차량 사이버보안/규제 · 인증

CSMS 인증과 ISO/SAE 21434, 뭐가 다를까? — 법과 표준 사이의 진짜 관계

vsec 2026. 7. 13. 13:29
규제 · 인증
현장에서 자주 듣는 말
"독일에서 CSMS 인증 받았으면 한국에서도 그대로 쓸 수 있지 않나요?"
"21434 인증 있으면 CSMS 인증은 굳이 또 안 받아도 되지 않나요?"
"R155가 21434를 요구하는 규정 아닌가요?"
"21434는 국제표준인데 왜 나라마다 인증을 또 받아야 하죠?"
CSMS 인증, ISO/SAE 21434, UN R155 — 이 세 단어는 실무에서 거의 한 묶음으로 쓰이지만, 사실은 서로 다른 층위에 있는 세 가지입니다. R155는 법(규정)이고, 21434는 표준(standard)이며, CSMS 인증은 그 법을 근거로 국가가 발급하는 규제 인증입니다.

이 셋의 관계를 정확히 이해하지 못하면 "해외 인증이면 국내에서도 되지 않을까", "표준 인증이 있으면 규제 인증도 자동으로 되지 않을까" 같은 오해가 자연스럽게 생깁니다.

독일 CSMS 인증서, 한국에서는 왜 안 통할까

UN R155는 UNECE 1958 협정이라는 국제 틀 안에서 작동합니다. 이 협정에 가입한 54개 체약국(EU 대부분, 영국, 일본, 한국 등)은 원칙적으로 "한 체약국이 발급한 형식승인은 다른 체약국도 재시험 없이 인정한다"는 상호인정 원칙을 따릅니다. 그래서 EU 회원국 사이에서는 독일에서 받은 R155 기반 CSMS 형식승인이 프랑스·이탈리아에서도 대체로 통용됩니다.

❌ "한국도 1958 협정 체약국이니 해외 CSMS 인증이 그대로 통용될 것이다"
✅ 한국은 국내법에 따라 별도 인증을 받아야 하며, 이는 국토교통부 가이드라인에 명시돼 있다
국토교통부 「자동차 사이버보안 인증제도 가이드라인」 FAQ는 이 질문에 정확히 "불가능합니다"라고 답합니다. 국제기준(UN R155)에 따라 국가별로 CSMS 인증제도를 운영하고 있으며, 한국도 국내법(자동차관리법)에 따라 별도 인증을 받아야 한다는 것입니다. 이렇게 되는 배경은 EU가 형식승인(type approval) 체계로 R155를 운영하는 반면, 한국은 자동차 안전기준을 자기인증(self-certification) 방식으로 운영한다는 근본적인 구조 차이에 있습니다. 1958 협정의 상호인정은 정식 형식승인 체계를 쓰는 나라들 사이의 메커니즘인데, 한국은 CSMS 의무를 국내법의 별도 인증제도로 이식해 운영하기 때문에 이 상호인정 채널을 그대로 타지 않습니다.
시장 상황
EU 회원국 간 한 나라(예: 독일 KBA)에서 받은 R155 CSMS 인증이 다른 회원국에서도 대체로 통용
한국 위 상호인정 관행과 무관하게 국내 별도 인증 필수 (가이드라인이 명시적으로 확인)
중국·미국 등 R155 체약국이 아니거나 별도 규제체계를 운영 → 각자 자기 인증·표준 요구

21434 인증은 CSMS 인증이 아니다

여기서 자주 섞이는 두 번째 개념이 "ISO/SAE 21434 인증"입니다. 21434는 분명 국제적으로 통용되는 표준이지만, 그 표준을 근거로 발급되는 "인증서"는 정부가 발급하는 규제 인증이 아니라 TÜV·DEKRA·exida 같은 민간 인증기관이 발급하는 시장 신뢰 증표입니다.

ISO/SAE 21434 인증 CSMS 인증 (국내/R155)
성격 민간 제3자 인증 정부 규제 인증
발급 주체 TÜV, DEKRA, exida, UL 등 (기관마다 심사 범위 상이) 국가별 지정 승인기관 (한국은 자동차안전연구원)
법적 지위 법적 강제력 없음, 시장에서 통용되는 신뢰 지표 없으면 차량 판매 자체가 불가능한 법적 요건
국경 간 인정 "이 회사는 21434 프로세스를 갖췄다"는 근거로 국제적으로 통용 국가마다 별도 인증 필요 (위에서 본 독일-한국 사례)

ISO 9001을 떠올리면 비슷합니다. ISO 9001도 국제표준이지만 "ISO 9001 인증"은 민간 인증기관이 발급하는 인증이고, 이게 있다고 각국의 별도 규제 인증(예: 의약품 GMP 인증)이 면제되지는 않습니다.


그럼 21434 인증은 굳이 필요 없는 걸까

법적으로만 보면 21434 인증 자체를 반드시 가져야 한다는 조항은 없습니다. 하지만 실무에서는 "선택"이 아니라 "사실상 필수"가 되는 경우가 많습니다.

💡 실제로 국내 CSMS 인증 가이드라인에도 이런 조항이 있습니다 — "제작사는 협력사·서비스 제공자에게 국제표준 인증(ISO/SAE 21434, ISO/IEC 27001, TISAX 등) 보유를 요구하거나 이에 준하는 자체 평가를 수행해야 한다." 즉 정부가 강제하는 게 아니라 OEM이 계약 조건으로 Tier-1에게 21434 인증을 요구하는 게 이미 관행입니다.

OEM 입장에서도 21434 인증 없이 CSMS 인증심사를 통과하려면, 거버넌스·TARA·시험·모니터링 4대 축의 프로세스를 스스로 갖췄다고 자체적으로 입증해야 합니다. 반면 21434 인증이 있으면 "이미 외부 전문기관이 검증한 프로세스"라는 근거가 있어 심사 리스크가 훨씬 줄어듭니다. 게다가 한국 CSMS만이 아니라 EU·중국 등 다른 시장까지 고려한다면, 21434 기반 프로세스가 공통 기반이 되어 인증마다 반복되는 준비 작업을 크게 줄여줍니다.


그럼 R155는 21434를 실제로 어떻게 언급하고 있을까

여기서 마지막 오해가 나옵니다 — "R155가 21434를 의무화한다"는 인식입니다. 정확히 짚어보면 이렇습니다.

R155와 21434의 실제 관계 3단계
1
R155 규정 본문에는 이름이 없다 — 조문 자체는 "CSMS는 이런 위험관리 프로세스를 갖춰야 한다"는 요구사항과 Annex 5의 위협·완화조치 목록만 규정합니다. 특정 표준의 이름을 강제하지 않는, "무엇을" 요구하는 성격의 규정입니다.
2
해석문서(Interpretation Document)에서 조항 단위로 매핑된다 — WP.29가 승인한 R155 해석문서는 "ISO/SAE 21434 may be used as the basis for evidencing and evaluating the CSMS"라고 명시하고, R155 각 단계에 21434의 구체적 Clause를 대응시켜 놓았습니다.
3
형식승인 서식의 각주에도 "예시"로만 등장한다 — EU 형식승인 통지서식 각주에는 "E.g. ISO 26262-2018, ISO/PAS 21448, ISO/SAE 21434"라고 적혀 있습니다. 여기서도 예시(E.g.)일 뿐 강제 문구는 아닙니다.
R155 단계 대응되는 21434 Clause (해석문서 기준)
CSMS 전반 관리체계 Clause 5(전반적 사이버보안 관리), 6(프로젝트 종속 관리), 7(지속적 활동)
생산 단계 Clause 12(Production)
생산 후 단계 Clause 7, 13(운영·유지보수), 14(폐기)
ℹ️ R155와 21434는 애초에 같은 시기 겹치는 전문가 그룹(WP.29의 CS/OTA 작업반과 ISO/SAE 21434 개발팀)이 서로 참고하며 만들어졌습니다. 그래서 법이 강제하지 않아도 실무에서는 21434 없이 CSMS를 구축하는 경우가 거의 없는, 사실상의 표준(de facto standard)이 됐습니다. 법이 요구해서가 아니라, 21434를 안 쓰면 CSMS 프로세스 전체를 처음부터 자체적으로 재발명해야 하기 때문입니다.

세 개념을 정리하면

UN R155 — 국제기준 성격의 법(규정). 각국이 이 틀을 국내법으로 이식해 운영.
ISO/SAE 21434 — 그 법을 만족시키는 방법을 알려주는 국제 표준. 강제 요건이 아니라 공식적으로 인정된 참고·증빙 수단.
CSMS 인증 — 법(R155/국내법)을 근거로 국가가 심사해 발급하는 규제 인증. 국가마다 별도로 받아야 하며, 21434 인증이 있어도 면제되지 않음.
법은 "무엇을 지켜야 하는가"를 말하고, 표준은 "그것을 어떻게 증명하면 되는가"를 알려줍니다.

21434는 R155가 요구하는 것을 증명하는 가장 널리 인정된 방법일 뿐, R155 그 자체도 CSMS 인증 그 자체도 아닙니다.
핵심 요약
1
해외 CSMS 인증은 한국에서 자동으로 통용되지 않는다 — 한국은 형식승인이 아닌 자기인증 체계로 CSMS를 운영하기 때문이다.
2
21434 인증은 민간 인증이고 CSMS 인증은 정부 규제 인증이다 — 성격이 다른 두 인증이라 하나가 다른 하나를 대체하지 못한다.
3
법적으로는 21434가 필수가 아니지만 실무에서는 사실상 필수다 — OEM이 협력사에 요구하고, 심사 리스크를 줄이며, 해외 진출 시 공통 기반이 된다.
4
R155 본문은 21434를 강제하지 않는다 — 해석문서와 형식승인 서식 각주에서 "인정된 증빙 수단"으로만 언급된다.
5
R155와 21434는 같은 전문가 그룹이 상호 참고하며 만들었다 — 그래서 법적 강제 없이도 사실상의 표준이 됐다.

※ 이 글은 UN Regulation No. 155 및 WP.29 승인 해석문서(Interpretation Document), 국토교통부 「자동차 사이버보안 인증제도 가이드라인」(2026.5) 등 공개 자료를 바탕으로 작성했습니다.

UNECE R155 ISO21434 CSMS인증 1958협정 상호인정 형식승인 자기인증 자동차관리법 규제대응
반응형