ISO/SAE 21434를 준수했다고 해서 그것을 외부에 증명하는 방법이 자동으로 생기는 것은 아니다.
OEM마다 다른 심사 기준, 중복되는 감사 부담 — ENX VCS는 이 문제를 해결하기 위해 2024년 등장한 자동차 사이버보안 전용 제3자 인증 체계다.
문제의 출발점 — 21434 준수를 어떻게 증명하는가
ISO/SAE 21434는 차량 사이버보안 개발 프로세스의 방법론 표준이다. TARA를 수행하고, 보안 요구사항을 도출하고, Cybersecurity Case를 작성하면 21434를 따른 것이다. 그런데 현실에서 이런 상황이 생긴다.
Tier 1 협력사가 OEM A, B, C에 부품을 공급한다고 가정해 보자. 세 OEM이 모두 "21434 준수를 증명하라"고 요구한다. 그런데 각 OEM이 요구하는 심사 방식이 다르다. OEM A는 자체 양식의 CSMS 질문지를 보내오고, OEM B는 현장 방문 심사를 요청하고, OEM C는 제3자 인증서를 요구한다.
⚠️ R155 이전의 현실
UN R155가 본격 적용되기 전까지 많은 협력사들은 OEM마다 다른 기준의 사이버보안 심사를 각각 준비해야 했다. 같은 내용을 다른 포맷으로 반복해서 제출하는 비효율이 업계 전반에 존재했다. 정보보안 분야에서 TISAX가 이 문제를 해결했듯이, 차량 사이버보안 분야에도 같은 접근이 필요해졌다.
ENX는 누구인가 — TISAX를 만든 조직
ENX VCS를 이해하려면 먼저 ENX Association을 알아야 한다. ENX는 유럽 자동차 제조사와 공급사들이 안전한 데이터 교환 네트워크를 운영하기 위해 만든 비영리 협회다. BMW, Volkswagen, Mercedes-Benz, Stellantis 등 유럽 주요 OEM들이 참여하고 있다.
자동차 업계에 ENX가 이미 만든 인증 체계가 하나 있다. 바로 TISAX다. TISAX는 자동차 공급망의 정보보안을 표준화된 방식으로 인증한다. 한 번 받으면 여러 OEM에 결과를 공유할 수 있고, 유럽 OEM들이 협력사 선정 시 사실상 필수로 요구하는 체계가 됐다.
TISAX vs ENX VCS — 같은 ENX가 운영하지만 목적이 다르다
TISAX
자동차 공급망 정보보안 인증
기반 표준: VDA ISA + ISO/IEC 27001
보호 대상: 설계 데이터, 프로토타입, 개인정보 등
핵심 질문: 우리 회사 정보가 안전하게 보호되는가?
평가 레벨: AL1 / AL2 / AL3
운영 시작: 2017년
VS
ENX VCS
차량 사이버보안 관리 체계 인증
기반 표준: ISO/SAE 21434 + ISO/PAS 5112
보호 대상: 차량·부품의 사이버보안
핵심 질문: 우리 제품의 사이버보안이 관리되고 있는가?
심사 대상: CSMS + 프로젝트 샘플
운영 시작: 2024년 6월
요약하면 TISAX는 "우리 회사가 받은 설계 데이터를 안전하게 다루는가"를 인증하고, ENX VCS는 "우리 회사가 만드는 제품의 사이버보안을 체계적으로 관리하는가"를 인증한다.
💡 ENX VCS 심사를 받으려면 TISAX 평가 레벨 AL2 또는 AL3의 유효한 라벨이 전제 조건이다. AL1은 해당되지 않는다. TISAX가 조직의 정보보안 기반(ISMS)을 먼저 확인하고, ENX VCS가 그 위에서 차량 사이버보안 관리 역량(CSMS)을 확인하는 구조다.
ENX VCS의 구조 — 무엇을 심사하는가
ENX VCS 심사는 크게 두 층위로 구성된다. 조직의 CSMS 전체를 보는 조직 심사와, 실제 프로젝트에서 CSMS가 제대로 적용됐는지를 확인하는 샘플 심사다.
ENX VCS 심사 구조
1
Organizational Check (조직 심사) — CSMS가 ISO/SAE 21434 요구사항에 맞게 수립되어 있는지 문서 및 프로세스 심사. 사이버보안 정책, 역할과 책임, TARA 프로세스, 취약점 관리 체계, 사고 대응 절차 등을 검토한다.
2
Protection Object 샘플 선정 — 리스크 기준으로 실제 VCS 프로젝트 샘플을 선정한다. "Protection Object"는 심사 대상이 되는 제품 또는 컴포넌트 단위다. OEM에 납품하는 ECU, 모듈 등이 여기에 해당한다.
3
Protection Object 샘플 심사 — 선정된 프로젝트에서 CSMS 프로세스가 실제로 적용됐는지 확인. 엔지니어링팀 인터뷰, 작업 산출물 검토(TARA 결과, 보안 요구사항, 테스트 결과 등)를 통해 서류와 현장의 일치 여부를 확인한다.
4
심사 결과 및 라벨 발급 — 전체 적합(Conform) 시 정식 ENX VCS 라벨 발급, 경미한 부적합(Minor Non-conform) 시 시정조치 계획 제출 후 임시 라벨 발급. ENX Portal을 통해 OEM과 결과를 공유할 수 있다.
ℹ️ VCSA Catalogue란?
ENX VCS 심사의 핵심 도구는 VCSA(Vehicle Cyber Security Audit) Catalogue다. ISO/SAE 21434와 ISO/PAS 5112를 기반으로 만든 표준화된 질문지로, 심사 기관이 어디든 동일한 기준으로 심사를 수행하도록 보장한다. ENX Portal에서 다운로드 가능하며(ENX_VCSA_1_0_EN.xlsx), 조직이 사전에 자체 점검 도구로 활용할 수 있다.
Audit Objectives — 어떤 공급사에게 어떤 심사가 적용되는가
자동차 공급망의 역할은 다양하다. ECU를 개발하는 회사, 양산하는 회사, 사후 유지보수를 담당하는 회사의 사이버보안 역할이 다르다. ENX VCS는 이 다양성을 반영해 Audit Objective를 나눠 적용한다.
VCS Development
개발 단계
차량 사이버보안 요구사항을 정의하고 설계·구현하는 조직. TARA 수행, 보안 요구사항 도출, Cybersecurity Case 작성, 검증·확인 활동이 심사 대상이다.
VCS Production
생산 단계
개발된 보안 기능이 양산 과정에서 유지되는지를 관리하는 조직. 생산 환경에서의 보안 요구사항 적용 여부, 보안 기능 손상 방지 관리가 심사 대상이다.
VCS Operations & Maintenance
운영·유지보수 단계
양산 이후 운행 중인 차량의 사이버보안 관리와 수명주기 전반의 유지보수를 담당하는 조직. 취약점 모니터링, 사고 대응, OTA 보안 관리, 보안 패치, End-of-Life 처리가 심사 대상이다.
협력사는 자신의 역할에 해당하는 Audit Objective만 선택해 심사를 받을 수 있다. 개발만 하는 회사는 VCS Development만, 개발과 생산을 함께 하는 회사는 두 가지를 선택하는 식이다. 단, 어느 Objective를 선택하든 TISAX AL2 또는 AL3 라벨 보유가 전제 조건이다.
21434 기관 인증과 ENX VCS는 무엇이 다른가
TÜV, DEKRA 등 인증기관이 발급하는 ISO/SAE 21434 기반 인증서가 이미 존재한다. ENX VCS와 어떻게 다른지 궁금할 수 있다.
❌ 21434 인증을 받으면 ENX VCS와 동등한 효력이 있다
✅ TÜV·DEKRA 기반 21434 인증과 ENX VCS는 목적과 구조가 다른 별개의 체계다
ISO/SAE 21434 표준 자체는 인증 체계를 규정하지 않는다. 다만 TÜV NORD, TÜV Rheinland, DEKRA 등 인증기관이 21434 기반의 독자적인 인증서를 발급하고 있으며, 이는 개별 기관별로 기준이 다를 수 있다. ENX VCS는 이와 다른 접근이다 — ISO/PAS 5112 감사 가이드라인을 기반으로 업계가 공동으로 운영하는 통합 인증 체계로, 한 번 받으면 ENX Portal을 통해 복수의 OEM에 결과를 공유할 수 있다.
구분
ISO/SAE 21434 기반 기관 인증
ENX VCS 인증
성격
개별 인증기관의 독자적 인증
업계 공동 운영 통합 인증 체계
심사 기준
인증기관마다 기준 상이
VCSA Catalogue 기준 통일
결과 공유
OEM마다 별도 제출 필요
ENX Portal에서 복수 OEM에 공유
표준 근거
ISO/SAE 21434
ISO/SAE 21434 + ISO/PAS 5112
TISAX 연계
별개 체계
TISAX AL2/AL3 보유가 전제 조건
프로젝트 확인
조직 심사 중심
실제 프로젝트 샘플 현장 확인 포함
ENX VCS 심사기관은 어디인가
2024년 6월 ENX VCS 런칭 시점에 심사 가능한 기관으로 승인된 곳은 BSI Group, DEKRA, DQS Group, TÜV Nord, TÜV Süd 5개 기관이다. 모두 자동차 산업에서 이미 TISAX 심사를 수행해 온 기관들이다.
ENX VCS — R155, 21434와의 관계
UN R155 법규 "왜 해야 하나"
→
ISO/SAE 21434 표준 "어떻게 하나"
→
ISO/PAS 5112 심사 가이드 "어떻게 감사하나"
→
ENX VCS 인증 체계 "증명하는 방법"
ENX VCS는 이 체계의 가장 끝단 — 공급망에서 준수를 객관적으로 증명하는 수단이다
한국 협력사는 언제부터 관련이 생기는가
ENX VCS는 유럽에서 시작됐지만 적용 범위는 글로벌이다. 한국 협력사에게 현실적으로 영향이 생기는 경우는 다음과 같다.
한국 협력사가 ENX VCS를 고려해야 하는 시점
1
유럽 OEM에 직접 납품하는 경우 — BMW, Mercedes-Benz, Volkswagen, Stellantis 등 ENX 참여 OEM에 E/E 컴포넌트를 납품한다면 ENX VCS 요구가 계약에 명시될 가능성이 높다.
2
유럽 Tier 1의 협력사인 경우 — 직접 OEM에 납품하지 않더라도, 유럽 Tier 1이 ENX VCS 인증을 받기 위해 공급망 관리를 강화하면 그 협력사들에게도 동일한 요구가 내려올 수 있다.
3
국내 OEM이 요구하기 시작하는 경우 — 현대·기아 등 국내 OEM도 글로벌 보안 인증 체계 도입을 검토하고 있다. ENX VCS가 사실상 표준이 되면 국내 공급망에도 확산될 가능성이 있다.
4
선제적 준비가 경쟁력이 되는 경우 — ENX VCS 인증은 의무가 아니다. 하지만 TISAX가 그랬듯이, 먼저 준비한 협력사가 글로벌 수주에서 유리한 위치를 점하게 된다.
🔧 현업에서 느끼는 변화들
OEM마다 다른 CSMS 질문지 대응이 실제로 부담이다 — 여러 OEM에 부품을 납품하는 협력사는 OEM별로 다른 형식의 사이버보안 역량 증명 요청을 각각 처리해야 한다. 같은 내용을 다른 포맷으로 반복 제출하는 비효율이 실무에서 체감된다. ENX VCS가 보급되면 이 부담이 줄어들 것으로 기대된다.
TISAX는 알지만 ENX VCS는 처음이라는 반응이 아직 많다 — 국내 협력사에서 ENX VCS에 대한 인지도가 아직 낮다. 유럽 수출 비중이 있는 기업들도 계약서에 등장하기 전까지는 준비가 늦어지는 경향이 있다. TISAX처럼 갑자기 필수 요건이 되는 상황이 올 수 있다.
21434 프로세스를 제대로 구축한 조직과 그렇지 않은 조직의 차이가 ENX VCS에서 드러난다 — ENX VCS는 CSMS 문서 확인에서 끝나지 않고 실제 프로젝트 샘플을 현장에서 확인한다. 서류만 갖춰놓고 실제 적용이 안 된 경우 샘플 심사에서 부적합이 나올 수밖에 없다. 21434를 형식적으로 따른 조직과 실질적으로 운영한 조직의 차이가 드러나는 지점이다.
21434는 어떻게 해야 하는지를 말한다.
ISO/PAS 5112는 어떻게 감사해야 하는지를 말한다.
ENX VCS는 그것을 공급망에서 어떻게 증명하는지를 제공한다.
TISAX가 자동차 공급망 정보보안의 공통 언어가 됐듯이, ENX VCS는 차량 사이버보안의 공통 인증 언어가 될 가능성이 높다.
핵심 요약
1
ENX VCS는 21434 준수를 제3자가 표준화된 방식으로 인증하는 체계다 — 2024년 6월 런칭됐으며 TISAX와 같은 ENX가 운영한다.
2
TISAX AL2/AL3이 전제 조건이다 — TISAX는 조직의 정보보안, ENX VCS는 제품·부품의 차량 사이버보안을 인증한다. ENX VCS 심사를 받으려면 TISAX 평가 레벨 AL2 또는 AL3의 유효한 라벨이 먼저 있어야 한다.
3
심사는 CSMS 전체 + 프로젝트 샘플 두 층위로 구성된다 — 서류 심사에 그치지 않고 실제 프로젝트에서 CSMS가 적용됐는지 현장에서 확인한다.
4
Audit Objective 3종으로 공급망 역할에 맞게 선택 적용한다 — Development / Production / Operations & Maintenance 중 해당하는 항목만 선택해 심사받는다.
5
의무는 아니지만 사실상 필수화 흐름이다 — 유럽 OEM 공급망을 중심으로 빠르게 확산 중이며, TISAX의 경로를 따라갈 가능성이 높다.