유럽연합(EU)이 제정한 EN 18037:2025가 2025년 9월 30일부터 발효됩니다.
이는 EU 최초의“산업 사이버보안 평가 가이드라인”으로, 위험 기반의 통일된 접근 방식을 통해 이동통신망, 대중교통, 전자 의료 등 다양한 시스템이 ICT 보안 수준과 인증을 신속하게 일치시킬 수 있도록 지원합니다. 그 결과 규제 준수 비용을 절감하고 조직 간 신뢰를 강화할 수 있습니다.

EN 18037:2025의 핵심 목적

복잡하고 다수의 이해관계자가 얽혀 있는 산업 ICT 시스템에 대해 통합적이고 재사용 가능하며 위험 기반의 사이버보안 평가 프레임워크를 제공하며《EU 사이버보안법》, 네트워크 회복력 법안》등 규정 준수를 충족하는 동시에 조직 간 협력 비용을 낮추고, 전체 디지털 생태계의 신뢰도를 향상.

EN 18037:2025 공식링크：

https://www.cencenelec.eu/news-events/news/2025/eninthespotlight/2025-04-16-en-18037-2025-on-sectoral-cybersecurity-assessment/

https://standards.cencenelec.eu/dyn/www/f?p=CEN:110:0::::FSP_PROJECT,FSP_ORG_ID:75985,2307986&cs=1EB3AD5F9FF144953C9490E5BB3FAAEC3

EN 18037:2025적용범위：

이 표준은 다수 이해관계자가 관여하는 산업 ICT(정보통신기술) 시스템에 적용됩니다.
ICT는 정보를 수집·저장·처리·전송·표현하는데 활용되는‘컴퓨터+통신’ 소프트웨어·하드웨어 조합을 의미합니다.

적용 분야 예시:

• 이동통신망
• 디지털 신원 관리
• 전자 의료 시스템
• 대중교통 및 결제 시스템
• 서버, 스마트폰, 기지국, 결제 단말기
• 클라우드 컴퓨팅 플랫폼, IoT 기기 등

EN 18037:2025 대표적 적용 사례：

▶ 이동통신 및 인터넷

• 5G/4G 이동통신망, 광섬유 브로드밴드, 위성 통신, Wi-Fi 핫스팟
• 휴대전화 인터넷 접속, 영상 통화, OTT 메시지 서비스, 클라우드 게임 지원

▶ 디지털 신원 및 공공 거버넌스

• 전자 신분증(eID), 디지털 여권, 원스톱 전자 행정 서비스, 전자 투표 시스템

▶ 금융 서비스 및 결제

• 온라인 뱅킹, 모바일 결제(알리페이/애플페이), POS 단말기, 디지털 화폐 지갑, 증권거래소 시스템

▶ 의료·헬스케어

• 전자의무기록(EHR), 원격 진료, 웨어러블 건강 모니터링, AI 영상 진단, 의료보험 정산 플랫폼

▶ 교통 및 물류

• 지하철/버스 AFC 교통카드 시스템, 공유 자전거, 차량 네트워크(V2X), 항만/항공 화물 추적, 스마트 신호등

▶ 에너지 및 공공 서비스

• 스마트 그리드, 원격 검침 시스템, 분산형 에너지 관리, 전기차 충전소 네트워크

▶ 산업 및 제조

• 산업용 IoT(IIoT), 디지털 트윈 기반 공장, MES/ERP 시스템, 산업용 로봇 클러스터 제어

▶ 스마트시티 및 스마트 홈

• 도시 운영 플랫폼(교통·보안 빅데이터), 스마트 빌딩, 스마트 홈(음성 비서, 네트워크 가전제품 등)

EN 18037:2025 핵심조항：

1. 비즈니스 프로세스의 맥락화

• 산업 ICT 시스템이 지원하는 비즈니스 프로세스와 각 이해관계자의 비즈니스 목표를 분석하는 것에서 출발합니다.
• 이 과정을 통해 보안 구현에 필수적인 주요 자산과 지원 자산을 식별합니다.

2. 자산 및 시스템 매핑

• 이해관계자가 관리하는 범위 내에서 주요 자산 보호와 관련된 ICT 시스템·제품·프로세스를 매핑합니다.
• 산업 시스템 아키텍처를 심층 분석하여 시스템의 예상 활용 목적을 상세히 이해합니다.

3. 사이버 위협 인텔리전스(CTI)

• CTI를 활용해 관련 공격자 유형, 동기, 능력에 관한 정보를 수집합니다.
• 이를 통해 우선적으로 분석해야 할 위험 시나리오를 선정하고, 분석 자원을 최적화하며, 맞춤형 사이버보안 및 보장 요구사항을 지원합니다.

4. 위험 평가

• 사이버보안 사건이 비즈니스 목표에 미치는 영향과 발생 가능성을 기준으로 위험을 평가합니다.
• 발생 가능성은 CTI를 통해 확인된 공격자의 동기와 능력에 기반합니다.

5. 참조 수준(Reference Levels)

• 내부 위험, 보안, 보장, 공격 잠재력에 대한 참조 수준 체계를 도입합니다.
• 이 참조 수준은 사이버보안 위험 정의의 일관성을 지원합니다.
• 또한 ISO/IEC 27005의 위험 데이터는 ISO/IEC 15408 시리즈 프레임워크로 전환되어 보장 요구사항을 규정할 수 있습니다.
• 두 체계의 결합은 사이버보안 및 보장 요구사항을 강력하게 위험 기반으로 정의하는 것을 가능하게 합니다.

EN 18037:2025의 구체적인 요구사항을 더 자세히 알고 싶으시다면, 관심 있는 특정 시나리오(예: 이동통신망, 전자 의료, 대중교통 등)와 귀하가 맡고 있는 역할(운영자, 제조사, 규제 기관, 시스템 통합사 등)을 알려주시면, 저희가 전문적으로 규제 요구사항을 해석해드리겠습니다!

BACL 사이버보안 평가인증 역량:

공통 기준 (CC, Common Criteria)

• ISO/IEC 15408 : 국제적으로 공인된 최고 수준의 사이버보안 인증 표준
• 정보 시스템, 제품, 서비스의 보안 성능이 국제적으로 인정된 수준에 도달했음을 보장
• BACL은 CC 평가 권한을 갖춘 기관으로, 10년 이상 축적된 풍부한 경험 보유

사물인터넷(IoT) 보안 표준

• EN 18031 / EN 301 549
• ETSI / EN 303 645
• IECEE CB 인증 자격
• 영국 PSTI 사이버보안 법안 인증 자격
• 미국 NIST 사이버보안 평가 자격
• ISO 27001 / 27701 / GDPR 관련 자격

BACL 사이버보안 서비스의 장점

• 연구·개발 단계에서의 네트워크·정보보안 컨설팅 및 평가
• 영국 PSTI 법안 관련 컨설팅 및 평가
• CE RED 지침 관련 사이버보안 컨설팅 및 평가
• 미국 캘리포니아 SB-327 법안 관련 컨설팅 및 평가
• 미국 FCC 자발적 사이버보안 인증 컨설팅 및 평가
• 브라질, 싱가포르 및 기타 국가·지역의 글로벌 사이버보안 컨설팅 및 평가