규제 · 인증 — 실무 관점
실무에서 자주 나오는 말
"R155 대응도 벅찬데 ENX VCS도 따로 받아야 하나요?"
"결국 둘 다 CSMS 보는 거 아닌가요? 뭐가 다른 건지 모르겠어요."
"우리 회사는 OEM인데 ENX VCS가 필요한가요?"
"CSMS 인증 받으면 ENX VCS는 면제되는 건가요?"
R155 CSMS 인증과 ENX VCS — 둘 다 "CSMS"를 평가하고, 둘 다 ISO/SAE 21434를 기반으로 한다. 그러니 헷갈릴 수밖에 없다.
하지만 이 두 체계는 경쟁 관계가 아니다. 누가 누구에게 무엇을 증명하는가가 완전히 다르다.
하지만 이 두 체계는 경쟁 관계가 아니다. 누가 누구에게 무엇을 증명하는가가 완전히 다르다.
결론부터 — 한 문장으로
💡 R155 CSMS 인증은 OEM이 정부(형식승인 기관)에게 "우리 회사가 차량 사이버보안을 관리한다"고 증명하는 체계다.
ENX VCS는 협력사(Tier 1·2)가 OEM에게 "우리 회사가 납품하는 제품의 사이버보안을 관리한다"고 증명하는 체계다.
증명 방향이 다르다. 그래서 대상도 다르고, 필요한 상황도 다르다.
ENX VCS는 협력사(Tier 1·2)가 OEM에게 "우리 회사가 납품하는 제품의 사이버보안을 관리한다"고 증명하는 체계다.
증명 방향이 다르다. 그래서 대상도 다르고, 필요한 상황도 다르다.
왜 헷갈리는가 — 둘 다 같은 것을 본다
이 두 체계가 헷갈리는 가장 큰 이유는 평가 내용이 비슷하기 때문이다. 둘 다 이것들을 확인한다.
R155 CSMS가 보는 것
OEM의 CSMS 운영 역량
TARA 수행 체계
보안 요구사항 관리
취약점 모니터링·대응
공급망 사이버보안 관리
사고 대응 체계
ENX VCS가 보는 것
협력사의 V-CSMS 운영 역량
TARA 수행 체계
보안 요구사항 관리
취약점 모니터링·대응
공급망 사이버보안 관리
사고 대응 체계
내용이 거의 같다. ISO/SAE 21434를 기반으로 하기 때문이다. 차이는 이 체계를 누가 누구에게 증명하느냐에 있다.
R155 CSMS — OEM이 정부에 보여주는 것
UNECE R155는 차량 형식승인을 위한 규정이다. 유럽을 비롯한 R155 적용 국가에서 신규 차량 모델이 판매 허가를 받으려면 OEM이 CSMS를 운영하고 있다는 것을 증명해야 한다.
R155 CSMS 인증 흐름
UNECE R155
법규 요구
법규 요구
→
OEM
CSMS 수립·운영
CSMS 수립·운영
→
형식승인기관
심사
심사
→
CSMS 인증
→ VTA 가능
→ VTA 가능
증명 방향: OEM → 정부(형식승인기관) / 목적: 차량 판매 허가 / 법적 의무: 있음
핵심은 법적 의무라는 점이다. R155 적용 국가에서 OEM은 CSMS 없이는 신규 차량을 판매할 수 없다. 협력사는 이 CSMS 인증의 직접적인 대상이 아니다. 다만 R155는 OEM에게 "공급망의 사이버보안 리스크도 관리하라"고 요구하기 때문에, OEM이 협력사에게 보안 역량을 요구하는 근거가 된다.
ℹ️ 한국의 경우
한국은 자동차 사이버보안 인증제도 가이드라인을 개발 중이다. 국토교통부·자동차안전연구원(KATRI)이 R155를 기반으로 국내 형식승인 체계를 구축하고 있으며, OEM을 주요 대상으로 한다.
한국은 자동차 사이버보안 인증제도 가이드라인을 개발 중이다. 국토교통부·자동차안전연구원(KATRI)이 R155를 기반으로 국내 형식승인 체계를 구축하고 있으며, OEM을 주요 대상으로 한다.
ENX VCS — 협력사가 OEM에 보여주는 것
OEM이 CSMS 인증을 받고 나면 새로운 문제가 생긴다. R155는 OEM이 공급망 사이버보안 리스크를 관리해야 한다고 요구하는데, 수백 개 협력사의 보안 역량을 OEM이 각자 다른 기준으로 평가하는 것은 비효율적이다.
ENX VCS가 등장한 배경
R155
공급망 관리
OEM 책임
공급망 관리
OEM 책임
→
OEM마다
다른 기준으로
협력사 평가
다른 기준으로
협력사 평가
→
협력사
중복 심사
비효율
중복 심사
비효율
→
ENX VCS
공통 기준
표준화
공통 기준
표준화
증명 방향: 협력사 → OEM / 목적: 공급망 보안 역량 증명 / 법적 의무: 없음 (업계 표준화 흐름)
ENX VCS는 이 문제를 해결하기 위해 만들어졌다. ISO/PAS 5112의 감사 방법론을 기반으로 공통 심사 기준(VCSA)을 만들고, 협력사가 한 번 심사를 받으면 ENX Portal을 통해 여러 OEM에 결과를 공유할 수 있도록 했다.
❌ CSMS 인증을 받으면 ENX VCS는 필요 없다
✅ CSMS 인증과 ENX VCS는 증명 방향과 대상이 다른 별개의 체계다
R155 CSMS 인증은 OEM이 정부에 받는 것이고, ENX VCS는 협력사가 OEM에 받는 것이다. OEM이 CSMS 인증을 받았다고 협력사의 ENX VCS 필요성이 없어지지 않는다. 반대로 협력사가 ENX VCS를 받았다고 OEM의 CSMS 인증 의무가 면제되지 않는다.
한 장으로 끝내는 비교표
| 구분 | R155 CSMS 인증 | ENX VCS |
|---|---|---|
| 증명 주체 | OEM (차량 제조사) | 협력사 (Tier 1·2) |
| 증명 대상 | 정부 (형식승인 기관) | OEM (발주처) |
| 법적 의무 | 있음 — R155 적용 국가에서 신규 차량 판매 필수 | 없음 — 업계 표준화 흐름, OEM 계약 요건으로 확산 중 |
| 평가 기준 | UNECE R155 + ISO/SAE 21434 | VCSA 1.1 (ISO/SAE 21434 + ISO/PAS 5112) |
| 결과물 | CSMS 인증서 → 차량 형식승인(VTA) 가능 | ENX VCS 라벨 → ENX Portal에서 OEM과 공유 |
| 확인 주체 | 각국 형식승인 기관 | ENX 승인 심사기관 (TÜV, DEKRA, DQS 등) |
| 주요 적용 범위 | 차량 개발·판매 전 단계 | 개발·생산·운영·유지보수 단계별 선택 적용 |
| 표준 상위 구조 | R155 → 21434 | R155 → 21434 → ISO/PAS 5112 → ENX VCS |
그래서 협력사에게 진짜 중요한 것은
"R155냐 ENX VCS냐"보다 더 근본적인 질문이 있다. 협력사 입장에서 실제로 중요한 것은 이것이다.
협력사 관점에서 정리
1
R155는 직접 적용 대상이 아닌 경우가 많다 — R155는 OEM에게 CSMS를 요구하는 법규다. 협력사는 R155의 직접 적용 대상이 아니다. 다만 OEM이 공급망 보안을 관리해야 하므로, 협력사에게 보안 역량 증명을 요구하게 된다.
2
ENX VCS는 그 요구에 표준화된 방식으로 답하는 수단이다 — OEM마다 다른 기준으로 평가받는 대신, ENX VCS 라벨 하나로 여러 OEM에 공유할 수 있다. TISAX가 정보보안 분야에서 그랬던 것처럼.
3
결국 핵심은 역량이다 — R155냐 ENX VCS냐의 구분보다, OEM이 요구하는 사이버보안 관리 역량을 실제로 갖추고 있는가가 본질이다. 인증은 그 역량을 증명하는 수단이지 목적이 아니다.
✅ 협력사 실무 판단 기준
유럽 OEM(BMW, VW, Mercedes 등)에 E/E 컴포넌트를 납품하거나 납품 예정이라면 → ENX VCS 준비를 검토할 시점
국내 OEM 위주라면 → 아직 ENX VCS 의무 요건이 많지 않지만, 국내에도 유사한 공급망 평가 체계 확산 가능성이 있음
두 경우 모두 → ISO/SAE 21434 기반의 CSMS를 제대로 운영하는 것이 공통 출발점
유럽 OEM(BMW, VW, Mercedes 등)에 E/E 컴포넌트를 납품하거나 납품 예정이라면 → ENX VCS 준비를 검토할 시점
국내 OEM 위주라면 → 아직 ENX VCS 의무 요건이 많지 않지만, 국내에도 유사한 공급망 평가 체계 확산 가능성이 있음
두 경우 모두 → ISO/SAE 21434 기반의 CSMS를 제대로 운영하는 것이 공통 출발점
표준 계층으로 보면 관계가 명확해진다
R155부터 ENX VCS까지 계층 구조
UNECE R155
법규
"무엇을 요구하나"
법규
"무엇을 요구하나"
→
ISO/SAE 21434
표준
"어떻게 하나"
표준
"어떻게 하나"
→
ISO/PAS 5112
심사 가이드
"어떻게 감사하나"
심사 가이드
"어떻게 감사하나"
→
ENX VCS
공급망 인증
"어떻게 증명하나"
공급망 인증
"어떻게 증명하나"
R155 CSMS 인증은 이 계층의 왼쪽(R155 + 21434) 준수를 정부가 확인하는 것. ENX VCS는 이 계층 전체를 기반으로 공급망에서 표준화된 방식으로 운영하는 것.
🔧 현업에서 느끼는 변화들
협력사들이 혼란스러워하는 가장 큰 이유는 용어 때문이다 — R155도 "CSMS", ENX VCS도 "V-CSMS"라는 용어를 쓴다. 내용도 겹친다. 그런데 목적과 대상이 다르다. 이 구분이 처음에 명확하지 않으면 "우리는 이미 CSMS 했으니 VCS는 필요 없다"는 오해가 생긴다.
OEM의 협력사 평가 방식이 표준화되는 흐름이다 — 예전에는 OEM마다 자체 양식의 사이버보안 역량 질문지를 협력사에 보냈다. ENX VCS가 확산되면 협력사는 하나의 심사로 여러 OEM 요구에 답할 수 있게 된다. TISAX가 정보보안 분야에서 걸어온 길이다.
"한국 협력사는 아직 상관없다"는 인식이 바뀌고 있다 — 유럽 OEM 수출 비중이 있는 국내 Tier 1 협력사들이 ENX VCS 요건을 계약서에서 접하기 시작했다. 현대모비스가 2024년 9월 아시아 최초로 VCS 라벨을 취득한 것도 이 흐름의 일부다.
R155는 OEM이 정부에게 보여주는 체계이고,
ENX VCS는 협력사가 OEM에게 보여주는 체계다.
이 한 문장만 이해해도 두 체계의 관계는 거의 정리된다.
둘은 경쟁 관계가 아니다. 같은 공급망에서 서로 다른 방향을 바라보고 있다.
핵심 요약
1
증명 방향이 다르다 — R155 CSMS는 OEM→정부, ENX VCS는 협력사→OEM. 대상이 다르기 때문에 둘 다 받아야 하는 상황이 생긴다.
2
헷갈리는 이유는 내용이 겹치기 때문이다 — 둘 다 TARA, 보안 요구사항, 취약점 관리, 공급망 관리를 본다. ISO/SAE 21434를 기반으로 하기 때문이다.
3
R155는 협력사에게 직접 적용되지 않는다 — R155는 OEM 의무다. 협력사는 OEM이 공급망 관리를 위해 요구하는 방식으로 간접적으로 영향을 받는다.
4
ENX VCS는 R155 이후 공급망 평가를 표준화한 것이다 — OEM마다 다른 기준으로 협력사를 평가하는 비효율을 줄이기 위해 만들어졌다.
5
협력사에게 중요한 것은 역량이다 — 어떤 인증을 받느냐보다, OEM이 요구하는 사이버보안 관리 역량을 실제로 갖추는 것이 본질이다.
반응형
'차량 사이버보안 > 규제 · 인증' 카테고리의 다른 글
| 자동차 사이버보안 규제 일정 총정리 — 2020년부터 2030년까지 (0) | 2026.06.16 |
|---|---|
| 우리 회사는 ENX VCS 준비가 됐을까? — 협력사 Self Assessment 가이드 (0) | 2026.06.10 |
| ENX VCS 심사는 어떻게 진행될까? — Organizational Check부터 라벨 발급까지 (1) | 2026.06.10 |
| 심사관은 어떤 증적을 요구할까? — ENX VCS Audit Evidence 완전 정리 (0) | 2026.06.09 |
| ENX VCSA Catalogue 완전 분석 — 9개 챕터 24개 Control Question을 직접 뜯어보면 (0) | 2026.06.09 |