자동차 사이버보안 규제 일정 총정리 — 2020년부터 2030년까지

규제 · 인증 — 법규 일정

규제 일정 이야기할 때 자주 나오는 말

"R155는 2024년에 다 끝난 거 아닌가요? 이제 뭘 더 준비해야 하나요?"

"CRA가 자동차랑 관계있는 건가요? 차량은 R155가 있잖아요."

"ENX VCS, NIS2, Data Act가 각각 언제부터 적용되는지 헷갈려요."

"이륜차는 R155 대상인가요, 아닌가요?"

자동차 사이버보안은 더 이상 기술 문제만이 아니다. 언제까지 무엇을 준비해야 하는가가 현장에서 더 중요한 질문이 됐다.

2020년부터 2030년까지의 주요 법규·표준 마일스톤을 한 곳에 정리했다. 발효 시점은 공식 문서를 기반으로 확인했다.

ℹ️ 이 글의 출처와 한계

각 발효 시점은 UNECE 공식 문서, EU 집행위원회 공식 페이지, 유럽 의회 입법 텍스트를 기반으로 확인했다. 단, 일부 규제(NIS2 각국 이행, 한국 자동차관리법 개정 세부 내용 등)는 시행 세부 사항이 변경될 수 있다. 이 글은 참고용으로 사용하고 중요한 의사결정 전에는 원문을 직접 확인하길 권장한다.

---

2020~2030 주요 마일스톤 타임라인

2020

UNECE R155 채택

WP.29에서 R155(차량 사이버보안) 및 R156(소프트웨어 업데이트 관리) 최초 채택. 법규로서의 CSMS 개념이 자동차 업계에 공식 도입됐다.

완료

2021.01

R155 발효

채택국에서 R155 법규가 공식 발효. 유럽연합, 일본, 한국 등이 채택. 차량 형식승인과 CSMS 연동 요구가 시작됐다.

완료

2021.08

ISO/SAE 21434 발행

차량 사이버보안 엔지니어링 국제표준 공식 발행. R155의 기술적 근거가 되는 표준으로, TARA·CSMS·공급망 보안의 방법론을 정의한다.

완료

2022.07

R155 신규 차종 형식승인 의무화

EU 등 채택국에서 신규 형식승인 차량은 R155 준수 필수. OEM들이 CSMS 구축에 본격적으로 투자하기 시작한 시점이다.

완료

2024.07

R155 전 차종 의무화

신규 형식승인 차량뿐 아니라 기존 차종 포함 모든 신규 생산 차량에 R155 적용. 이 시점 이후 생산되는 모든 차량은 R155 요건을 충족해야 한다. 일부 OEM이 R155 준수 어려움을 이유로 특정 모델을 단종한 것으로 알려졌다.

완료

2024.06

ENX VCS 공식 런칭

ISO/SAE 21434 + ISO/PAS 5112 기반 공급망 통합 심사 체계 공식 운영 시작. BSI, DEKRA, DQS, SGS-TÜV Saar, TÜV NORD, TÜV SÜD 6개 심사기관 참여. 현대모비스가 2024년 9월 아시아 최초 VCS 라벨 취득.

완료

2024.10

EU Data Act 발효

커넥티드 제품이 생성하는 데이터의 공정한 접근·공유를 규정하는 EU 법규 발효. 차량 소유자가 OEM을 거치지 않고 제3자에게 차량 데이터 제공을 요청할 수 있는 권리가 인정됐다. ExVe 구조와의 긴장 관계가 시작된 시점이기도 하다.

완료

2024.12

EU CRA 발효 (Cyber Resilience Act)

디지털 요소를 포함한 제품의 사이버보안을 규정하는 EU CRA(Regulation 2024/2847) 발효. 전면 적용은 2027년 12월이지만, 이 시점부터 준비 의무가 시작됐다. 단, 차량은 R155가 적용되는 영역이 일부 CRA 적용 제외 가능성이 있어 세부 확인 필요.

완료

2026.06

현재 시점

CRA 취약점 보고 의무 시작(9월)까지 약 3개월. 유럽 시장에 제품을 공급하는 기업은 지금 준비를 완료해야 한다.

NOW

2026.09.11

CRA 취약점·사고 보고 의무 시작 ⚠️

CRA Article 14 적용. EU 시장에 제품을 출시하는 제조사는 적극적으로 악용되는 취약점(actively exploited vulnerabilities)과 심각한 보안 사고를 ENISA에 보고해야 한다. 최초 인지 후 24시간 내 조기 경보, 72시간 내 공식 통보. 전면 적용(2027년 12월) 이전이지만 이 조항은 먼저 시작된다. EU 시장의 기존 제품에도 적용.

D-87

2026

NIS2 각국 이행 본격화

EU NIS2 지침(2022/2555)의 각 회원국 국내법 전환 이행. 중요 인프라 및 공급망 사이버보안 강화. 자동차 OEM의 공급망이 NIS2 의무 범위에 포함될 수 있다.

진행 중

2027.12.11

CRA 전면 적용

CRA 모든 요구사항 적용. 디지털 요소를 포함한 제품 설계·개발·유지보수 의무, 적합성 평가(Conformity Assessment), CE 마킹 요건. 공급망 보안 의무 포함. EU 시장에 제품을 납품하는 Tier 1·2 협력사에게도 직접 영향을 미친다.

예정

2027.12

R155 L-category 신규 차종 적용

이륜차(오토바이, 스쿠터), 전동 자전거 등 Category L 신규 차종의 형식승인에 R155 CSMS 증거 요구 시작. EU Delegated Regulation (EU) 2025/1455 기반. ECU를 탑재한 사실상 모든 현대 이륜차가 대상이다.

예정

2029.06

R155 L-category 기존 차종까지 확대

신규 차종에 이어 기존 차종(Existing Vehicle Types)까지 R155 전면 적합 의무화. 이륜차 OEM 입장에서는 이 시점이 실질적 완전 적용 시점이다.

예정

---

자동차 사이버보안 규제의 3단계 — 무엇이 변하고 있는가

2020년부터 지금까지의 규제 흐름을 보면 패턴이 있다. 크게 세 번의 물결로 이해할 수 있다.

1단계 · 2021~2024

차량 자체 보안

차량을 안전하게 만들었는가?

UNECE R155 / R156 / ISO/SAE 21434

TARA · Secure Boot · CSMS · OTA · Type Approval

2단계 · 2024~2027

공급망 보안

협력사도 안전한가?

ENX VCS / EU CRA / NIS2

SBOM · OSS 취약점 관리 · 공급망 리스크 · Supplier Assessment

3단계 · 2025 이후

데이터 보안

차량 데이터는 누구의 것인가?

Data Act / AI Act / ExVe 논쟁

Data Sharing · OEM Backend · Privacy · Cloud Security

1단계에서 핵심 질문은 "차량을 해킹당하지 않게 만들었는가"였다. 2단계는 "협력사를 포함한 공급망 전체가 안전한가"로 확장됐다. 3단계는 "안전하게 만든 차량이 생성하는 데이터를 어떻게 관리하고 누가 접근할 수 있는가"로 이동하고 있다. 이 세 단계가 지금 동시에 진행 중이다.

---

지금 당장 가장 중요한 것 — CRA 2026년 9월

⚠️ 2026년 9월 11일 — 87일 후 (기준일: 2026.06.16)

EU CRA Article 14 취약점·사고 보고 의무가 시작된다. EU 시장에 디지털 요소를 포함한 제품을 공급하는 제조사는 이 날짜부터 적극적으로 악용되는 취약점과 심각한 보안 사고를 ENISA에 보고해야 한다.

중요한 것은 이 의무가 2027년 12월 전면 적용 이전에 먼저 시작된다는 점, 그리고 이미 EU 시장에 출시된 기존 제품에도 적용된다는 점이다 (CRA Article 69(3)).

보고 절차: 인지 후 24시간 내 조기 경보 → 72시간 내 공식 통보 → 시정 조치 가용 후 14일 내 최종 보고 (취약점) / 1개월 내 최종 보고 (사고)

---

국내 기업 관점 — 실무적으로 중요한 일정

2024.07 ✓

R155 전 차종 의무화

EU·일본 등 채택국 기준. 이미 지났지만 이 시점 이후 생산 차량의 CSMS 준수 여부가 형식승인 조건임을 확인해야 한다.

2026.09.11 ⚠️ D-87

CRA 취약점 보고 의무 시작

EU 시장에 제품을 납품하는 한국 기업(ECU·소프트웨어 포함)이 대상. 지금 당장 프로세스 구축 필요.

2027.12

CRA 전면 적용

제품 설계·개발·유지보수 전반에 CRA 요구사항 적용. EU 납품 Tier 1·2 협력사에 직접 영향.

2027.12 / 2029.06

R155 이륜차 확대

신규 차종 2027년 12월, 기존 차종 2029년 6월. 이륜차 OEM·부품사는 지금부터 CSMS 준비 필요.

💡 CRA가 자동차에 어떻게 적용되는지 주의할 점

CRA 공식 문서(BSI 등)에는 "차량(vehicles)"이 CRA 적용 제외 섹터로 명시되어 있다. 다만 이 제외는 차량 자체(the vehicle)에 해당하며, 차량용 ECU 소프트웨어·부품 자체가 EU 시장에 별도로 납품되는 경우 CRA 적용 가능성이 있다. 세부 적용 범위는 법무·컴플라이언스 팀과 함께 확인해야 한다.

---

법규 간 관계 — 전체 지형도

법규·표준	누가 대상	무엇을 요구	핵심 시점
UNECE R155	OEM (차량 제조사)	CSMS 운영 + 차량 형식승인	2024.07 전 차종 의무화
ISO/SAE 21434	OEM + 협력사	사이버보안 엔지니어링 방법론	2021.08 발행, R155 기술 기반
ENX VCS	Tier 1·2 협력사	V-CSMS 독립 심사 + 라벨	2024.06 런칭, 확산 중
EU CRA	디지털 요소 포함 제품 제조사	제품 사이버보안 + 취약점 보고	2026.09 보고 의무 / 2027.12 전면
EU Data Act	커넥티드 제품 제조사·OEM	사용자의 차량 데이터 접근 보장	2024.10 발효, 2025.09 완전 적용
NIS2	중요 인프라·공급망	사이버보안 관리 + 사고 보고	각 회원국 국내법 전환 진행 중

---

자동차 사이버보안 규제는 처음에 "차량을 안전하게 만들어라"에서 시작했다.

지금은 "취약점이 발견됐을 때 24시간 내에 보고하라"로 바뀌고 있다.

규제의 관심이 '개발 단계'에서 '운영 단계'로, '차량 내부'에서 '공급망·데이터'로 이동하고 있다.

핵심 요약

1

지금 가장 급한 것은 CRA 2026년 9월 11일 — EU 시장 제품의 취약점·사고 보고 의무 시작. 87일 남았다. 지금 프로세스를 구축해야 한다.

2

R155 이륜차 확대는 2027년 12월(신규)·2029년 6월(기존) — "2029년 7월"로 단순화된 설명은 정확하지 않다. 두 단계가 있다.

3

규제는 3단계로 진화하고 있다 — 차량 보안(R155·21434) → 공급망 보안(ENX VCS·CRA·NIS2) → 데이터 보안(Data Act·AI Act). 지금 이 세 단계가 동시에 진행 중이다.

4

CRA의 차량 적용 범위는 세부 확인이 필요하다 — 차량 자체는 CRA 적용 제외이지만 차량용 부품·소프트웨어가 별도 납품되는 경우 다를 수 있다.

5

규제의 방향은 '개발 완료'에서 '운영·유지'로 이동하고 있다 — 취약점 보고 의무, OTA 패치 체계, 사고 대응이 이제 법적 의무가 됐다.

UNECE_R155 ISO/SAE21434 CyberResilienceAct ENX_VCS DataAct NIS2 자동차사이버보안규제 CSMS 규제마일스톤 이륜차R155 차량형식승인