안전, 보안 및 AI의 측면에서 글로벌 법률 프레임워크는 필수입니다.

Thomas Pilz, 매니징 파트너, Pilz GmbH & Co. KG

(발표 전 확인 필요)

우리 모두 CE 마크를 압니다. 전자 제품, 장난감, 가정용품 등에서 볼 수 있고 당연히 공장이나 기계류에서도 볼 수 있습니다. CE는 “Conformité Européenne”의 두문자어입니다. CE 마크는 유럽 경제 지역(EU 및 EFTA) 내 시장에 내놓는 제품이 필수 건강, 안전, 환경 요구사항을 충족함을 나타내는 인장의 역할을 합니다. 제품을 시장에 내놓는 사람은 이 마크를 붙임으로써 자신들이 EU 내 제품의 안전에 관해 적용되는 법적 요구사항을 준수하였음을 보여줍니다. EU 지침이 적용되는 모든 제품에는 지난 30년 간 EC 적합성 선언이 요구되어 왔습니다.

이들 지침에는 1995년부터 의무사항이었던 기계류 지침도 포함됩니다. 이 지침은 인간과 기계의 상호작용을 위한 규격화된 건강 및 안전 요구사항을 명시하며, 기계류 안전에 관한 각종 국가별 규정을 대체합니다.

CE 성공 모델
처음에는 기업에게 중요한 도전 과제였던 것이 이제는 모든 사람이 필요로 하는 것이 되었습니다. CE 마킹 및 기계류 지침은 제조업체와 사용자 간에 투명성과 신뢰를 형성합니다. 따라서 이는 성공 스토리라고 볼 수 있습니다. 세계 다른 여러 지역에서 이는 기계류 안전 관련 법적 프레임워크를 구축하기 위한 모델의 역할을 해왔고 지금도 그러한 역할을 하고 있습니다.

예를 들어 브라질의 경우, 2010년 이후로 기계류 및 작업 장비에 대한 최소 안전 요구사항을 규정하는 국내법이 있어 왔으며, 그 법은 바로 Norma Regulamentadora 12 (NR-12) – MÁQUINAS E EQUIPAMENTO입니다. 가능한 부분이면 어디든지 기계류 지침 부록 I의 안전 요구사항을 사실상 채택했고, 여기에는 특정 유형의 기계류에 대한 개별 특수 요구사항도 포함됩니다. 이것이 바로 유럽에서 이 법이 "브라질 기계류 지침"이라고 불리기도 하는 이유입니다.

기계류 안전에 대한 인도의 최초 법적 프레임워크
세계에서 경제가 가장 빠르게 성장하고 있는 인도도 이제 기계류 안전에 대한 법적 프레임워크를 채택하고 있습니다. 인도 중공업 부처(Ministry of Heavy Industries)는 두 가지 관련 규정을 발행했습니다. 옴니버스 기술 규정(Omnibus Technical Regulations)은 다양한 유형의 기계류와 전기 장비에 대한 안전 요구사항을 규정합니다. 이 규정은 안전 규격을 충족한 후에만 이러한 기계들을 인도 시장에 내놓을 수 있도록 보장합니다.
유럽과 마찬가지로, 의무 인증들과 적합성 마크가 있습니다. 인도의 새로운 요구사항 대부분은 기존 국제 규격에 맞춰 규정되어 있습니다.

인도에 수출하려는 기업은 누구나 인도에 소재한 공인 대리인을 지명해야 합니다. 필츠의 인도 지사는 기업이 이러한 요구사항을 충족하고 인도에 수출할 수 있도록 도움을 제공합니다. Pilz India의 직원은 또한 인도 규격 사무국(Bureau of Indian Standards)의 관련 위원회에도 참여합니다.

기계류 안전이라는 주제는 확실히 인도에서 계속 개선되어 나갈 것입니다. 그러나 우리가 확신을 가지고 말할 수 있는 것은 미래에는 규정을 준수하지 않는 기계류나 제품(다시 말해, 인도 CE 마크가 없는 기계류나 제품)을 인도에 수입하는 것이 불가능하리라는 점입니다. 이는 공급업체가 필수 사양을 충족할 때까지 기계류나 제품의 통관을 인도 세관에서 보류할 수 있음을 의미합니다.

보안: 30년 후
1990년대 중반으로 돌아가 보겠습니다. 이때는 Tim Berners-Lee가 스위스의 CERN 연구 센터에서 WWW를 사용하는 기술을 공개했던 시기입니다. 이 시기에 네트워킹의 혁신 및 사회와 산업의 디지털화가 이루어졌습니다.

30년 후, 보안은 다르게 정의됩니다. 이러한 심도 깊은 네트워킹 및 디지털화로 인해 디지털 요소를 포함한 제품 및 기계류는 예를 들어 데이터 무단 조작과 같은 완전히 다른 위험에 노출되게 되었습니다. 유럽 입법권자들이 이에 대응하기 시작했고, CE 마킹의 원칙은 그대로 유지되었습니다. 하지만 CE 마크를 얻기 위한 요구사항은 변화에 맞춰 최신 상태로 개정되었습니다. 새로운 기계류 규정이 2023년 발행되었고 2027년에는 기계류 지침을 대체할 것입니다. 저는 두 가지 혁신, 즉 인공 지능(AI) 및 산업 보안에 대해 짧게 설명하고자 합니다.

인공 지능은 안전한가?
“로봇은 사람을 해쳐서는 안 됩니다.”
이것이 Isaac Asimov가 1942년에 발간한 그의 공상과학 소설 중 하나에서 소위 지능형 기계에 대한 로봇 법규를 구체화한 방법이었습니다. 83년 후 현재, 인공 지능의 심층적 발전으로 인해 인간과 기계 간의 상호작용과 관련한 규칙을 다시 생각해볼 필요가 생겼습니다.
입법권자들도 이를 인지하고 새 기계류 규정에서 인공 지능이라는 주제를 고려했습니다. 이 새 기계류 규정은 스스로 진화하는 기계에 대해 이야기합니다. 기계가 위험한 상황에서 반응하는 방식이 인간이 아닌 알고리즘에 의해 결정된다면 기계가 어떻게 안전할 수 있을까요?
극단적인 경우에는 자가 학습 소프트웨어가 새로운 기계를 탄생시킬 가능성이 있는지 여부도 고려해야 합니다. 이는 제조업체뿐 아니라 인증 기관에게도 극히 흥미로운 주제입니다.

AI는 기계류 분야에만 영향을 미치는 것은 아닙니다. EU 인공 지능 규정 또는 소위 AI 법에서는 AI 시스템이 해도 되는 것과 해서는 안 되는 것을 일반적인 용어로 규정합니다.
이 규정은 인간을 조종하는 것과 같은 여러 가지 AI 행동을 금지합니다. 즉, AI는 사람이 자신 또는 타인에게 상당한 위해를 유발할 수 있는 결정을 내리도록 유도해서는 안된다는 의미입니다. 또한 예를 들어 교육, 중요 인프라 또는 법률 집행 등의 분야에서 특정 어플리케이션을 고위험 AI 시스템으로 분류하고, 이들 AI 시스템이 특수 요구사항을 충족해야 한다고 규정합니다. 이들 고위험 AI 시스템은 또한 향후 CE 마킹을 획득해야 합니다.

필츠에서는 이 AI 규정을 중요 규정으로 보고 있으며, 이 규정은 AI가 제기하는 위험을 줄이는 한편 AI로 인한 기회도 활용할 수 있도록 보장합니다.

보안 없이는 CE 마크도 없다.
사이버 공격과 무단 조작으로 인한 피해가 급속히 증가함에 따라, 향후에는 새 기계류 규정도 예를 들어 컨트롤러 등의 안전 기능과 관련한 부정 행위에 대해 보호 기능을 제공할 것을 요구하게 될 것이며 이에 따른 산업 보안의 요구사항도 명시하고 있습니다. 이 이벤트의 두 번째 섹션에서 필츠 전문가 Simon Nutz는 기업이 자신들의 제품에 계속해서 CE 마크를 부착할 수 있으려면 지금 어떻게 대응하는 것이 가장 좋을지에 대한 상세 정보를 제공합니다. 기계류 안전 컨셉은 현재 재정의 중에 있습니다.

보안 법률: 모든 좋은 것들은 3가지로 온다.
전체적으로, EU는 엔지니어링을 위한 산업 보안의 법적 요건을 3가지 레벨로 구분해 도입했습니다. 즉, 기계류, 디지털 요소가 탑재된 제품, 그리고 기업을 위한 요구사항이 있습니다.  

• 기계류 규정은 기계류에 적용됩니다.
• 사이버 리질리언스 법(CRA)은 디지털 요소를 탑재한 제품에 대한 사이버 보안 요구사항을 정의합니다.
• 그리고 유럽 연합 전반에서 공통으로 요구되는 높은 수준의 사이버 보안 조치에 대한 EU 지침인 소위 NIS 2 지침은 우리 분야에서 50명이 넘는 직원을 가진 거의 모든 기업에 적용됩니다.

이는 산업계에 엄청난 과제를 제시합니다 - 이 3가지 법률 모두 EU에서 이미 발행한 상태입니다. 시간은 이미 이 중 2개 법률, 즉 기계류 규정과 CRA와 관련해 빠르게 흘러가고 있습니다. 이제 산업계가 이에 따라 개발, 생산, 엔지니어링을 조정할 수 있는 시간은 약 1년 반 정도 밖에 남지 않았으며, 여기에는 교육 및 문서화와 같은 모든 관련 절차와 작업이 포함됩니다. 이는 과거 기계류 지침의 구현과 마찬가지로 진정 매머드급의 작업입니다

기계류 규정에 대해서는 이미 설명했습니다. CRA는 디지털 요소가 탑재된 제품을 기본 사이버 보안 요구사항에 맞춰 설계, 개발, 제조할 것을 요구합니다. 구체적인 용어로 말하자면, 이는 위험성 평가 및 보장, 취약점 관리, 문서화, 보고 의무에 대한 새로운 요구사항이 있음을 의미합니다.

이는 우리에게도 영향을 미칩니다. 그래서 이를 구현하기 위해 우리는 수년 전 IEC 62443-4-1에 따라 제품 개발 영역에 인증된 “보안” 개발 절차를 도입했고 2022년에 이에 대한 인증을 받았습니다. 그 덕분에 우리는 필츠 개발 절차가 CRA를 준수한다고 보장할 수 있게 되었습니다. 필츠는 매우 광범위한 제품 포트폴리오를 가지고 있으며, 각 제품을 평가해서 해당 제품이 CRA의 영향을 받는 정도와 제품에 조정이 필요한지 여부를 결정해야 했습니다. 이 평가는 초기에 수행되었고 해당 조치도 바로 도입되었습니다.

위에 언급한 법률 중 세 번째 조각인 EU의 NIS-2 지침은 기업에 사이버 공격에 대비할 의무를 부여하지만 여전히 국내법으로 이식하는 과정이 남아 있습니다. 이에 대한 마감일은 사실 작년 10월 18일이었습니다. 현재, 27개 EU 회원국 중 9곳이 이식을 완료한 상태입니다. 독일과 오스트리아 등 나머지 국가에서는 정치적 상황이 종종 해당 법률의 통과를 막고 있습니다.

법률 그 자체를 위한 보안은 옳지 않습니다.
필츠의 주장: 2019년 발생한 필츠에 대한 사이버 공격을 경험해본 바에 의하면, 정치적 레벨의 합의가 이루어질 때까지 기다렸다가 보안 보호 조치를 구현하는 것은 재앙적일 것이라고 저는 말할 수 있습니다. 이는 단순히 법적 요구사항을 충족하는 것이 아닌 기업과 그 기업의 존속을 보장하는 것에 대한 사안입니다.

모든 새로운 요구사항을 고려했을 때, EU 외부의 다른 시장도 인공 지능이나 사이버 범죄 등과 같은 새로운 과제에 직면할 것인지에 대한 질문이 대두됩니다. 이에 대한 답변을 하기 위해 저는 성공적인 CE 마킹 모델이라는 주제로 돌아가려고 합니다. 기계류 지침에서와 마찬가지로, 유럽의 법률과 규격은 AI 및 사이버 보안과 관련해 전 세계적 모델의 역할을 할 것으로 예상됩니다. 대부분의 정부는 그들의 국민이 위험으로부터 최대한 보호받도록 보장하는 데 큰 관심을 가지고 있는 반면, 기계 제작업체와 생산업체는 자신들의 제품을 전 세계 시장에 내놓을 수 있기를 간절히 원합니다. 이는 EU 외부의 운영업체도 EU로 계속 수출하고자 한다면 이러한 새로운 요구사항을 충족해야 함을 의미합니다.

아시는 바와 같이, 보안은 많은 측면에서 우리와 우리의 협력업체, 고객, 사회 전반에 영향을 줍니다. 인도의 새 승인 절차와 EU의 새 AI 및 보안 요구사항은 정상적으로 작동하는 시장 간 협력이 얼마나 중요한지 보여주는 예들입니다. 법률 및 국제 규격이 열쇠입니다. 법률 및 국제 규격은 우리가 글로벌 기술 보안 메커니즘에 의존할 수 있게 도움을 줍니다.