미 FCC, 자율적 사이버 보안 라벨링 프로그램 실행
최근 미 FCC 공공안전 및 국토안보국( Public Safety and Homeland Security Bureau)은 UL LLC(UL Solutions)를 소비자용 무선 IoT 제품에 대한 자율적 사이버 보안 라벨링 프로그램(Voluntary Cybersecurity Labeling Program)의 수석 관리자 및 사이버 보안 라벨 관리자(Cybersecurity Label Administrator, CLA) 업체로 선정한다고 발표하였습니다. IL Solutions은 수석 관리자로서 프로그램에 대한 IoT 관련 표준 및 테스트 절차를 식별 또는 개발하여 위원회에 승인을 요청하고, 위원회와 기타 CLA 간의 연락 담당자 역할을 담당하게 됩니다. FCC는 가까운 시일 내에 추가 CLA를 발표할 계획입니다.
배경 및 목적
스마트 기기의 확산으로 해킹, 데이터 유출 등 사이버 보안의 취약점이 증가함에 따라
FCC는 2003년 10월 스마트 기기를 위한 자율적 사이버 보안 라벨링 프로그램을 제안하였으며,
2024년 8월 29일부터 관련 규칙(47 CFR Subchapter A)이 시행되었음.
동 프로그램은 미 국립표준기술연구소(National Institute of Standards and Technology, NIST)의 사이버 보안 표준을 충족하는 적격 소비자 스마트 제품에 새로운 미 사이버 트러스트 마크(“U.S. Cyber Trust Mark”)를 포함한 라벨을 표시할 수 있도록 허용하여
소비자가 정보에 입각한 구매 결정을 내릴 수 있도록 돕고, 시장에서 신뢰할 수 있는 제품을 식별하며, 제조업체가 더 좋은 사이버 보안 표준을 충족하도록 장려하는 것을 목적으로 함.
내용
자율적 사이버 보안 라벨링 프로그램은 가정용 보안 카메라, 음성 인식 기기, 인터넷 연결 가전제품 등 무선 네트워크에 연결되는 모든 소비자용 기기가 대상이 됨.
FCC의 IoT 라벨에는 소비자들이 이해하기 쉽고, 빠르게 인식할 수 있도록
정부의 인증 마크(https://www.fcc.gov/cybersecurity-certification-mark)와 더불어
제품에 대한 특정 정보를 담은 QR 코드가 함께 포함되어야 함.
구체적으로 QR 코드에는 제품의 지원 기간, 소프트웨어 패치 및 보안 업데이트 자동 여부
등의 정보를 담도록 하였음.
민관 협력 및 자율성
특히, 동 프로그램은 공공 부문 및 민간 부문의 협력으로 진행되며,
FCC가 프로그램에 대한 최종 감독 및 통제 권한을 유지하는 동시에,
승인된 관리자가 제품 신청 평가, 라벨 사용 승인 및 소비자 교육 등의 활동을 관리하게 됨.
미 정부는 기업의 자율적 참여가 정책의 영향력을 제한할 수 있다는 점에 대해서는 인정하지만,
향후 시장 출시 속도 및 자원의 효율성, 소비자 수요 등으로 광범위한 채택이 일어날 수 있을 것이라 밝힘.
미 백악관에 따르면, Amazon, Best Buy, Cisco Systems, Google, KeySight, LG Electronics USA, Logitech, Qualcomm, Samsung Electronics 등 기업이 참여할 것으로 보임.
기대효과
자율적 사이버 보안 라벨링 프로그램은 향후 서로 다른 국가와 산업 간 협력을 활성화하여
글로벌 사이버 보안 표준 개발을 촉진하는데 기여할 것으로 평가됨.
미 정부, 미국 소비자를 보호하기 위한 스마트 기기용 사이버 보안 라벨링 프로그램 발표(2023.7)
https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/18/biden-harris-administration-announces-cybersecurity-labeling-program-for-smart-devices-to-protect-american-consumers/
FCC, 자발적 사이버 보안 라벨링 프로그램(안) 제안(2023.10)
https://www.fcc.gov/document/fcc-proposes-cybersecurity-labeling-program-smart-device
FCC, IoT 사이버 보안 라벨링 프로그램 규칙 채택(2024.3)
https://www.fcc.gov/document/fcc-adopts-rules-iot-cybersecurity-labeling-program
FCC, IoT 사이버 보안 라벨링 프로그램 규칙 발효 (2024.8)
https://www.federalregister.gov/documents/2024/07/30/2024-14148/cybersecurity-labeling-for-internet-of-things
FCC, 사이버 보안 라벨링 프로그램 수석 관리자 선정(2024.12)
https://www.fcc.gov/document/fcc-selects-lead-administrator-cybersecurity-label-program