ENX VCS란 무엇일까?ISO/SAE 21434만으로는 부족했던 공급망 사이버보안 평가

보안 규제와 프로세스 — 공급망 보안

ENX VCS를 처음 접할 때 자주 듣는 말

"ENX VCS가 ISO/SAE 21434 인증이죠? DEKRA나 TÜV에서 주는 거랑 같은 건가요?"

"TISAX 있으면 VCS는 자동으로 커버되는 거 아닌가요?"

"VCS는 유럽 얘기고 한국 협력사는 아직 관계없지 않나요?"

"21434 잘 하고 있으면 VCS 심사도 쉽게 통과할 수 있는 거 아닌가요?"

ENX VCS는 ISO/SAE 21434 인증이 아니다. 새로운 보안 표준도 아니다.

자동차 공급망 전체가 동일한 기준으로 차량 사이버보안 관리 체계를 평가받을 수 있도록 만들어진 산업 공통 심사 체계(Audit Scheme)다. ENX 공식 정의 그대로다.

---

ENX VCS가 만들어진 이유 — 비교 불가능한 인증의 문제

UNECE R155가 시행되면서 OEM은 공급망 전체의 사이버보안 관리 역량을 검증해야 하는 의무를 갖게 됐다. 그런데 현실에서 문제가 생겼다.

A 협력사는 TÜV에서 ISO/SAE 21434 기반 인증을 받았고, B 협력사는 DEKRA에서 같은 기반으로 인증을 받았다. 서류상 둘 다 "21434 인증 완료"다. 하지만 심사 범위, 샘플링 방식, 증적 검토 수준이 기관마다 달랐다. OEM 입장에서 두 결과를 같은 기준으로 비교할 수 없었다.

💡 ENX Association은 이 문제를 해결하기 위해 TISAX 생태계를 기반으로 VCS를 개발했다. TISAX가 자동차 공급망의 정보보안(ISMS) 평가를 표준화했듯이, VCS는 차량 사이버보안(V-CSMS) 평가를 표준화한다.

ENX WG VCS(Working Group VCS)는 OEM, Tier-1 공급사, 엔지니어링·소프트웨어 개발사 전문가들로 구성됐다. 2023년 10월 타당성 검증을 완료했고, 2024년 6월 공식 런칭됐다.

---

ENX VCS의 정확한 정의

ENX Portal의 공식 정의를 그대로 옮기면 이렇다.

ℹ️ ENX Portal 공식 정의

"ENX VCS is a harmonized ISO/SAE 21434 based scheme for the independent third party audit of the Vehicle Cybersecurity Management System (V-CSMS) of cybersecurity relevant automotive suppliers."

번역: ENX VCS는 사이버보안 관련 자동차 협력사의 차량 사이버보안 관리 체계(V-CSMS)를 독립적인 제3자가 심사하기 위한, ISO/SAE 21434 기반의 표준화된 심사 체계다.

핵심은 세 가지다. 첫째, ISO/SAE 21434를 기반으로 한다. 둘째, 독립적인 제3자 심사 체계다. 셋째, V-CSMS(차량 사이버보안 관리 체계) 전체를 평가한다. ENX 스스로 "industry-governed and non-proprietary(업계 주도의 비독점 체계)"라고 명시하고 있다.

---

표준 계층 구조 — VCS는 어디에 위치하는가

ENX VCS는 기존 표준 위에 구축된 심사 체계다. ENX의 공식 다이어그램이 제시하는 4단계 계층 구조는 다음과 같다.

ENX VCS 표준 계층 구조 (ENX 공식 다이어그램 기반)

UNECE R155
법규
형식승인 요건

→

ISO/SAE 21434
엔지니어링
표준

→

ISO/PAS 5112
심사
가이드라인

→

ENX VCS
산업 공통
Audit Scheme

R155 = 법규 / 21434 = 요구사항 표준 / 5112 = 심사 방법론 / ENX VCS = 5112를 실제 공급망 심사 체계로 운영하는 구현체

ℹ️ ISO/PAS 5112란?

"Road vehicles — Guidelines for auditing cybersecurity engineering"이 공식 제목이다. ISO/SAE 21434 기반의 V-CSMS를 어떻게 심사할지 방법론을 정의하는 가이드라인이다. ENX VCS는 이 5112의 심사 가이드를 실제 산업 심사 체계로 구현한 것이다.

---

TISAX와 ENX VCS — 같은 ENX, 다른 목적

가장 많이 헷갈리는 부분이다. 둘 다 ENX Association이 운영하고, 비슷한 심사 프로세스를 갖지만 평가 대상이 근본적으로 다르다.

구분	TISAX	ENX VCS
평가 대상	조직의 정보보안 관리 체계 (ISMS)	조직의 차량 사이버보안 관리 체계 (V-CSMS)
기반 표준	VDA ISA + ISO/IEC 27001	ISO/SAE 21434 + ISO/PAS 5112
핵심 질문	설계 데이터·개인정보를 안전하게 보호하는가?	차량 사이버보안 엔지니어링을 체계적으로 수행하는가?
런칭 시점	2017년	2024년 6월
상호 관계	ENX VCS 심사를 받으려면 유효한 TISAX 라벨 보유가 전제 조건이다 (ENX 공식 명시)

⚠️ TISAX 라벨 전제 조건에 대해 정확히 알아야 할 것

ENX 공식 VCS 페이지는 "유효한 TISAX 라벨(covering their ISMS)"을 전제 조건으로 명시한다. 다만 "AL2 또는 AL3"이라는 특정 레벨 요건은 ENX 공개 문서에는 명시되어 있지 않다. TÜV NORD 등 일부 심사기관이 AL2/AL3을 요구사항으로 안내하고 있다. AL1은 자체 평가만으로 완료되어 공유 가능한 라벨이 발급되지 않으므로 실질적으로는 AL2 이상이 필요하다는 해석이 업계의 일반적인 이해다.

---

세 가지 Audit Objective — 역할에 따라 선택한다

ENX VCS는 자동차 공급망에서 조직이 수행하는 역할에 따라 세 가지 Audit Objective를 제공한다. 조직은 자신의 역할에 해당하는 항목을 선택해 심사를 받는다.

VCS Development

개발 단계

개념 단계부터 제품 개발, 통합, V&V까지 사이버보안 엔지니어링 활동 전반을 수행하는 조직. TARA, 보안 요구사항, Cybersecurity Case 작성 등이 심사 대상이다.

VCS Production

생산 단계

ECU 양산, 보안 키 주입(Key Provisioning), Secure Boot 설정, TLS 인증서 플래싱 등 생산 단계에서의 보안 관리를 수행하는 조직이 해당한다.

VCS Operations & Maintenance

운영·유지보수 단계

양산 이후 보안 모니터링, 취약점 관리, 사고 대응, OTA 보안 업데이트, 수명 종료 시 키·인증서 삭제까지 운영 전반을 담당하는 조직이 해당한다.

💡 개발과 생산을 함께 수행하는 조직은 두 가지를 모두 선택해 심사받을 수 있다. 자신의 역할에 해당하지 않는 Objective까지 받을 필요는 없다.

---

VCSA Catalogue — 실제로 무엇을 평가하는가

ENX VCS 심사의 핵심 도구는 VCSA(Vehicle Cyber Security Audit) Catalogue다. ENX Portal에서 공개 다운로드 가능한 Excel 파일(현재 버전 1.1)로, 심사기관이 어디든 동일한 기준으로 심사를 수행하도록 보장한다.

ENX 2023년 PG VCS 프로젝트 보고서 기준으로 VCSA는 9개 챕터, 24개 통제항목, 102개 요구사항으로 구성된다.

VCSA Catalogue — 9개 챕터 구성 (ENX PG VCS 보고서 기준)

1

Organizational Cybersecurity — 조직 차원의 사이버보안 거버넌스와 관리 체계

2

Human Resources & Cybersecurity Culture — 인력의 보안 역량과 보안 문화

3

Risk Management — 사이버보안 리스크 식별과 관리

4

Internal Assessments — 내부 감사 및 자체 평가 활동

5

Concept and Product Development — TARA, 보안 요구사항, 설계, V&V 등 개발 단계 전반

6

Post-Development — 개발 완료 이후 단계의 보안 관리

7

Operations Security — 양산 및 운영 단계 보안

8

Incident Management — 취약점 대응, 사고 처리, 업데이트 관리

9

Supply Chain Relationships — 협력사 관리 및 공급망 사이버보안

VCSA는 ISO/PAS 5112 Annex A의 감사 질문지에 매핑되며, ISO/IEC 지침의 Annex SL 구조를 따른다. ENX Portal에서 VCSA 질문지와 5112 매핑 문서를 함께 다운로드할 수 있다.

---

심사는 어떻게 진행되는가

ENX VCS 심사는 크게 세 단계로 구성된다. ENX 공식 명칭 기준으로 정리하면 다음과 같다.

ENX VCS 심사 3단계

1

Organizational Check (조직 심사) — 조직의 V-CSMS가 선택한 Audit Objective 전반에 걸쳐 VCSA 요구사항에 적합한지 확인한다. 문서 검토와 담당자 인터뷰를 통해 CSMS 거버넌스, 프로세스 수립, 운영 현황을 평가한다.

2

Protection Object 샘플 선정 — 리스크 기반으로 실제 프로젝트(Protection Object) 샘플을 선정한다. 심사 대상 제품 또는 컴포넌트 중 대표성 있는 항목을 고른다.

3

Protection Object Sample Check (프로젝트 샘플 심사) — 선정된 프로젝트에서 V-CSMS가 실제로 일관되게 적용됐는지 확인한다. 프로젝트 팀 인터뷰, ISO/SAE 21434 작업 산출물 검토(TARA, 요구사항, 시험 결과 등)를 수행한다.

ℹ️ 심사 결과 및 라벨 발급

심사를 통과하면 선택한 Audit Objective에 해당하는 ENX VCS 라벨이 발급된다. 전체 적합(Conform) 시 정식 라벨이 발급되고, 경미한 부적합(Minor Non-conform) 시에는 임시 라벨이 발급되며, 모든 부적합 조치가 완료된 후 정식 라벨로 전환된다. 임시 라벨은 초기 심사 종료일로부터 9개월까지 유효하다. 라벨은 ENX Portal을 통해 OEM과 공유할 수 있으며, 공유 수준(A: 심사 관련 정보 / A+라벨 / A+라벨+B: 심사 요약)은 심사받은 조직이 직접 제어한다.

---

승인된 심사기관 (공식 확인)

ENX VCS XAP(eXchange of Audit Providers) 페이지에 공식 등재된 심사기관은 다음과 같다.

기관명	비고
BSI Group Deutschland GmbH	2024년 6월 런칭 시 참여. BSI Korea는 ENX TISAX 운영기관으로 등록됨
DEKRA Certification GmbH	2024년 6월 런칭 시 참여
DQS GmbH	2024년 6월 런칭 시 참여. 현대모비스 VCS 심사 수행
SGS-TÜV Saar GmbH	2024년 6월 런칭 시 참여
TÜV NORD CERT GmbH	2024년 6월 런칭 시 참여
TÜV SÜD Management Service GmbH	2024년 6월 런칭 시 참여. AVL Software and Functions 최초 심사 수행

---

ENX VCS와 ISO/SAE 21434 개별 인증 — 무엇이 다른가

TÜV, DEKRA 등 인증기관이 발급하는 ISO/SAE 21434 기반 개별 인증서와 ENX VCS는 목적과 구조가 다르다.

❌ TÜV/DEKRA의 ISO/SAE 21434 인증서와 ENX VCS 라벨은 같은 것이다

✅ 21434 개별 인증은 기관마다 기준이 다르고 비교 불가능하다. ENX VCS는 공통 기준과 공유 메커니즘을 제공한다

DQS의 설명에 따르면 ISO/SAE 21434 + ISO/PAS 5112 요구사항은 ENX VCS VCSA에 1:1로 포함된 "진정한 부분집합(genuine subset)"이다. 차이점은 ENX VCS가 추가로 제공하는 것들이다. 업계 공통 VCSA Catalogue와 ACAR(심사기관 기준), 표준화된 심사자 역할(VCS Lead Auditor + VCS Expert), 단일 결과 데이터베이스와 OEM 공인 교환 메커니즘, 역할 기반 라벨. 감시 심사(Surveillance Audit) 없이 3년 유효라는 점도 차이다.

---

한국과의 연결고리 — 현대모비스의 사례

ENX VCS가 유럽만의 이야기가 아님을 보여주는 사례가 있다.

✅ 현대모비스 — 아시아 최초 ENX VCS 라벨 취득

2024년 9월 26일, 현대모비스는 경기도 용인 기술연구원에서 ENX VCS 라벨을 공식 수여받았다. ENX Executive Management Director Lennart Oly가 현대모비스 Abdul Khaliq에게 직접 전달했으며, 심사는 DQS가 수행했다. ENX는 "아시아 최초 자동차 공급사 사이버보안 인증"이라고 공식 보도했다. 이 인증은 설계부터 평가, 품질, 생산, 양산 후 관리까지의 범위를 커버한다.

현재 한국 내 ENX VCS 심사를 독자적으로 수행하는 ENX 승인 기관은 아직 확인되지 않는다. BSI Korea는 ENX TISAX 운영기관으로 등록되어 있으며, 향후 VCS 심사 지원이 가능한 위치에 있다. 한국·아시아 협력사는 현재 글로벌 승인 기관을 통해 심사를 받고 있다.

---

🔧 현업에서 느끼는 변화들

OEM 계약서에 ENX VCS가 등장하기 시작했다 — 예전에는 TISAX 라벨을 요구하는 계약이 표준이었다. 최근 유럽 OEM과의 신규 계약이나 갱신 계약에서 ENX VCS 라벨 요구가 조건으로 들어오는 경우가 생기고 있다. TISAX처럼 "없으면 납품 불가"가 되는 시점이 오기 전에 준비가 필요하다는 인식이 생기고 있다.

21434를 잘 하고 있어도 VCS 심사는 별도 준비가 필요하다 — VCSA의 9개 챕터는 21434 엔지니어링 활동뿐 아니라 조직 거버넌스, 공급망 관리, 사고 대응 체계까지 포함한다. 21434를 기술적으로 잘 수행하는 조직도 VCSA 기준으로 사전 자체 점검을 해보면 5~6번 챕터(개발, 양산 후 관리) 외 영역에서 갭이 나오는 경우가 있다.

Audit Objective 선택이 중요하다 — 개발만 하는 조직이 Production까지 받을 필요가 없고, 반대로 실제로 Key Provisioning을 수행하는 조직이 VCS Production을 빠뜨리면 심사 범위 밖에 있는 위험이 생긴다. 자신이 실제로 수행하는 역할을 정확히 파악하고 Objective를 선택해야 한다.

ENX VCS는 새로운 규정이 아니다. ISO/SAE 21434라는 표준이 존재하는데, 그것을 공급망 전체에서 동일한 기준으로 평가할 수 없다는 문제에서 출발했다.

21434를 준수하는 것과, 그 준수를 공급망 전체가 신뢰할 수 있는 방식으로 증명하는 것은 다른 문제다. ENX VCS는 그 증명의 방식을 표준화한다.

핵심 요약

1

ENX VCS는 ISO/SAE 21434 인증이 아니다 — ISO/SAE 21434를 기반으로 V-CSMS를 심사하는 산업 공통 Audit Scheme이다. ISO 표준이 아니라 ENX Association이 운영하는 비독점 심사 체계다.

2

표준 계층은 R155 → 21434 → 5112 → ENX VCS — ENX VCS는 ISO/PAS 5112 심사 가이드라인을 실제 공급망 심사 체계로 구현한 것이다.

3

TISAX와 다르다 — 그리고 TISAX가 전제 조건이다 — TISAX는 정보보안(ISMS), ENX VCS는 차량 사이버보안(V-CSMS)을 평가한다. VCS 심사를 받으려면 유효한 TISAX 라벨이 먼저 있어야 한다.

4

Audit Objective는 3종 — 역할에 맞게 선택한다 — Development / Production / Operations & Maintenance. VCSA Catalogue는 9챕터 기반으로 V-CSMS 전반을 평가한다.

5

한국과의 연결은 이미 시작됐다 — 현대모비스가 2024년 9월 아시아 최초 VCS 라벨을 취득했다. 유럽 OEM 공급망에 있는 한국 협력사라면 지금부터 준비가 필요하다.

ENX_VCS VehicleCybersecurity TISAX ISO/SAE21434 ISO/PAS5112 V-CSMS VCSA 자동차사이버보안인증 공급망보안 UNECE_R155 현대모비스