2025년 3월 5일, 호주 정부는 《사이버 보안 (스마트 디바이스 보안 기준) 규칙 2025》을 공식 발표했습니다. 이 규칙은 《사이버 보안법 2024》의 핵심 세부 사항으로, 2026년 3월 4일부터 발효됩니다. 이 법은 스마트 디바이스에 대한 사이버 보안 위협에 대응하기 위한 것입니다.

제조업체와 유통업체 의무사항

기업은 발효일까지 1년간 준비 기간을 가지며, 다음과 같은 EN 303 645와 유사한 보안 요건을 따라야 합니다:

• 공통 기본 암호 사용 금지
• 취약점 보고 메커니즘 구축
• 보안 업데이트 지원 기간 명시

호주에서 소비자용 IoT 제품을 판매하려면?

기업은 다음 정보를 포함한 적합성 선언서를 제출해야 합니다:

• 제품 유형 및 배치 코드
• 제조사 및 대리인 세부 정보
• 적합성 선언
• 단기 정보 지원
• 장소, 날짜, 서명

공식 원문 링크：

https://www.legislation.gov.au/F2025L00276/asmade/text

법 제정 배경: 사이버 공격 급증

2023년 기준, 호주 내 스마트 가전 기기에 대한 네트워크 공격이 전년 대비 170% 증가,
그중 78%의 취약점은 출고 시 기본 암호 사용 및 취약점 대응 부족에서 기인.

이러한 문제 해결을 위해 본 규칙이 제정되었습니다.

적용 대상: “관련 연결 가능 제품”

이 규칙은 인터넷에 직접 또는 간접적으로 연결되어 데이터를 송수신하는 제품에 적용됩니다. 예:

• 스마트 TV, 스마트 워치 등
• 데스크탑 컴퓨터, 스마트폰 등은 제외

법규 주요내용： 네 가지 보안 강화 방안

1. 기본 암호 사용 금지:
제품이 처음 작동될 때 고유 암호 생성 또는 생체 인증 필요

2. 취약점 대응 체계 구축:
제조사와 유통사는 24시간 연중무휴 보고 수신 가능, 48시간 내 대응 개시

3. 보안 업데이트 지원 기간:
제품 단종 후 최소 5년간 보안 업데이트 지원

4. 적합성 선언서 제공:
총 12개 항목이 포함된 전자 문서를 소비자에게 제공

감독 및 규제 방식: 3단계 체계

1.사전 인증 단계 (2025년 Q1~Q3)

50. 기업이 보안 아키텍처 계획을 제출하고 검토받음

2.시장 샘플 검사 단계 (2026년 Q1~)

50. 유통 중인 장치 중 10%를 분기별 무작위 검사

3.위반 시 제재

50. 최대 제품 매출의 4% 벌금
50. 정부 조달 블랙리스트 등록 가능

법령의 산업적 영향: 개혁을 촉진 및 글로벌 파급 효과

1. 시장 진입 장벽 상승

50. ACMA 인증 미통과 제품은 수입 금지, 보안 수준 향상 유도

2. 제품 설계 논리 변화

50. 보안 펌웨어 재설계 필요 → 기술 개발 비용 증가

3. 글로벌 기준 수렴 촉진

50. 호주는 EU ETSI, 미국 NIST와 상호 인정 협상 착수
50. 세계적인 IoT 보안 기준 정립에 기여

BACL 사이버 보안 인증 역량:

공통 기준 (CC)

• ISO/IEC 15408 기반
• 국제적으로 인정된 최고 수준의 사이버 보안 평가
• BACL은 10년 이상 관련 경험 보유

IoT 보안 관련 인증 역량

• ETSI/EN 303 645
• RED 조항 3/3 d/e/f 인터넷안전
• IECEE CB 인증
• 영국 PSTI 사이버 보안법 인증
• 미국 NIST 사이버 보안 평가
• ISO 27001 / 27701 / GDPR 등

BACL의 사이버 보안 서비스 특장점

• 제품 개발 초기단계에서 보안 컨설팅 및 평가 제공
• 영국 PSTI 법률 기반 평가
• CE RED 지침 사이버 보안 평가
• 미국 캘리포니아주 SB-327 평가
• 미국 FCC 자율 보안 인증 평가
• 브라질, 싱가포르 및 기타 국가 보안 인증 컨설팅