AMD와 함께 EU 사이버복원력법 대비하기
EU의 사이버복원력법(Cyber Resilience Act, EU CRA)은 점점 더 디지털화되는 환경에서 제품에 대한 사이버 보안 요구 사항을 확립하는 데 있어 중요한 진전을 보여줍니다. AMD는 고성능 컴퓨팅 분야의 선두 주자로서 사이버 보안을 강화하는 동시에 혁신을 지원하는 요구 사항을 형성하기 위해 표준화 프로세스에 적극적으로 참여하고 있습니다.
AMD는 EU 사이버복원력법(CRA)의 모든 적용 가능한 요구 사항을 충족하고 EU에서 운영하는 고객이 CRA 호환 AMD 기술을 배포할 수 있도록 최선을 다하고 있습니다. AMD는 안전한 제품 설계, 취약점 관리 및 규정 준수 프로세스에 대한 지속적인 투자를 통해 CRA의 요구 사항을 충족할 수 있습니다.
EU CRA란?
CRA는 디지털 구성 요소가 포함된 제품의 제조업체 및 소매업체에 필수 사이버 보안 요구 사항을 적용하여 소비자 및 비즈니스를 보호하는 것을 목표로 하고 있습니다. 이러한 보호는 제품의 수명 주기 내내 연장되며, 기존 규정이 이미 적용되는 제품에 대해서는 특정 예외가 적용됩니다.
CRA는 보안 관련 기능을 갖춘 마이크로프로세서 및 FPGA는 물론 서버, 노트북, 임베디드 및 소비자 장치와 같은 최종 제품에도 직접 적용됩니다.
주요 타임라인
규정 준수 경로
CRA에 따른 규정 준수는 EU에서 사업을 운영하는 모든 기업에 매우 중요합니다. 이는 EU 시장에 대한 법적 접근을 보장하고 제품 수명 주기 전반에 걸쳐 사이버 보안에 대한 강한 의지를 입증함으로써 고객과의 신뢰를 구축할 수 있기 때문입니다. CRA는 위험에 기반한 법률이므로 첫 번째로 제품에 대한 위험 평가를 수행해야 합니다. 위험 평가를 통해 제품에 적용될 수 있는 위협을 파악함으로써 규정 준수를 위해 충족해야 하는 사이버 보안 요구 사항을 이해할 수 있습니다.
규정 준수 경로는 위험 평가 결과에 따라 달라집니다. AMD 제품 보안 프로세스, 설명서 및 공개 방식은 CRA 위험 평가를 보완하기 위해 설계되었습니다.
CRA가 적용되는 환경에서 혁신을 가능하게 하는 AMD의 접근 방식은 다음과 같은 세 가지 요소로 구성됩니다.
규정 준수
AMD 고객은 EU 규제 시장에서 업계 최고의 AMD 제품을 자신 있게 배포할 수 있습니다.
기능
최첨단 보안 기능을 활용할 수 있어 가장 중요한 애플리케이션도 기능이 강화됩니다.
커뮤니케이션
AMD는 장기적인 설명서 및 취약점 보고를 통해 고객에게 정보를 제공합니다.
규정 준수
CRA에 따른 AMD 제품 규정 준수
CRA가 적용되는 환경에서 제품은 사이버 보안 관련 기능 또는 해당 제품에 의해 발생하는 사이버 보안 위험의 기능 및 수준에 근거하여 분류됩니다. 이 분류는 제조업체가 규정을 준수하기 위해 수행해야 하는 단계를 결정합니다. AMD 제품은 현재 CRA 프레임워크를 기준으로 다음 범주에 속할 것으로 예상됩니다.
- 기본: 대부분의 AMD 표준 개발 도구
- 1등급(중요):
- 보안 기능을 갖춘 프로세서 및 FPGA
- 특정 임베디드 솔루션 및 보안 핵심 소프트웨어 구성 요소
CRA 내의 특정 수직 표준은 여전히 표준 기관에서 최종 확정을 위해 협의하고 있습니다. AMD는 이러한 개발에 적극적으로 참여하고 있으며 최종 기준이 발표되는 즉시 지침을 업데이트할 예정입니다. AMD는 이러한 분류에 따라 필요한 모든 CRA 규칙 및 규정을 준수하여, 고객의 구축을 위한 기반이 되는 규정 준수 제품을 제공합니다.
기능
AMD 제품을 통해 활용할 수 있는 최첨단 보안 기능
시스템 보호를 극대화하려면 제품 수명 주기 전반에 걸쳐 보안을 고려해야 합니다. 예를 들어 안전하게 부팅되지 않는 디바이스에 배포된 내결함성 애플리케이션 수준 보안 솔루션을 개발하는 것은 모래 위에 집을 짓는 것과 같습니다. AMD와 모든 고객은 별도의 역할에 따라 보안을 해결하는 시스템을 설계합니다. 또한 충분한 시간, 에너지, 자원, 돈을 투입해도 어떤 시스템도 공격으로부터 완전히 자유롭지 않으며 어느 시스템이든 공격을 받을 수 있다는 것을 인식하는 것이 중요합니다. 보안은 위험 관리와 고객이 위험을 관리하기 위해 얼마나 많은 투자를 원하는지가 핵심입니다.
AMD는 실리콘, 소프트웨어 및 개발 도구의 신뢰성을 확립하기 위해 세계적 수준의 모범 사례를 채택하고 있습니다. 수많은 공격 벡터로부터 보호하는 데 도움이 되도록 설계된 대응책은 실리콘에 통합되어 있습니다. AMD 제품의 보안 부팅 또는 구성에는 정통성, 기밀성, 무결성이 내장된 하드웨어 신뢰 루트가 사용됩니다.
앞으로 CRA에 따라 확립된 특정 설계 요구 사항이 AMD 설계 방법론에 통합될 것입니다. 특정 AMD 보안 기술에 대한 자세한 내용은 현지 AMD 영업 담당자에게 문의하십시오.
커뮤니케이션
문서
제품 수명 주기 전반에 걸쳐 보안을 극대화하기 위해 CRA는 위험 평가, EU 적합성 선언, 소프트웨어 자재 명세서(Software Bill of Materials, SBOM) 및 지원 기간 정보를 포함한 여러 가지 주요 측면에 대한 문서를 필수 요건으로 두고 있으며, 이를 기준으로 공급업체는 CRA 규정 준수를 유지할 최소 기간을 설정할 수 있습니다. AMD는 현재 CRA의 문서화 요구 사항을 준수하기 위해 잘 확립된 기존 프로세스를 검토하고 있습니다.
취약점 보고
CVE Numbering Authority(CNA) 회원인 AMD는 이미 조정된 취약점 공개 방식을 따르고 있으며 보고된 문제에 신속하고 적절하게 대응하기 위해 노력하고 있습니다. AMD는 이 검증된 전문 지식을 활용하여 CRA의 특정 취약점 관리 요구 사항을 준수할 것입니다. 자세한 내용은 AMD 제품 보안을 참조하십시오.
AMD의 약속
만약 지금까지 제품 요구 사항에서 사이버 보안을 고려하지 않았다면, 이 새로운 법안이 새로운 과제가 될 수 있습니다. 50년 이상 중요한 애플리케이션을 제공해온 AMD는 CRA 요구 사항을 충족하는 기술을 제공하여 이러한 변화를 헤쳐 나가는 데 도움이 되는 전문성을 보유하고 있습니다.
