybeats Technologies가 글로벌 자동차 부품 제조사와 SBOM 관리 및 소프트웨어 공급망 리스크 관리 계약을 체결했다. 자동차 분야 첫 진출로, EU CRA 등 규제 대응을 지원한다.

SBOMCybeatsEU CRA소프트웨어 공급망+2

[UPDATE] 제16회 Automotive Cybersecurity Summit 2026 최종 의제 확정 — 3월 18~19일 미시간 개최

Automotive IQ 주최 제16회 Automotive Cybersecurity Summit 2026이 3월 18~19일 미시간주 앤아버 쉐라톤 호텔에서 개최된다. '보안, 혁신, ROI의 균형'을 주제로 PQC 전환, BIS 커넥티드 차량 규칙 준수, EU CRA 대응, SBOM/HBOM 관리, AI 기반 사이버공격 대응이 핵심 의제이다. Marelli, Ford, Dana, ZF 등 40명 이상의 전문가와 Stellantis, Bosch, Lucid Motors 등 주요 OEM·부품사가 참석한다.

Automotive Cybersecurity SummitPQC양자내성암호BIS+8

Microchip Technology, 자동차 사이버보안 규제 준수 지원 TA101 Trust Platform 확장 발표

Microchip Technology가 EU CRA, ISO/SAE 21434, UNECE WP.29 등 사이버보안 규제 준수를 지원하는 TA101 TrustFLEX 및 TA101 TrustMANAGER 보안 IC를 발표했다. 자동차 SDV 아키텍처에서 안전한 FOTA 및 키 관리를 지원한다.

MicrochipTA101Trust PlatformSDV+4

정책동향2026.03.07

EU CRA: 2026년 6월·9월 핵심 의무 순차 발효

EU 사이버 복원력 법(CRA)의 2026년 핵심 의무가 순차적으로 발효된다. 6월 11일 적합성 평가 기관 통보 규정이 발효되고, 9월 11일부터는 제조업체의 취약점 보고 의무(ENISA 24시간 이내 보고)가 시작된다.

ENISAEU CRATier1공급망디지털요소제품+3

CMU Safety21, 커넥티드카 사이버보안의 미래 — "모든 새 기능이 공격 표면을 확장한다"

카네기멜론대학교 Safety21 연구센터가 커넥티드카 사이버보안의 미래를 분석하며, 2026년부터 UNECE WP.29, EU CRA 등 글로벌 규제가 본격 시행되면서 사이버보안이 제조사 단독이 아닌 공급망 전체의 공동 책임으로 전환되고 있다고 진단했다.

커넥티드카공급망 사이버보안UNECE WP.29SDV+1

정책동향2026.03

EU CRA vs UNECE R155/R156 — 자동차 공급사, 이중 사이버보안 프로그램 필요성 대두

EU CRA(사이버복원력법)와 UNECE R155/R156이 모두 사이버 규제이나 공급사 입장에서는 근본적으로 다른 운영 체계를 요구하며, 단일 컴플라이언스로 처리하면 사각지대가 발생한다는 분석이 제기되었다.

EU CRAUNECE R155R156이중 컴플라이언스+4

정책동향2024.12.10

EU 사이버복원력법(CRA), 자동차 산업 핵심 마일스톤 도래

EU CRA가 2026년에 핵심 마일스톤에 도달하며, 6월 적합성 평가기관 통보, 9월 취약점 악용·심각 사건 보고 의무가 시작된다.

EU CRA사이버복원력법규제취약점보고+1