ENX VCS 완전 정복 — 4편
ENX VCS 완전 정복 시리즈
1
이전 글
ENX VCS란 무엇일까?
탄생 배경, TISAX 차이, R155→21434→5112→VCS 계층 구조
DONE
2
이전 글
ENX VCSA Catalogue 완전 분석
9개 챕터 24개 Control Question을 직접 뜯어보면
DONE
3
이전 글
심사관은 어떤 증적을 요구할까?
ENX VCS Audit Evidence 완전 정리
DONE
4
지금 읽는 글
ENX VCS 심사는 어떻게 진행될까?
Organizational Check부터 라벨 발급까지
NOW
5
예정
우리 회사는 준비됐을까?
협력사를 위한 Self Assessment 가이드
SOON
심사 준비할 때 자주 나오는 질문
"심사관이 와서 뭘 보나요? 하루에 다 끝나나요?"
"TARA를 직접 발표해야 하나요? 아니면 문서만 보여주면 되나요?"
"부적합이 나오면 인증이 취소되는 건가요?"
"라벨 받고 나면 3년 동안 아무것도 안 해도 되나요?"
ENX VCS 심사 프로세스에 대한 정보는 ENX Portal 공식 문서, 등록 가이드, 그리고 심사기관(DQS, TÜV NORD 등)이 공개한 자료를 기반으로 정리했다.
직접 심사를 경험한 서술이 아니라 공개 자료 기반의 정리임을 먼저 밝힌다. ENX VCS는 2024년 6월 공식 런칭된 비교적 새로운 체계라, 한국어로 된 심사 프로세스 정보가 아직 많지 않다.
직접 심사를 경험한 서술이 아니라 공개 자료 기반의 정리임을 먼저 밝힌다. ENX VCS는 2024년 6월 공식 런칭된 비교적 새로운 체계라, 한국어로 된 심사 프로세스 정보가 아직 많지 않다.
시작 전 — ENX VCS 심사의 구조를 이해하자
ENX VCS 심사는 ENX Association이 직접 수행하지 않는다. ENX가 승인한 Audit Provider가 심사를 수행하고, 어느 기관을 선택하더라도 동일한 VCSA Catalogue를 심사 기준으로 사용한다.
공식 승인된 심사기관은 BSI Group, DEKRA, DQS Group, SGS-TÜV Saar, TÜV NORD, TÜV SÜD 6곳이다. 심사기관마다 가격, 일정, 심사팀 구성이 다를 수 있지만 평가 기준은 동일하다.
ℹ️ ENX VCS 심사의 공식 구조 (ENX Portal 등록 가이드 기준)
ENX VCS Initial Audit은 3개 Phase로 구성된다.
Phase 1 — Organizational Check
Phase 2 — Determine Protection Object samples (샘플 선정)
Phase 3 — Perform Protection Object sample check (샘플 심사)
심사기관 간 비교 가능한 프로세스를 보장하기 위해 ENX는 ACAR VCS(Audit Provider Criteria & Assessment Requirements) 1.0을 발행했으며, 이는 심사기관의 역할, 심사자 역량 요건, 글로벌 표준화된 절차를 정의한다.
ENX VCS Initial Audit은 3개 Phase로 구성된다.
Phase 1 — Organizational Check
Phase 2 — Determine Protection Object samples (샘플 선정)
Phase 3 — Perform Protection Object sample check (샘플 심사)
심사기관 간 비교 가능한 프로세스를 보장하기 위해 ENX는 ACAR VCS(Audit Provider Criteria & Assessment Requirements) 1.0을 발행했으며, 이는 심사기관의 역할, 심사자 역량 요건, 글로벌 표준화된 절차를 정의한다.
심사 전 — 등록과 자체 점검
ENX VCS 심사를 받으려면 먼저 ENX Portal에 등록해야 한다. ENX Portal은 TISAX 생태계와 동일한 플랫폼을 사용한다.
심사 전 준비 단계 (ENX Portal 등록 가이드 기반)
1
TISAX 라벨 확인 — ENX VCS 심사를 받으려는 기업은 심사 시점에 ISMS를 커버하는 유효한 TISAX 라벨을 보유해야 한다. TISAX가 없다면 먼저 TISAX 등록부터 진행해야 한다.
2
ENX Portal 등록 및 Scope 생성 — ENX Portal에 참여자 등록 후, 심사 대상 조직 범위(Scope)를 생성한다. TISAX 위치(Location)를 VCS Scope에 연결하고, Audit Objective(Development / Production / Operations & Maintenance)를 선택한다.
3
Protection Object 정보 제공 — 선택한 Audit Objective에 해당하는 차량 사이버보안 관련 Protection Object 유형의 수를 제공한다. 이 정보를 통해 심사팀이 CSMS의 효과성을 샘플 Protection Object에 걸쳐 검증할 수 있다.
4
Self-Assessment 수행 — ENX Portal에서 VCSA Catalogue를 기반으로 V-CSMS에 대한 자체 평가를 수행한다. 자체 평가는 조직 사이버보안 관리 역량의 잠재적 갭을 식별하는 데 도움이 되며, 심사기관과의 킥오프 미팅 전에 해결할 수 있다.
5
심사기관 선정 및 Kick-off 미팅 — 승인된 심사기관에 견적을 요청하고 계약한다. 이후 킥오프 미팅에서 심사 범위, 일정, 심사 당일 준비사항 등을 협의한다.
💡 ENX Portal 공식 안내에 따르면, V-CSMS의 성숙도에 따라 심사 전 조직 준비에 통상 수개월이 소요된다. 심사 신청 후 바로 심사가 진행되는 구조가 아니다.
Phase 1 — Organizational Check
초기 심사의 첫 번째 단계다. Organizational Check의 목적은 심사 범위 내 모든 Protection Object와 위치에 걸쳐 V-CSMS가 요구사항에 적합한지 확인하는 것이다.
쉽게 말하면 "조직 차원에서 CSMS가 제대로 수립되어 있는가"를 먼저 확인하는 단계다. 이 단계에서 주로 확인하는 영역은 VCSA의 챕터 1(조직 거버넌스), 챕터 2(HR·문화), 챕터 4(내부 심사)다.
❌ Organizational Check는 예비심사다 — 통과만 하면 되는 가벼운 단계다
✅ Organizational Check는 초기 심사의 공식 Phase 1이다 — 여기서 발견된 부적합도 최종 결과에 포함된다
ISO 인증에서의 Stage 1/Stage 2 구분과 유사하게 보이지만, ENX VCS에서 Organizational Check는 별도의 "예비 심사"가 아니라 초기 심사를 구성하는 3개 Phase 중 하나다. 이 단계에서 조직 거버넌스와 CSMS 체계에 대한 부적합이 발견되면 최종 결과에 그대로 반영된다.
Phase 2 — Protection Object 샘플 선정
Organizational Check에서 수집된 정보를 기반으로 적절한 수의 Protection Object를 샘플로 선정한다. 샘플 심사의 목적은 전체 VCS 범위에 걸쳐 CSMS가 효과적으로 구현되고 있는지 검증하는 것이다.
Protection Object는 심사 대상 제품 또는 컴포넌트 단위다. 조직이 OEM에 납품하는 ECU, 소프트웨어 모듈 등이 여기에 해당한다. 리스크 기반으로 대표성 있는 샘플을 고른다는 것이 핵심이다.
ℹ️ Protection Object 수는 어떻게 결정되는가?
ENX VCS 등록 단계에서 제공한 Protection Object 유형의 수, 조직의 규모, 사업장 수, Audit Objective 등을 종합해 심사팀이 결정한다. 개발 제품이 많고 사업장이 여러 곳이면 샘플 수도 늘어난다. 이 때문에 대형 Tier-1과 중소 협력사의 심사 규모가 크게 다를 수 있다.
ENX VCS 등록 단계에서 제공한 Protection Object 유형의 수, 조직의 규모, 사업장 수, Audit Objective 등을 종합해 심사팀이 결정한다. 개발 제품이 많고 사업장이 여러 곳이면 샘플 수도 늘어난다. 이 때문에 대형 Tier-1과 중소 협력사의 심사 규모가 크게 다를 수 있다.
Phase 3 — Protection Object 샘플 심사
3개 Phase 중 가장 많은 시간이 투여되는 단계다. 선정된 각 Protection Object에 대해 CSMS 프로세스가 생애주기 전반에 걸쳐 일관되게 적용되고 있는지 검증한다. 이 심사에서 Organizational Check의 기대치와 실제 상황 간의 차이가 있으면 부적합으로 식별된다.
샘플 심사에는 엔지니어링팀 팀원과의 인터뷰와 작업 결과물(Work Product) 검토가 포함된다. 즉 문서 검토에서 끝나지 않고 실제 프로젝트 담당자가 직접 질문에 답해야 한다.
Phase 3에서 확인하는 흐름 — VCSA 챕터 기반
1
TARA 검증 (Ch.3, Ch.5) — 선정된 Protection Object의 TARA가 존재하는지, R155 Annex 5가 반영됐는지, 논리적 연결성이 있는지를 확인한다. "이 자산은 어떻게 정의했는가", "이 공격 경로는 어떤 근거로 도출했는가" 같은 질문이 나온다.
2
추적성 확인 (Ch.5) — TARA → Cybersecurity Goal → Requirement → 아키텍처 할당 체인이 끊기지 않는지 확인한다. 특정 위협 시나리오를 골라 이 체인을 끝까지 따라가는 방식으로 진행될 수 있다.
3
Verification / Validation 확인 (Ch.5) — WP-10(Verification Report)과 WP-11(Validation Report)이 존재하고 실질적인 내용을 담고 있는지 확인한다. "이 요구사항은 어떻게 검증했는가"를 답할 수 있어야 한다.
4
공급망 관리 확인 (Ch.8) — CIAD 존재 여부, 공급사 사이버보안 역량 평가 기록, 사이버보안 요구사항 소통 기록을 확인한다.
5
취약점 모니터링 확인 (Ch.9) — WP-08 시리즈(정보 소스, 트리거, 이벤트 기록, 취약점 분석)가 실제로 운영되고 있는지 수행 기록을 확인한다.
심사 결과 — 3가지 판정
심사기관은 Phase 3까지 완료되면 Audit Report를 작성한다. ENX VCS의 심사 결과는 ENX Portal 공식 FAQ와 등록 가이드에 명시된 내용을 기반으로 세 가지로 나뉜다.
CASE 1
Conform
전체 적합 판정. 모든 Control Question에서 부적합이 없는 경우.
→ 정식 ENX VCS 라벨 즉시 발급
CASE 2
Minor Non-Conform
경미한 부적합. 임시 라벨의 전제 조건은 "minor non-conform" 결과를 받은 시정조치 계획 감사 보고서다.
→ 임시 라벨 + 시정조치 계획 제출
CASE 3
Major Non-Conform
Major Non-Conform
중대한 부적합. 즉각적인 위험을 제시하는 사항은 즉시 처리해야 하며 시정 후 재평가가 필요하다.
→ 라벨 발급 보류, 시정 후 재심사
ℹ️ 임시 라벨(Temporary Label) 유효기간 (ENX Portal 공식 FAQ 기반)
임시 VCS 라벨은 초기 심사 종료 회의(Closing Meeting)로부터 9개월 후 만료되며, 모든 부적합 사항이 해결될 때까지 유효하다. 시정조치가 완료되고 확인되면 정식 라벨로 전환된다.
임시 VCS 라벨은 초기 심사 종료 회의(Closing Meeting)로부터 9개월 후 만료되며, 모든 부적합 사항이 해결될 때까지 유효하다. 시정조치가 완료되고 확인되면 정식 라벨로 전환된다.
라벨 발급과 공유 메커니즘
심사기관이 결과를 ENX Portal에 업로드하면 ENX가 검토하고 라벨을 발급한다. 라벨을 받은 기업은 ENX Portal을 통해 OEM이나 비즈니스 파트너와 결과를 공유할 수 있다.
공유 수준은 기업이 직접 제어한다. TISAX와 동일한 구조로 세 가지 공유 레벨이 있다.
💡 ENX Portal을 통한 공유의 의미
OEM은 협력사에게 직접 인증서를 요청하거나 별도 심사를 진행하는 대신, ENX Portal에서 협력사의 VCS 라벨 상태를 확인할 수 있다. 이것이 ENX VCS가 "OEM마다 다른 심사 기준" 문제를 해결하는 핵심 메커니즘이다.
OEM은 협력사에게 직접 인증서를 요청하거나 별도 심사를 진행하는 대신, ENX Portal에서 협력사의 VCS 라벨 상태를 확인할 수 있다. 이것이 ENX VCS가 "OEM마다 다른 심사 기준" 문제를 해결하는 핵심 메커니즘이다.
라벨을 받은 이후 — 심사는 끝이 아니다
ENX VCS 라벨을 받았다고 모든 것이 끝나는 것이 아니다. ENX VCS는 운영형 관리 체계(CSMS)를 평가하는 것이기 때문에, 조직의 사이버보안 활동은 라벨 발급 이후에도 계속되어야 한다.
| 구분 | 내용 | 출처 |
|---|---|---|
| 라벨 유효기간 | 3년 (정식 라벨 기준). 만료 후 재심사 필요. | ENX Portal |
| 임시 라벨 | Minor Non-Conform 시 발급. 초기 심사 종료 회의로부터 최대 9개월 유효. | ENX Portal FAQ |
| 감시 심사 | ENX VCS는 TISAX와 달리 3년 유효기간 내 별도 Surveillance Audit(감시 심사)이 없다. 3년 후 재심사 구조. | DQS 공개 자료 |
| 라벨 이후 CSMS 유지 | 신규 프로젝트, 신규 취약점, 공급망 변경 등이 발생할 때마다 CSMS 프로세스를 지속 운영해야 한다. | VCSA Ch.9 요구사항 |
⚠️ Surveillance Audit 없다는 것의 의미
ISO 9001 같은 ISO 인증은 3년 주기 안에 연간 감시 심사(Surveillance Audit)가 있다. ENX VCS는 별도 감시 심사 없이 3년 후 재심사 구조로 운영된다. DQS 공개 자료 기반으로 확인된 사항이다. 다만 이는 3년 동안 CSMS를 방치해도 된다는 의미가 아니다 — VCSA Ch.9의 지속적 사이버보안 활동은 계속 수행되어야 하며, 재심사 시 그 이행 기록이 요구된다.
ISO 9001 같은 ISO 인증은 3년 주기 안에 연간 감시 심사(Surveillance Audit)가 있다. ENX VCS는 별도 감시 심사 없이 3년 후 재심사 구조로 운영된다. DQS 공개 자료 기반으로 확인된 사항이다. 다만 이는 3년 동안 CSMS를 방치해도 된다는 의미가 아니다 — VCSA Ch.9의 지속적 사이버보안 활동은 계속 수행되어야 하며, 재심사 시 그 이행 기록이 요구된다.
ENX VCS 전체 프로세스 한눈에 보기
ENX VCS 전체 프로세스 흐름 (ENX Portal 공식 자료 기반)
TISAX
라벨 확보
라벨 확보
→
ENX Portal
등록·Scope
생성
등록·Scope
생성
→
Self-
Assessment
수행
Assessment
수행
→
심사기관
선정·
Kick-off
선정·
Kick-off
→
초기 심사
3 Phase
3 Phase
→
라벨
발급·
공유
발급·
공유
초기 심사 3 Phase: Organizational Check → Protection Object 샘플 선정 → 샘플 심사 | 결과: Conform(정식 라벨) / Minor Non-Conform(임시 라벨, 9개월) / Major Non-Conform(재심사)
📋 공개 자료를 통해 파악한 실무 포인트
심사 규모는 조직에 따라 크게 달라진다 — ENX VCS 등록 가이드에 따르면 Protection Object 수, 조직 규모, 사업장 위치에 따라 심사팀 규모와 심사 일수가 달라진다. 단일 사업장의 중소 협력사와 글로벌 대형 Tier-1의 심사 규모는 완전히 다를 수 있다. 킥오프 미팅에서 이 부분을 심사기관과 명확히 협의하는 것이 중요하다.
Self-Assessment를 형식적으로 처리하면 킥오프 미팅에서 드러난다 — ENX Portal 안내에 따르면 Self-Assessment의 목적이 단순히 등록 완료가 아니라 "갭 식별 후 심사 전 해결"이다. 자체 평가를 솔직하게 수행해 갭을 파악하고 대응하는 것이 심사 준비의 시작점이다.
Phase 3에서 엔지니어링팀이 직접 인터뷰에 참여한다 — DQS 공개 자료에 따르면 샘플 심사에 엔지니어링팀과의 인터뷰가 포함된다. 보안팀 담당자만 준비하는 것이 아니라 실제 TARA 수행자, 요구사항 담당자, 검증 담당자가 질문에 답할 수 있어야 한다.
한국어 자료는 아직 부족하다 — ENX VCS 자체가 2024년 6월 공식 런칭된 새로운 체계라, 한국어로 된 심사 프로세스 세부 정보는 아직 많지 않다. 이 글에서 정리한 내용은 ENX Portal 공식 문서와 심사기관 공개 자료를 기반으로 한 것이다. 실제 심사 준비 단계에서는 선택한 심사기관과 직접 협의해 구체적인 절차를 확인하는 것이 필요하다.
ENX VCS 심사는 문서를 제출하는 자리가 아니다.
조직이 차량 사이버보안을 지속적으로 수행하고 있다는 것을 — 실제 프로젝트 기록을 통해 — 보여주는 자리다.
Organizational Check에서 거버넌스를 확인하고, 샘플 심사에서 그 거버넌스가 실제 프로젝트에서 작동하고 있는지를 확인한다. 두 단계가 일치할 때 라벨이 나온다.
핵심 요약
1
초기 심사는 3 Phase로 구성된다 — Organizational Check → Protection Object 샘플 선정 → 샘플 심사. ENX Portal 공식 명칭이다. "Stage 1/Stage 2"는 ISO 인증 용어다.
2
심사 전에 TISAX 라벨과 Self-Assessment가 먼저다 — 유효한 TISAX 라벨이 전제 조건이며, Self-Assessment를 통해 갭을 파악하고 심사 전에 대응해야 한다.
3
Phase 3에서 엔지니어링팀 인터뷰가 포함된다 — 보안팀만의 심사가 아니다. 실제 TARA 수행자, 요구사항 담당자, 검증 담당자가 질문에 답할 수 있어야 한다.
4
Minor Non-Conform이면 임시 라벨을 받는다 — 임시 라벨은 초기 심사 종료 회의로부터 최대 9개월 유효하며, 시정조치 완료 후 정식 라벨로 전환된다.
5
라벨 유효기간은 3년, 별도 감시 심사 없다 — ISO 인증과 달리 3년 내 감시 심사가 없다. 하지만 CSMS는 3년 내내 운영되어야 하며, 재심사 시 그 이행 기록이 요구된다.
반응형
'차량 사이버보안 > 규제 · 인증' 카테고리의 다른 글
| R155 했는데 ENX VCS도 해야 하나요? — ENX VCS와 CSMS 인증이 헷갈리는 이유 (0) | 2026.06.12 |
|---|---|
| 우리 회사는 ENX VCS 준비가 됐을까? — 협력사 Self Assessment 가이드 (0) | 2026.06.10 |
| 심사관은 어떤 증적을 요구할까? — ENX VCS Audit Evidence 완전 정리 (0) | 2026.06.09 |
| ENX VCSA Catalogue 완전 분석 — 9개 챕터 24개 Control Question을 직접 뜯어보면 (0) | 2026.06.09 |
| ENX VCS란 무엇일까?ISO/SAE 21434만으로는 부족했던 공급망 사이버보안 평가 (0) | 2026.06.09 |