요약

2025년 8월 1일부터 연결 제품에 대한 EU 무선 장비 지침(RED) 사이버 보안 규정이 시행됩니다. 전기차 충전의 경우, Wi-Fi, 셀룰러 또는 BLE를 탑재한 모든 충전기는 설계 단계부터 보안을 강화해야 합니다. 개인 정보를 처리하는 기기는 개인정보 보호 기능을 추가해야 하며, 결제 기능을 제공하는 제품은 사기 방지 기능을 구현해야 합니다.

유럽 ​​위원회는 적합성을 추정하기 위해 EN 18031-1/-2/-3:2024를 조화 표준으로 지정했습니다. OJ 목록에는 제한 사항이 포함되어 있으므로, 규범 조항을 올바르게 적용해야만 적합성 추정이 가능합니다. 무선 모듈이 없는 기기는 일반적으로 제3조(3)의 적용을 받지 않지만, 시스템 수준의 적합성은 충전기 전체에 여전히 적용됩니다.

무엇이 바뀌었고 왜 중요한가

• 이제 RF 규정 준수를 넘어선 범위로 확장되었습니다. 연결 기능에는 필수 보안, 개인 정보 보호 및 사기 방지 제어가 포함됩니다.

• 명확한 적합성 경로가 존재합니다. EN 18031을 채택하면 추정이 가능하지만, 그렇지 않은 경우 공인기관(Notified Body) 경로를 사용하십시오.

• 조달이 더욱 엄격해질 것입니다. EU 입찰 및 감사에서는 서명된 업데이트, 신원 정책, SBOM(보안 문서 관리 시스템), 취약성 처리 및 사용자 지침을 요구할 것입니다.

충전 생태계에서 영향을 받는 사람은 누구입니까?

• 내장형 연결 기능(LTE, Wi-Fi, BLE)을 갖춘 DC 및 AC 충전기.

• 장치 자격 증명, 로그 또는 OTA 업데이트에 의존하는 백오피스 통합 기능.

• 임시 결제를 허용하거나 결제 토큰을 지원하는 충전기.

• 무선 모듈이 없는 하드웨어 액세서리는 일반적으로 범위에서 제외되지만, 시스템으로서의 충전기는 범위에 포함됩니다.

주요 날짜 및 이정표

참고: OJ의 EN 18031 목록에는 제한 사항이 포함되어 있습니다. 올바르게 적용된 규범 조항만이 적합성 추정을 허용합니다.

이정표 | EV 충전에 대한 의미

2025년 1월 30일 | EN 18031-1/-2/-3:2024가 공식 저널에 등재되어 올바르게 적용될 경우 적합성 추정이 가능해졌습니다.

2025년 8월 1일 | RED 사이버 보안 조항(제3조(3)항(d)(e)(f))은 연결된 충전기를 포함한 범위 내 무선 장비에 대해 시행 가능합니다.

2025~2026 | 제조업체와 운영자는 문서 팩(위험 평가, 테스트 보고서, SBOM, 업데이트 정책)을 정리하고 현장 강화를 시작합니다.

EU RED 규정을 준수하는 EV 충전기 공급업체 평가 기준(EN 18031 체크리스트)

다음 EN 18031 체크리스트를 사용하여 시스템을 빠르게 검토하세요.

펌웨어 보안 및 업데이트(서명된 이미지, 롤백 보호, 암호화된 채널, 키 로테이션).

명확화: 승인되지 않은 코드를 방지하고 안전한 복구를 보장합니다.

접근 제어(기본 또는 빈 비밀번호 사용 안 함, 첫 번째 로그인 시 변경, 잠금 및 속도 제한, 최소 권한 계정).

투명화: 침입을 쉽게 차단하고 측면 이동을 제한합니다.

OCPP/MQTT/HTTPS에 대한 네트워크 남용 보호(제한, 이상 감지, 재생 및 플러드 보호, 강화된 서비스).

설명: 봇넷 등록과 트래픽 스톰을 중단하세요.

개인정보 보호 및 로그(데이터 최소화, 보존 일정, 사용자 중심 개인정보 보호 고지, 안전한 로그 내보내기).

명확한 정보: 필요한 것만 수집하고 안전하게 보관하세요.

결제(존재하는 경우)(종단 간 암호화 및 서명, 변조 방지 설계, 환불 및 결제에 대한 이중 통제).

명확화: 가치 전송을 보호하고 사기 위험을 줄입니다.

증거 묶음(EN 18031 적용 범위 매트릭스, 테스트 보고서, 취약성 공개 및 패치 SLA, 사용자 매뉴얼 보안 섹션, EU 적합성 선언, 기술 파일 색인).

명확히 하세요: 약속이 아닌 증거를 보여주세요.

요구 사항-사용 사례 맵

RED 요구 사항 | 일반적인 EV 충전 사용 사례 | 허용 가능한 제어의 예

3(3)(d) 네트워크 오용 | 충전기 모뎀을 통한 봇넷 등록 또는 DDoS 방지 | 방화벽, 속도 제한, TLS 상호 인증, 강화된 서비스

3(3)(e) 데이터 보호 | 드라이버 식별자, 세션 데이터, 메타데이터 처리 | 데이터 최소화, 가명화, 액세스 로깅, 보존 정책

3(3)(f) 사기 방지 | QR 코드 또는 카드 기반 임시 지불 | 암호화 증명, 보안 요소 또는 HSM, 환불에 대한 이중 제어

규정 준수를 실제화하는 방법(현장 준비 흐름)

범위 식별 → 위협 및 격차 평가 → 제어 구현(펌웨어, 자격 증명, 통신, 지불, 개인 정보 보호) → 검증(내부 테스트 및 필요한 경우 지정 기관) → 기술 파일 편집(위험 분석, SBOM, 테스트 보고서, EN 18031 매핑, 사용자 지침) → EU DoC 발행 및 라벨링 → 정의된 공개 및 수정 SLA를 통해 모니터링 및 패치 적용.

30~60~90일 행동 계획

0~30일: 무선 모듈이 포함된 모델을 확인합니다. 조항 3(3)(d)(e)(f) 적용 가능성을 매핑합니다. SBOM 초안 및 초기 위험 평가, EN 18031 적용 범위를 정렬합니다.

31~60일차: 자격 증명 정책 및 보안 업데이트 제공, OCPP/MQTT/HTTPS 강화, 데이터 최소화 및 문서화, 지불 흐름에 대한 사기 방지 정의, EN 18031에 완전히 부합하지 않을 경우 제3자 또는 지정 기관 검토 일정 예약.

61~90일차: 테스트, 기술 파일, EU DoC 마무리, 라벨링 및 릴리스, 선택된 사이트에서 시범 현장 강화, 취약성 처리 및 패치 SLA 게시.

제품 로드맵에 미치는 영향

• 15118 지원 충전기와 OCPP 2.x 백엔드는 보다 강력한 자격 증명 및 인증서 처리를 강조합니다.

• RFP는 명목상의 권한뿐만 아니라 보안 업데이트 운영과 증거 품질을 평가합니다.

• 안정적인 OTA는 사이트 방문을 줄이고 수명 비용을 낮춥니다.

워커스비 노트

Workersbee는 커넥터 및 케이블 어셈블리를 사용하는 EU 대상 프로젝트를 지원하고, 충전기 통합 지침을 RED 사이버 보안 규정에 맞춰 조정합니다. 적합성 추정을 요구하는 DC 프로그램의 경우, 당사 엔지니어링 팀은 Workersbee 엔지니어링 지침, Workersbee DC 커넥터 노하우를 통해 간결한 EN 18031 적용 범위 체크리스트와 기술 문서 예시를 제공합니다.

자주 묻는 질문

질문: 충전기에 결제 기능이 없는 경우에도 제3조(3)항(f)가 적용됩니까?

A: 아니요. 결제 또는 금전적 가치의 이체를 가능하게 하는 기기만 3(3)(f) 조항에 해당합니다. 동일한 충전기라도 3(3)(d) 및 3(3)(e) 조항을 충족해야 할 수 있습니다.

질문: EN 18031을 완전히 채택하려면 공인기관이 필요합니까?

A: 조화된 표준을 완전하고 정확하게 적용하면 추정이 가능합니다. 부분적으로만 채택되거나 불확실성이 있는 경우, 공인기관(Notified Body) 경로를 통해 위험을 줄일 수 있습니다.

질문: OJ 제한이 있다는 것은 EN 18031만으로 항상 충분하다는 것을 의미합니까?

A: 아니요. 올바르게 적용된 규범 조항만이 추정을 허용합니다. 규범 조항을 위반하거나 모호한 사례에 직면하는 경우, 공인기관(Notified Body)의 절차를 이용하세요.

질문: 감사인은 보통 어떤 증거를 먼저 요청합니까?

답변: 서명 업데이트 정책, 비밀번호 정책, SBOM, 취약성 처리 워크플로, EN 18031 매핑 테이블, EU 적합성 선언.