규제 · 인증 — 인증 체계 비교
이 주제에서 자주 나오는 말
"한국도 R155 기반이라면서요? 그럼 유럽이랑 똑같은 거 아닌가요?"
"자기인증이면 아무도 안 보는 건가요? 심사가 없다는 건가요?"
"CSMS 인증 받으면 한국에서도 바로 차 팔 수 있는 건가요?"
"유럽 OEM 프로젝트엔 VTA가 나오고, 국내 프로젝트엔 자기인증이 나오는데 어느 쪽에 맞춰야 하나요?"
유럽도 R155, 한국도 R155 기반이다. 그러니 같은 거 아닌가?
아니다. 같은 규정을 채택했더라도 그것을 집행하는 방식이 다르다. 유럽은 형식승인(VTA), 한국은 자기인증(Self Certification). 이 차이가 OEM과 협력사 모두에게 실질적인 영향을 미친다.
아니다. 같은 규정을 채택했더라도 그것을 집행하는 방식이 다르다. 유럽은 형식승인(VTA), 한국은 자기인증(Self Certification). 이 차이가 OEM과 협력사 모두에게 실질적인 영향을 미친다.
한국은 UNECE 회원국인데 왜 R155를 그대로 안 썼나
여기서 짚고 가야 할 사실이 있다. 한국은 1958 UNECE 협약 가입국이다. 그런데 협약 가입 시 한국은 명확한 유보 선언을 남겼다.
⚠️ 한국의 UNECE 협약 유보 선언
"대한민국은 어떠한 규정에도 구속되지 않음을 선언한다 (The Republic of Korea declares that it does not consider itself bound by any of the Regulations)."
이 선언 덕분에 한국은 UN R155를 직접 채택할 의무 없이, 자국 법체계(자동차관리법)에 맞는 독자적인 차량 사이버보안 규정을 만들 수 있었다. 국제 기준인 UN R155와 ISO/SAE 21434를 내용적으로는 참조하되, 집행 방식은 한국의 자기인증 체계를 유지한 것이다.
"대한민국은 어떠한 규정에도 구속되지 않음을 선언한다 (The Republic of Korea declares that it does not consider itself bound by any of the Regulations)."
이 선언 덕분에 한국은 UN R155를 직접 채택할 의무 없이, 자국 법체계(자동차관리법)에 맞는 독자적인 차량 사이버보안 규정을 만들 수 있었다. 국제 기준인 UN R155와 ISO/SAE 21434를 내용적으로는 참조하되, 집행 방식은 한국의 자기인증 체계를 유지한 것이다.
결과적으로 한국은 2024년 2월 자동차관리법 개정을 통해 CSMS 의무화를 시행했다. 내용은 UN R155와 ISO/SAE 21434를 기반으로 하되, 한국 심사 기준은 더 상세하다. 해외 전문가들은 "유럽에서 충분하다고 인정받은 수준의 문서가 한국 심사에서는 너무 표면적이라는 평가를 받는 경우가 있다"고 지적한다.
유럽의 형식승인(VTA) 구조
유럽에서 신차를 판매하려면 형식승인(Vehicle Type Approval, VTA)을 반드시 먼저 받아야 한다. 사전 심사가 요건이다.
유럽 — UN R155 기반 사전 형식승인 흐름
1
OEM이 CSMS 구축 — 조직, 프로세스, 정책 전반을 포함한 사이버보안 관리체계를 수립한다. ISO/SAE 21434가 기술적 방법론을 제공한다.
2
형식승인기관의 CSMS 심사 — 독일 KBA, 네덜란드 RDW, 프랑스 UTAC, 룩셈부르크 SNCH 등 UNECE 지정 형식승인기관이 OEM의 CSMS를 직접 심사한다.
3
CSMS 인증서 발급 — 심사 통과 시 CSMS 인증서가 발급된다. 유효기간 3년, 매년 사후 검토 필요.
4
차량 레벨 VTA 신청 — CSMS 인증서를 기반으로 차종별 VTA를 신청한다. CSMS가 없으면 VTA 자체가 불가능하다.
5
VTA 획득 후 판매 — 형식승인기관의 승인을 받아야 비로소 UNECE 채택국에서 판매가 가능하다.
ℹ️ VTA의 핵심 — 차량 판매 전에 국가(기관)가 검증한다
유럽 형식승인의 본질은 제3자 기관이 사전에 검증한다는 것이다. OEM이 아무리 "우리는 보안 요건을 만족한다"고 주장해도, 형식승인기관이 심사해서 인정하지 않으면 판매할 수 없다. 법 위반 시 인증이 취소된다.
유럽 형식승인의 본질은 제3자 기관이 사전에 검증한다는 것이다. OEM이 아무리 "우리는 보안 요건을 만족한다"고 주장해도, 형식승인기관이 심사해서 인정하지 않으면 판매할 수 없다. 법 위반 시 인증이 취소된다.
한국의 자기인증(Self Certification) 구조
한국의 자동차관리법은 미국과 유사한 자기인증 체계를 유지한다. 단, 한국도 CSMS는 사전 인증이 필요하다. 이 부분이 실무에서 가장 많이 혼동되는 지점이다.
❌ 한국은 자기인증이라 CSMS도 그냥 선언하면 된다
✅ 한국 자동차관리법에서 CSMS는 사전 인증 대상이다 — 자기인증은 차량(VTA) 레벨에만 적용된다
Fescaro(전 KATRI 자율주행 본부장 포함 실무진 분석) 기준으로 정리하면: 한국 자동차관리법에서 CSMS 인증은 사전 인증(Pre-certification)이다. CSMS 인증 없이는 차량을 판매할 수 없다. 차량 레벨(VTA에 해당하는 부분)은 자기인증 방식을 적용하되 판매 후 적합성 위반이 발견되면 판매중지 명령을 받을 수 있다. 즉 "CSMS는 사전 심사, 차량은 자기인증 + 사후 감독"의 이중 구조다.
한국 — 자동차관리법 기반 인증 흐름
1
OEM이 CSMS 구축 — UN R155와 ISO/SAE 21434 기반, 한국 자동차관리법의 세부 요구사항 추가 반영. 약 140개 세부 요구사항을 명확한 증거와 함께 제출해야 한다.
2
국토교통부(KATRI) CSMS 사전 심사 — 한국교통안전공단 자동차안전연구원(KATRI)이 심사를 수행한다. UN R155 CSMS 인증서 보유자는 한국 CSMS 인증 심사에서 일부 인정받을 수 있다.
3
CSMS 인증서 발급 — 국토교통부가 발급. 유효기간 3년, 매년 사후 검토 필요. UN R155 인증서와는 별도로 한국 법령에 따른 인증서가 필요하다.
4
차량 레벨 자기인증 선언 — 제작사가 "이 차량은 자동차관리법의 사이버보안 요구사항을 만족한다"고 스스로 선언한다. 유럽처럼 기관이 사전에 차량을 심사하지 않는다.
5
판매 후 사후 감독 — 국토부·KATRI가 사후 적합성 조사를 수행한다. 위반 발견 시 판매중지, 과징금이 부과될 수 있다. 법인 위반 시 인증 취소도 가능하다.
두 체계를 한눈에 비교하면
🇪🇺 유럽 — UN R155 형식승인
CSMS 심사 사전 심사 (형식승인기관)
차량 인증 사전 VTA (형식승인기관 승인)
심사기관 KBA, RDW, UTAC, SNCH 등
판매 조건 VTA 획득 후에만 판매 가능
법 위반 시 인증 취소
CSMS 유효기간 3년 (매년 사후 검토)
🇰🇷 한국 — 자동차관리법 자기인증
CSMS 심사 사전 심사 (국토교통부·KATRI)
차량 인증 자기인증 선언 + 사후 감독
심사기관 국토교통부 / 한국교통안전공단
판매 조건 CSMS 인증 후 자기인증 선언으로 판매 가능
법 위반 시 과징금, 판매중지
CSMS 유효기간 3년 (매년 사후 검토)
| 구분 | 유럽 (UN R155) | 한국 (자동차관리법) |
|---|---|---|
| 기반 규정 | UN R155 직접 채택 | UN R155·ISO/SAE 21434 참조, 독자 법령 제정 |
| CSMS 인증 | 사전 심사 (형식승인기관) | 사전 심사 (국토교통부·KATRI) |
| 차량 레벨 인증 | 사전 VTA 필수 | 자기인증 선언 (사후 감독) |
| 심사 깊이 | 프로세스 중심, 원칙 기반 | 약 140개 세부 요구사항, 기술·운영 수준 더 상세 |
| UN CSMS 인증 인정 | — | UN R155 CSMS 보유자는 일부 인정 가능 |
| 법 위반 시 | 인증 취소 | 과징금, 판매중지, 인증 취소 가능 |
한국 규제가 더 까다롭다는 말이 왜 나오는가
해외 전문가들 사이에서는 "유럽 기준으로 충분히 준비한 회사가 한국 심사에서 의외로 고생한다"는 이야기가 나온다. 이유가 있다.
💡 한국 자동차관리법의 특징 (cyeqt 분석 기준)
UN R155 기반 CSMS 심사는 주로 프로세스 존재 여부를 확인한다 — "프로세스가 정의되어 있는가?", "리스크 기반 개발이 원칙적으로 적절한가?" 수준의 점검이다.
한국 자동차관리법은 UN R155·ISO/SAE 21434·국가별 사양에서 도출한 약 140개의 세부 요구사항을 구체적인 증거(evidence)와 함께 제시해야 한다. 개발 전 단계부터 V&V까지 완전한 추적성(traceability)이 요구된다. 표면적 문서화로는 통과하기 어렵다.
UN R155 기반 CSMS 심사는 주로 프로세스 존재 여부를 확인한다 — "프로세스가 정의되어 있는가?", "리스크 기반 개발이 원칙적으로 적절한가?" 수준의 점검이다.
한국 자동차관리법은 UN R155·ISO/SAE 21434·국가별 사양에서 도출한 약 140개의 세부 요구사항을 구체적인 증거(evidence)와 함께 제시해야 한다. 개발 전 단계부터 V&V까지 완전한 추적성(traceability)이 요구된다. 표면적 문서화로는 통과하기 어렵다.
⚠️ 또 하나의 중요한 사실 — UN R155 CSMS 인증이 한국에서 자동으로 인정되지 않는다
Fescaro의 FAQ 자료에 따르면, 한국 자동차관리법에 따른 CSMS 인증은 반드시 국토교통부가 검토·발급한 것이어야 한다. UN R155 기반으로 CSMS 인증을 보유한 OEM은 한국 CSMS 인증 심사 과정에서 일부 인정을 받을 수 있지만, 유럽 인증서 자체가 한국 인증서를 대체하지는 않는다.
Fescaro의 FAQ 자료에 따르면, 한국 자동차관리법에 따른 CSMS 인증은 반드시 국토교통부가 검토·발급한 것이어야 한다. UN R155 기반으로 CSMS 인증을 보유한 OEM은 한국 CSMS 인증 심사 과정에서 일부 인정을 받을 수 있지만, 유럽 인증서 자체가 한국 인증서를 대체하지는 않는다.
협력사(Tier 1·2) 입장에서는 무엇이 달라지는가
협력사 입장에서 가장 헷갈리는 것이 "유럽 OEM 프로젝트엔 VTA가 나오고, 국내 OEM 프로젝트엔 자기인증이 나오는데 어느 쪽에 맞춰야 하는가"다.
❌ 유럽 VTA와 한국 자기인증은 다르니까 준비해야 할 것도 다르다
✅ 협력사가 준비해야 하는 기술 산출물은 대부분 동일하다 — 차이는 OEM이 그것을 어떻게 인증기관에 제출하느냐다
TARA, Security Requirement, Cybersecurity Case, V&V 보고서 — 이것들은 OEM이 유럽 형식승인기관에 제출하든, 한국 국토교통부에 제출하든, 협력사가 준비해야 하는 내용 자체는 거의 동일하다. 인증 체계가 달라서 협력사 부담이 달라지는 게 아니라, 어느 국가 OEM이냐에 따라 요구하는 세부 깊이와 증거 수준이 달라진다.
✅ 협력사가 기억해야 할 한 가지
형식승인(VTA)이든 자기인증이든, 결국 OEM은 같은 질문에 답해야 한다 — "이 부품이 사이버보안 요구사항을 만족한다는 것을 어떻게 증명할 것인가?" 이 질문에 대한 증거를 협력사가 제공하는 구조는 동일하다. 다만 한국 시장의 경우 더 구체적인 증거 수준을 요구하는 경향이 있다는 점을 알고 준비하면 충분하다.
형식승인(VTA)이든 자기인증이든, 결국 OEM은 같은 질문에 답해야 한다 — "이 부품이 사이버보안 요구사항을 만족한다는 것을 어떻게 증명할 것인가?" 이 질문에 대한 증거를 협력사가 제공하는 구조는 동일하다. 다만 한국 시장의 경우 더 구체적인 증거 수준을 요구하는 경향이 있다는 점을 알고 준비하면 충분하다.
🔧 현업에서 느끼는 것들
한국 규제가 "R155 기반이니까 비슷하겠지"라는 예상을 종종 벗어난다 — 유럽 OEM 프로젝트에서 수년간 R155 대응 경험을 쌓은 회사들도 한국 자동차관리법 심사 준비를 별도로 해야 한다. 약 140개 세부 요구사항과 각각의 명확한 증거 준비는 R155에 익숙한 팀에게도 적지 않은 추가 작업이다.
CSMS와 VTA(차량 인증)를 혼동하는 경우가 실제로 많다 — "CSMS 인증 받으면 차 판매할 수 있는 거 아닌가요?"라는 질문이 나온다. 유럽에서는 CSMS 인증이 VTA의 전제조건이고, 한국에서는 CSMS 인증 후 차량 레벨 자기인증 선언이 추가로 필요하다. 이 구조를 명확히 이해하고 있어야 고객사와의 요구사항 협의가 매끄럽다.
사후 감독을 "안 본다"와 동일하게 생각하면 안 된다 — 한국 자기인증 체계에서 KATRI는 판매 후에도 사후 적합성 조사를 수행할 수 있다. 자기인증 선언을 했지만 실제로 요구사항을 만족하지 못하고 있다가 발견되면 판매중지·과징금이 부과된다. 선언의 책임은 OEM이 온전히 진다.
유럽은 판매 전에 국가기관이 검증한다.
한국은 CSMS는 사전에, 차량은 제작사가 선언하고 국가가 사후에 검증한다.
그런데 협력사가 준비해야 하는 기술 산출물은 동일하다.
어떤 인증 체계냐보다, 그 증거를 실제로 갖추고 있느냐가 더 중요하다.
핵심 요약
1
한국은 UNECE 가입국이지만 UN R155에 구속되지 않겠다고 선언했다 — 독자적인 자동차관리법으로 2024년 2월부터 사이버보안 CSMS 의무화를 시행하고 있다.
2
유럽은 CSMS + VTA 모두 사전 심사, 한국은 CSMS는 사전·차량은 자기인증 — "한국은 아무도 안 본다"는 것은 사실이 아니다. CSMS는 국토교통부·KATRI가 사전 심사한다.
3
UN R155 CSMS 인증이 한국 인증을 대체하지 않는다 — 한국 자동차관리법에 따른 별도 인증이 필요하다. 다만 UN R155 인증 보유자는 일부 인정을 받을 수 있다.
4
한국 심사 세부 요구사항은 약 140개로 R155보다 더 구체적이다 — 유럽에서 충분하다고 인정받은 수준이 한국 심사에서 너무 표면적이라는 평가를 받을 수 있다.
5
협력사가 준비하는 기술 산출물(TARA, Cybersecurity Case, V&V)은 동일하다 — 인증 체계보다 그 증거를 실제로 갖추고 있느냐가 핵심이다.
반응형
'차량 사이버보안 > 규제 · 인증' 카테고리의 다른 글
| OTA 업데이트, 법은 생겼는데 무엇을 증명해야 할까? — UN R156, ISO 24089, 자동차관리법 34조의5의 빈틈 (0) | 2026.07.03 |
|---|---|
| Euro 7, R155 CSMS만으로는 부족하다 (0) | 2026.06.24 |
| 자동차 사이버보안 규제 일정 총정리 — 2020년부터 2030년까지 (1) | 2026.06.16 |
| R155 했는데 ENX VCS도 해야 하나요? — ENX VCS와 CSMS 인증이 헷갈리는 이유 (0) | 2026.06.12 |
| 우리 회사는 ENX VCS 준비가 됐을까? — 협력사 Self Assessment 가이드 (0) | 2026.06.10 |