이 셋의 관계를 정확히 이해하지 못하면 "해외 인증이면 국내에서도 되지 않을까", "표준 인증이 있으면 규제 인증도 자동으로 되지 않을까" 같은 오해가 자연스럽게 생깁니다.
독일 CSMS 인증서, 한국에서는 왜 안 통할까
UN R155는 UNECE 1958 협정이라는 국제 틀 안에서 작동합니다. 이 협정에 가입한 54개 체약국(EU 대부분, 영국, 일본, 한국 등)은 원칙적으로 "한 체약국이 발급한 형식승인은 다른 체약국도 재시험 없이 인정한다"는 상호인정 원칙을 따릅니다. 그래서 EU 회원국 사이에서는 독일에서 받은 R155 기반 CSMS 형식승인이 프랑스·이탈리아에서도 대체로 통용됩니다.
| 시장 | 상황 |
|---|---|
| EU 회원국 간 | 한 나라(예: 독일 KBA)에서 받은 R155 CSMS 인증이 다른 회원국에서도 대체로 통용 |
| 한국 | 위 상호인정 관행과 무관하게 국내 별도 인증 필수 (가이드라인이 명시적으로 확인) |
| 중국·미국 등 | R155 체약국이 아니거나 별도 규제체계를 운영 → 각자 자기 인증·표준 요구 |
21434 인증은 CSMS 인증이 아니다
여기서 자주 섞이는 두 번째 개념이 "ISO/SAE 21434 인증"입니다. 21434는 분명 국제적으로 통용되는 표준이지만, 그 표준을 근거로 발급되는 "인증서"는 정부가 발급하는 규제 인증이 아니라 TÜV·DEKRA·exida 같은 민간 인증기관이 발급하는 시장 신뢰 증표입니다.
| ISO/SAE 21434 인증 | CSMS 인증 (국내/R155) | |
|---|---|---|
| 성격 | 민간 제3자 인증 | 정부 규제 인증 |
| 발급 주체 | TÜV, DEKRA, exida, UL 등 (기관마다 심사 범위 상이) | 국가별 지정 승인기관 (한국은 자동차안전연구원) |
| 법적 지위 | 법적 강제력 없음, 시장에서 통용되는 신뢰 지표 | 없으면 차량 판매 자체가 불가능한 법적 요건 |
| 국경 간 인정 | "이 회사는 21434 프로세스를 갖췄다"는 근거로 국제적으로 통용 | 국가마다 별도 인증 필요 (위에서 본 독일-한국 사례) |
ISO 9001을 떠올리면 비슷합니다. ISO 9001도 국제표준이지만 "ISO 9001 인증"은 민간 인증기관이 발급하는 인증이고, 이게 있다고 각국의 별도 규제 인증(예: 의약품 GMP 인증)이 면제되지는 않습니다.
그럼 21434 인증은 굳이 필요 없는 걸까
법적으로만 보면 21434 인증 자체를 반드시 가져야 한다는 조항은 없습니다. 하지만 실무에서는 "선택"이 아니라 "사실상 필수"가 되는 경우가 많습니다.
OEM 입장에서도 21434 인증 없이 CSMS 인증심사를 통과하려면, 거버넌스·TARA·시험·모니터링 4대 축의 프로세스를 스스로 갖췄다고 자체적으로 입증해야 합니다. 반면 21434 인증이 있으면 "이미 외부 전문기관이 검증한 프로세스"라는 근거가 있어 심사 리스크가 훨씬 줄어듭니다. 게다가 한국 CSMS만이 아니라 EU·중국 등 다른 시장까지 고려한다면, 21434 기반 프로세스가 공통 기반이 되어 인증마다 반복되는 준비 작업을 크게 줄여줍니다.
그럼 R155는 21434를 실제로 어떻게 언급하고 있을까
여기서 마지막 오해가 나옵니다 — "R155가 21434를 의무화한다"는 인식입니다. 정확히 짚어보면 이렇습니다.
| R155 단계 | 대응되는 21434 Clause (해석문서 기준) |
|---|---|
| CSMS 전반 관리체계 | Clause 5(전반적 사이버보안 관리), 6(프로젝트 종속 관리), 7(지속적 활동) |
| 생산 단계 | Clause 12(Production) |
| 생산 후 단계 | Clause 7, 13(운영·유지보수), 14(폐기) |
세 개념을 정리하면
법은 "무엇을 지켜야 하는가"를 말하고, 표준은 "그것을 어떻게 증명하면 되는가"를 알려줍니다.
21434는 R155가 요구하는 것을 증명하는 가장 널리 인정된 방법일 뿐, R155 그 자체도 CSMS 인증 그 자체도 아닙니다.
※ 이 글은 UN Regulation No. 155 및 WP.29 승인 해석문서(Interpretation Document), 국토교통부 「자동차 사이버보안 인증제도 가이드라인」(2026.5) 등 공개 자료를 바탕으로 작성했습니다.
'차량 사이버보안 > 규제 · 인증' 카테고리의 다른 글
| 차량 보안 사고는 언제 정부에 신고해야 할까? — 24시간 신고, 긴급조치, 최종조치의 의미 (0) | 2026.07.15 |
|---|---|
| 특장차와 트레일러도 사이버보안 대상일까? — CSMS 면제 조건과 전용 인터페이스의 의미 (1) | 2026.07.14 |
| 국내 CSMS 인증심사는 무엇을 보는가? — 거버넌스, TARA, 시험, 모니터링 4대 축 (0) | 2026.07.13 |
| CSMS 인증은 한 번 받으면 끝일까? — 사후관리심사, 갱신인증, 변경인증의 현실 (0) | 2026.07.10 |
| OTA 업데이트, 법은 생겼는데 무엇을 증명해야 할까? — UN R156, ISO 24089, 자동차관리법 34조의5의 빈틈 (0) | 2026.07.03 |