산업용 로봇과 협동 로봇은 CRA의 중요 제품인가?

요약

이 가이드는 가상의 협동 로봇 출시 사례 하나를 분류, 제품 경계, 위험 평가, SBOM, 출시 승인, 취약점 신고, 경제 운영자(economic operator) 인계까지 한 흐름으로 따라갑니다. 같은 구조는 6축 암, 협동 로봇 셀, 비전 옵션과 플릿 클라우드를 동반한 로봇 컨트롤러에도 그대로 옮길 수 있습니다.

표준 절차가 기본 가정입니다. 산업용 로봇과 협동 로봇은 현재 CRA의 중요(Important) 제품 또는 핵심(Critical) 제품 목록에 포함되어 있지 않습니다. 방화벽, 네트워크 관리, 변조 방지 컨트롤러처럼 다른 기능이 판매의 본질이 될 때는 별도의 분류로 처리합니다.
경계 메모(boundary memo)에서 시작합니다. 정확한 변형 모델을 기재합니다: 암 하드웨어, 컨트롤러 캐비닛, 펜던트, 필드버스 옵션, 프로그래밍 런타임, 플릿/클라우드 커넥터, 의도된 사용, 공급되는 디지털 요소, 지원 기간, 절차 선택의 근거.
사이버와 안전은 2027년부터 만납니다. ISO 10218-1:2025는 로봇 안전에 영향을 주는 범위에서 사이버보안 요구를 추가하며, 기계 규정(Machinery Regulation)은 2027년 1월 20일부터 적용됩니다. CRA 파일과 안전 사례는 그 접점에서 동일한 증거를 공유합니다.
지원 기간(support period)에는 신뢰 가능한 종료일이 필요합니다. 예상 사용 기간이 더 짧지 않다면 지원 기간은 최소 5년입니다. 공장 로봇은 그보다 훨씬 오래 가동되므로, 파일에는 제조사가 실제로 이행 가능한 지원 창과 구매 전 공개 종료일을 명시해야 합니다.
취약점 처리는 운영 모델입니다. 출시 파일에는 누가 취약점 경고를 수신하는지, 누가 유지보수 창을 승인하는지, 누가 업데이트를 롤백할 수 있는지, 잔존 권고는 어떻게 가시화되는지가 명시되어야 합니다.
인계 자체가 증거입니다. 제조사는 제품 파일을 보관하고, 통합업체(integrator)의 이름으로 출하될 때는 통합업체가 완성 셀 파일을 보관하며, 운영자는 셀을 실제로 운용합니다. 각 인계는 고객에게 비공식적으로 떠넘기는 것이 아니라 문서로 남깁니다.

산업용 로봇이나 협동 로봇 출시는 어떻게 분류하는가?

암 하드웨어가 아니라 판매 형태(offer)에서 출발합니다. 시스템 통합업체에 판매되는 6축 암과, 동일한 암이 소규모 작업장에 완전한 협동 로봇 셀로 판매되는 경우는 CRA상 다른 제품입니다. 절차는 구매자가 무엇에 비용을 지불하는지, 어떤 컨트롤러와 펜던트가 함께 출하되는지, 그리고 제조사가 플릿 클라우드, 안전 구성, OTA 업데이트 경로까지 공급하는지에 따라 달라집니다.

산업용 로봇 또는 협동 로봇의 분류 절차 결정 일러스트. '구매자는 무엇에 비용을 지불하는가?'라는 상단 질문에서 세 갈래의 경로가 일러스트로 분기합니다. 분기 A: 시스템 통합업체에 판매되는 6축 암은 표준 절차로 부품 파일(component file)을 따릅니다. 분기 B(강조): 완전한 협동 로봇 셀이 힘 제한 암, 안전 구성, 비전 옵션, 플릿 클라우드, 서명된 업데이트와 함께 SME에 판매되며 표준 절차로 제조사 전체 파일을 따릅니다. 분기 C: 통합업체의 CE 마킹으로 완성 기계에 내장되는 로봇 암은 통합업체 주도로 두 개의 파일을 사용합니다. 푸터는 표준 절차가 기본 가정이며, 등재된 하위 기능이 판매의 본질을 차지할 때만 중요 제품으로 이동한다고 알립니다. — 첫 번째 선택은 판매 형태입니다: 구성품 암, 완성형 코봇 셀, 또는 통합업체 주도 기계 안의 로봇입니다.

위 도식은 절차 선택을 담고 있습니다. 아래 표는 경계 메모를 담습니다: 변형이 정해지면, 그 변형에 대해 제조사가 채워야 할 증거 행이 무엇인지 보여줍니다.

경계 메모용 변형별 증거 행 각 변형에 대해 제조사가 한 줄로 적을 수 있어야 하는 파일 경계, 위험 평가의 초점, 인계 메모.

변형 제조사 파일 경계 위험 평가 초점 인계 메모

시스템 통합업체에 판매되는 6축 로봇 암

부품 판매; 통합업체가 셀을 구축합니다.

암, 컨트롤러, 펜던트, 프로그래밍 런타임, 필드버스 옵션, 서명된 업데이트, 취약점 처리 프로세스, 통합업체용 매뉴얼.

엔지니어링 스테이션 쓰기 권한, 복구 슬롯, 필드버스 스택 노출, 공급사 부품 권고 감시, 사용 종료 시 자격 증명 회수.

부품 실사 기록은 통합업체로 이관됩니다. 통합업체가 셀 수준의 안전 구성과 셀 CE 마킹을 책임집니다.

SME에 완전한 셀로 판매되는 협동 로봇

힘 제한 협동 암, 즉시 운용 가능한 안전 구성, 비전 옵션, 플릿 클라우드.

암, 컨트롤러, 펜던트, 안전 구성, 비전 센서, 프로그래밍 런타임, 플릿 클라우드 커넥터, OTA 서비스.

협동 운전 모드(속도·이격 감시 또는 출력·힘 제한), 공유 작업공간의 운영자 역할, 플릿 클라우드 권한, 펜던트 계정, 서명된 안전 펌웨어 경로.

제조사가 지원 기간 내내 전적인 책임을 집니다. 운영자 역할 바인딩, 플릿 클라우드 연결 해제, 사용 종료 체크리스트가 셀과 함께 이동합니다.

완성 기계에 통합된 로봇 암

포장 라인이나 공정 기계 내부에서 통합업체의 CE 마킹으로 재판매됩니다.

로봇 제조사는 암, 컨트롤러, 펜던트, 출하 소프트웨어를 자신의 파일에 유지합니다. 완성 기계는 통합업체의 CE 마킹 아래 별도의 파일을 갖습니다.

부품 공급사 권고(RT OS, 필드버스 스택, 비전 모듈), 공급사 적합성 주장의 정합성, 통합 시점의 서비스 노출, 기계 제조사와 지원 기간 일치.

통합업체가 완성 기계의 기계 제조업체가 되며 자체적인 위협 목록, 취약점 처리 프로세스, EU 적합성 선언(DoC)을 운영합니다. 로봇 제조사는 암의 부품 제조업체로 남습니다.

각 로봇 변형마다 제조사 파일에는 명확한 경계, 위험 초점, 인계 메모가 필요합니다.

라우팅 표는 경계 메모를 대체하지 않습니다. 메모에는 여전히 정확한 암 모델, 가반하중과 도달거리, 컨트롤러 캐비닛, 펜던트, 프로그래밍 환경, 안전 구성 범위, 플릿 클라우드, OTA 서비스, 의도된 사용이 필요합니다. 완전한 협동 로봇 셀이라면 구매자가 의존하는 협동 운전 모드를 명시합니다: 속도·이격 감시, 출력·힘 제한, 핸드 가이딩, 안전 등급 감시 정지.

그다음 다른 등재 기능이 본질을 차지하지는 않는지 확인합니다. CRA는 제품의 핵심 기능이 등재된 범주와 일치할 때 그 제품을 중요(Important)로 분류하며, 컨트롤러를 내장한다는 사실만으로 로봇이 중요 범주로 옮겨가지는 않습니다. 판매의 본질이 방화벽 게이트웨이, VPN 어플라이언스, 네트워크 관리 시스템, SIEM 커넥터, 변조 방지 칩을 중심으로 하는 강화 컨트롤러라면 그 핵심 기능을 먼저 분류하고 암은 주변 기기로 다룹니다.

부품 판매라면 완성 셀 범주에 억지로 끼워 맞추지 않습니다. 시스템 통합업체에 판매되는 로봇 암도 디지털 요소를 가진 제품이므로 보안 설계(secure-by-design) 증거, 업데이트 경로, 취약점 처리 프로세스, 지원 기간 진술, 통합업체용 문서가 필요합니다. 절차는 표준으로 유지되고, 책임은 통합업체와 분담됩니다.

분류 메모는 네 가지 질문에 답해야 합니다.

이 출시는 로봇 암으로, 완전한 협동 로봇 셀로, 아니면 다른 기계 내부의 로봇으로 판매되는가?
로봇의 운동이 제품의 핵심 기능인가, 아니면 다른 등재 기능(방화벽, VPN, 네트워크 관리, 보안 관련 마이크로컨트롤러)이 본질을 차지하는가?
의도된 기능을 위해 공급되는 디지털 요소는 무엇인가: 암 펌웨어, 안전 구성, 펜던트, 프로그래밍 환경, OTA 서비스, 플릿 클라우드, 취약점 처리 프로세스?
제조사 판매 범위 밖에 있는 시스템은 무엇인가: 고객의 셀 로직, 고객 안전 PLC, 공장 네트워크, 제3자 비전 소프트웨어, 고객 MES 또는 SCADA?

로봇 제품 경계 안에는 무엇이 들어가는가?

로봇 제조사 입장에서 규제 준수 경계는 단순히 암 하나에 그치지 않습니다. 시장에 출시된 제품과, 의도된 운동 및 안전 기능에 필요한 디지털 요소를 함께 포함해야 합니다.

다음은 보통 로봇 제조사의 경계 안에 포함됩니다: 암 펌웨어, 조인트 컨트롤러 펌웨어, 컨트롤러 캐비닛 운영 환경, 안전 컨트롤러 펌웨어, 펜던트, 프로그래밍 환경, OTA 서비스, 취약점 처리 프로세스.

다음은 제조사가 판매 범위에 포함하지 않는 한 보통 경계 밖에 둡니다: 고객 셀 로직, 고객이 작성한 안전 구성, 공장 네트워크, 제3자 엔드 이펙터, 제3자 비전 소프트웨어, 고객 MES 또는 SCADA, 고객 안전 PLC.

CRA 관점에서 본 산업용 로봇 또는 협동 로봇 출하되는 로봇, 공급 소프트웨어, 지원 기간 의무를 고객 셀, 공장 네트워크, 운영자 작업 흐름과 분리합니다.

통합도 증가

고객 셀 통합업체와 운영자가 로봇 주변에 구축하는 것

셀 로직 고객 안전 PLC 공장 네트워크 MES 또는 SCADA 컨베이어와 지그

증거

이 요소들이 통합업체나 최종 사용자가 제공하는 경우 증거는 없습니다. 로봇 제조사가 셀 컨트롤러, 안전 PLC, MES 커넥터까지 자신의 판매 범위로 공급한다면 각각이 별도의 경계 파일을 가진 별도의 제품일 수 있습니다.

제조사가 공급하는 경계

출하 제품 출하하는 로봇

암과 조인트 엔드 이펙터 플랜지 컨트롤러 캐비닛 안전 컨트롤러 펜던트 필드버스 옵션

증거

제품 파일 · EU 적합성 선언 · CE 마킹 · 지원 기간 진술 · 사용자 지침 · 적합성 평가 기록

로봇이 시장에 출시된 후 10년, 또는 지원 기간 중 더 긴 기간 동안 로봇 제조사가 보관합니다. 기능 안전 증거(ISO 10218-1:2025와 ISO 10218-2, ISO 13849, IEC 61508)는 같은 파일에 두어 안전 사례와 사이버 복원력 사례를 함께 검토할 수 있게 합니다.

온디바이스 소프트웨어 로봇에서 동작하는 소프트웨어

모션 펌웨어 안전 펌웨어 실시간 OS 필드버스 스택 OPC UA 서버 프로그래밍 런타임 업데이트 에이전트

증거

사이버 복원력 설계 파일 · 구성요소 인벤토리 · 취약점 처리 프로세스 · 공개 정책 · 안전한 업데이트 메커니즘

공개된 단일 연락 창구, 보안 기본값 테스트 증거, 서명된 업데이트 검증, 다운그레이드 거부 결과, 지원 기간 선정 근거를 포함합니다.

칩 계층 조인트와 캐비닛 내부

서보 MCU FPGA 또는 SoC EtherCAT 슬레이브 안전 MCU 절대 엔코더 게이트 드라이버 모션 CPU

증거

부품 실사 기록 · 공급사 적합성 주장 · 공급사 보안 권고

조인트 드라이브 칩 선택의 책임은 로봇 제조사에 있습니다. 컨트롤러 칩, 안전 마이크로컨트롤러, 보안 요소 자체가 디지털 요소를 가진 제품인 경우, 공급사의 적합성 주장과 권고는 제조사의 실사를 대체하지 않고 뒷받침합니다.

로봇 출하 이후

살아있는 제품 출하 이후에도 이어지는 활동

구성요소 모니터링 취약점 처리 무상 보안 업데이트 신고 준비 태세 통합업체 통지 시정 조치

증거

구성요소 인벤토리는 새로운 취약점에 대해 모니터링되고, 취약점 프로세스는 발견 사항을 분류하며, 무상 보안 업데이트는 권고와 함께 배포됩니다. 업데이트는 공장이 유지보수 창 안에서 기계의 타이밍이나 안전 사례를 깨뜨리지 않고 검증할 수 있도록 패키징해야 합니다.

적극적으로 악용되는 취약점은 24시간 조기 경보, 72시간 취약점 신고, 시정 또는 완화 조치가 마련된 시점으로부터 14일 이내의 최종 보고에 대한 대응 준비가 필요합니다. 심각한 보안 사고도 24시간과 72시간 경로를 따르며, 최종 사고 보고는 1개월 이내에 이루어집니다. 제14조의 신고 의무는 2026년 9월 11일부터 적용되며, 일반 적용일인 2027년 12월 11일보다 앞섭니다. (제71조제2항)

두 경우 모두 인지한 후에는 영향받는 통합업체와 최종 사용자에게, 그리고 적절한 경우 모든 사용자에게 취약점이나 사고를 알립니다. 필요한 경우 사용자가 적용할 수 있는 완화 또는 시정 조치를 함께 제공하며, 어느 단계가 유지보수 창을 필요로 하는지 명확히 밝힙니다.

로봇 제조사는 출하 암, 컨트롤러, 안전 컨트롤러, 온디바이스 소프트웨어, 부품 실사, 지원 기간 활동을 책임집니다. 고객 셀 로직, 고객 안전 PLC, 공장 네트워크, MES 또는 SCADA는 같은 제조사가 판매 범위에 포함하지 않는 한 경계 밖에 둡니다.

어떤 적합성 평가 절차가 적용되는가?

01 기본 제품: 표준 절차의 모든 옵션을 이용 가능합니다

산업용 로봇과 협동 로봇은 현재 CRA의 중요 또는 핵심 제품 목록에 등재되어 있지 않으므로 표준 절차가 계획상의 기본 가정입니다. 제조업체는 내부 통제, EU 형식 검사 + 생산 적합성, 완전 품질 보증, 또는 적용 가능한 유럽 사이버보안 인증 체계 중에서 선택할 수 있습니다. 이 선택은 무조건적이며, 기본 제품에는 조화 표준 적용을 전제로 한 조건이 없습니다.

02 Class I 조건부 경로는 CRA 목록이 변경될 때만 작동합니다

'표준이 전면 적용된 경우' 조건은 중요 제품의 폴백 규정에 해당하며, 기본 절차에는 적용되지 않습니다. 만약 향후 갱신에서 로봇이나 협동 로봇 하위 제품이 그 목록에 추가되고, 이용 가능한 표준이나 체계가 해당 필수 요구사항을 다루지 못한다면, 제조업체는 미충족 영역에 대해 제3자 평가 경로를 거쳐야 합니다. 현재 목록에는 로봇이 포함되어 있지 않으므로 이 폴백은 비상 계획이지 계획 경로가 아닙니다.

03 교차 규정 검토를 준비합니다

기계 규정 2023/1230은 2027년 1월 20일부터 적용되며, 특히 변조 보호와 제어 시스템 신뢰성 등 사이버 증거와 중첩되는 안전 요구사항을 포함합니다. 사이버 복원력 파일과 기계 안전 파일은 같은 제품 폴더의 두 갈래로 다루고, 별개의 두 컴플라이언스 프로젝트로 분리하지 않습니다. 기계의 CE 마킹은 두 규정 모두를 가리킵니다.

로봇 파일에 어떤 아키텍처 체크포인트가 들어가는가?

로봇 출시 파일은 일반적인 OT 체크리스트가 아니라 실제 기계를 따라가야 합니다. 통합업체에 판매되는 독립 암, SME에 판매되는 힘 제한 협동 로봇 셀, 포장 라인에 내장된 로봇, 비전을 갖춘 클린룸 로봇은 분류 논의를 공유할 수 있지만 엔지니어링 기록은 서로 다릅니다.

운동 권한 경로. 운동, 파라미터, 안전 구성을 바꿀 수 있는 모든 경로를 식별합니다: 펜던트, 엔지니어링 스테이션, 공급사 클라우드, 공급사 서비스 터널, USB 전송, 셀 컨트롤러의 필드버스, 원격 지원 채널.
로컬 노출. 시운전(commissioning) 후, 그리고 각 업데이트 이후에 컨트롤러에서 도달 가능한 서비스를 스캔합니다. 출시 파일에는 어떤 서비스가 도달 가능한지, 어떤 서비스에 인증이 필요한지, 어떤 서비스가 기본적으로 비활성화되어 있는지가 보여야 합니다.
고객 시스템. 고객 셀 로직, 고객 안전 PLC, 공장 네트워크, 제3자 비전 소프트웨어, MES 또는 SCADA는 제조사가 그 계층을 판매하지 않는 한 로봇 제조사 제품 밖으로 둡니다.
업데이트 권한. 업데이트 권한은 양방향 교환으로 다룹니다: 컨트롤러는 업데이트 메타데이터를 확인하거나 수신하고, 업데이트 서비스는 정확히 그 컨트롤러 변형과 안전 펌웨어 리비전을 위한 서명된 펌웨어 번들을 반환합니다. 서명된 업데이트, 다운그레이드 거부, 기계 영향, 복구, 롤백 기록을 출시와 함께 보관합니다.
공급사 입력. 서보 MCU, 엔코더, 안전 MCU, 필드버스 스택, 비전 모듈, RT 운영체제, 프로그래밍 런타임 각각에 담당자, 버전, 권고 감시, 출시 결정을 부여합니다.
서비스 접근. 서비스 터널, 진단, 원격 지원 세션이 두 번째 운동 권한 경로가 되어서는 안 됩니다. 터널 비활성화, 마스킹, 감사 샘플 기록을 보관합니다.
출시 후 루프. 취약점 보고, 심각한 사고, 공급사 권고, 현장 장애는 위협 목록, 잔존 위험 기록, 출시 파일, 다음 출시 게이트를 갱신해야 합니다.

아래의 셀 다이어그램은 의도적으로 작업 예시보다 더 넓게 잡혀 있습니다. 정확히 출하되는 변형으로 파일을 좁히기 전에, 제품군 경계 검토 도구로 사용합니다: 6축 암, 협동 로봇, 클린룸 변형, 팰릿화 변형, 엔드 이펙터와 함께 판매되는 로봇은 각각 서로 다른 증거 세트가 필요합니다.

산업용 로봇 셀의 참조 아키텍처 다이어그램. 점선 사각형이 왼쪽에 제조사 제품 파일 경계를 표시하며, 조인트와 엔드 이펙터를 갖춘 6축 암, 모션 CPU·안전 컨트롤러·A/B 펌웨어 슬롯·필드버스·서비스 매체가 있는 컨트롤러 캐비닛, 티치 펜던트, 플릿 클라우드 커넥터를 담고 있습니다. 오른쪽 고객 현장에는 엔지니어링 스테이션, 셀 PLC·MES·OPC UA가 있는 공장 LAN, 제조사가 공급하는 플릿 클라우드, 통합업체 인계 시점에 문서화되는 고객 소유 패널이 있습니다. 화살표는 일곱 개 흐름을 표시합니다: F1 운동, F2 센싱, F3 펜던트, F4 프로그램 로드(펜던트 위쪽으로 우회), F5 공장, F6 클라우드, F7 서비스. 범례는 내부 흐름과 경계를 가로지르는 흐름을 구분하고, 어떤 기록이 제조사의 제품 파일에 속하는지 설명합니다. — 아키텍처 지도는 운동, 센싱, 펜던트 권한, 프로그램 로드, 공장 트래픽, 클라우드 업데이트, 서비스 매체를 출하 제품 경계에 연결합니다.

이 구도에 해당하는 실제 OEM 컨트롤러로는 ABB OmniCore, KUKA KR C5(KSS) 및 iiQKA.OS를 실행하는 KUKA 컨트롤러, FANUC R-30iB Plus, Yaskawa YRC1000, Universal Robots PolyScope X 등이 있습니다. 위 구분은 이들 모두에 공통됩니다: 제조사의 제품 파일은 암, 컨트롤러, 온디바이스 소프트웨어 경계를 보관하고, 고객 셀 로직, 공장 LAN, 고객 소유 도구는 제조사가 그 계층을 판매하지 않는 한 경계 밖에 둡니다.

로봇 위험 평가는 어떻게 작성하는가?

이 예시는 기대 수준의 깊이를 이해하기 위한 것이며, 출시 파일에 붙여 넣는 텍스트가 아닙니다. 로봇 제조사는 여전히 자체 암, 조인트 드라이브, 컨트롤러, 안전 컨트롤러, 펜던트, 프로그래밍 런타임, 플릿 클라우드, 공급사, 판매 주장, 지원 기간, 출시 프로세스에 대해 자체 평가를 수행해야 합니다.

평가 대상 제품은 무엇인가?

설명용 가상 제품, 실제 기기 아님: ExampleCo CR-12, 12kg 가반하중, 1,300mm 도달거리의 6축 관절형 산업용 로봇 암으로, 선택형 힘 제한 협동 모드를 갖춥니다. 암, 컨트롤러 캐비닛, 티치 펜던트, 선택형 2D 비전 센서, 프로그래밍 환경, 서명된 OTA 업데이트, 제조사 플릿 클라우드 커넥터와 함께 출하됩니다. 중소 제조업체에는 완전한 셀로, 시스템 통합업체에는 더 큰 기계의 부품으로 판매됩니다.

이 예시의 제품 경계에는 암, 조인트 드라이브, 컨트롤러 캐비닛, 안전 컨트롤러, 펜던트, 프로그래밍 런타임, OTA 서비스, 공급사 클라우드 커넥터, 취약점 신고 연락처, 지원 종료 공시가 포함됩니다. 고객 셀 로직, 고객 안전 PLC, 공장 네트워크, 제3자 MES 또는 SCADA, 제3자 엔드 이펙터, 펜스 및 라이트 커튼 설치, AGV 또는 AMR 베이스는 포함되지 않습니다.

이 제품은 훈련된 운영자와 통합업체의 실내 산업용 사용을 의도합니다. 의료·수술용 로봇, 서비스 로봇, 교육용 로봇, 일반 소비자 용도는 의도된 사용에 포함되지 않습니다.

위협 표를 작성하기 전에, 로봇 위험 평가를 좌우하는 세 가지 경로를 점검합니다: 프로그램 로드와 펜던트 권한, 안전과 사이버의 경계, 통합업체 인계. 아래 다이어그램은 작업 예시를 일반 위협 목록이 아닌 엔지니어링 질문으로 바꾸어 줍니다.

공장 프로비저닝부터 통합업체 시운전, 소유자 생산, 재플래시 또는 신규 프로그램, 사용 종료(decommissioning)까지 산업용 로봇의 수명 주기를 보여주는 일러스트. 각 단계는 그 행위자가 무엇을 변경하는지와 잘못된 행위자가 운동 권한을 바꿀 수 없음을 입증하는 테스트를 명시합니다. 하단 띠는 인계 시 통과해야 하는 다섯 가지 부정 사례를 나열합니다. — 각 수명 주기 단계는 누가 운동 권한을 보유하고 어떤 테스트가 안전하지 않은 쓰기를 차단하는지 보여 줍니다.

소유권 점검은 프로그램 로드 점검과 별개입니다. 컨트롤러가 서명된 업데이트를 갖고 있어도, 유지보수가 끝난 후에 서비스 터널이 열린 채로 남거나 고객 이전 이후에도 옛 엔지니어링 스테이션이 계속 쓰기를 한다면 무력화될 수 있습니다.

펜스가 있는 산업용 로봇의 공격 표면은 협동 로봇과 어떻게 다른가?

이 페이지는 두 가지를 같은 CRA 범주로 다룹니다. 둘 다 사이버 복원력 계층의 산업용 로봇이지 스마트홈 제품이 아니기 때문입니다. 다만 위험 프로파일은 다르며, 위협 목록은 그 차이를 반영해야 합니다.

공격 표면	펜스가 있는 산업용 로봇	힘 제한 협동 로봇
사람과의 근접	라이트 커튼, 펜스, 스캐너, 인터록으로 차단	상시 근접; 힘 제한 운동, 속도·이격 감시, 핸드 가이딩, 안전 등급 감시 정지가 안전 사례
펜던트 접근	잠긴 셀 접근; 펜던트는 펜스 안에서 유지보수 인력이 사용	공유 작업공간; 펜던트는 로봇 옆에서 운영자가 사용하며, 보통 운영자별 역할과 더 짧은 로그아웃 정책 적용
비전 입력	보통 선택형이며 검사에 사용; 단일 지점	보통 안전(이격 감시)을 위해 필수; 여러 대의 카메라와 안전 사례가 의존하는 보정 데이터
엔지니어링 스테이션 경로	시운전과 드문 유지보수 동안 OT 레인 내부의 공장 엔지니어링 스테이션	엔지니어링 스테이션이 운영자의 사무 공간이나 회사 관리 노트북에 있을 수 있음; 경로가 더 자주 사용됨
원격 텔레오퍼레이션	레거시 펜스 셀에서는 드물고, 원격 지원 세션은 시간 제한된 유지보수	일부 협동 로봇 제품군에서 점차 일반화(원격 운영자 지원, 오프사이트 프로그래밍); 권한 경로가 더 넓음
가장 가능성 높은 위협 행위자	유지보수 창에 물리적 접근 권한을 가진 엔지니어링 또는 서비스 내부자	침해된 원격 엔지니어링 스테이션과 결합된 운영자 오용; 비전 입력 스푸핑은 협동 로봇 특화 경로로 신뢰할 만함
오용 후 복구	보통 키 잠금 모드 스위치와 보호된 리셋	보통 펜던트의 소프트웨어 역할 변경; 사이버 검토에서 역할 변경이 실제로 권한을 회수하는지 확인 필요

작업 예시인 ExampleCo CR-12의 경우, 펜스 구성은 엔지니어링 스테이션 권한, 복구 슬롯 무결성, 사용 종료 시 자격 증명 회수를 강조합니다. 협동 로봇 구성은 비전 입력 인증, 보정 데이터 무결성, 이격 감시 변조 테스트, 운영자별 펜던트 역할 저장소를 1차 관심사로 추가합니다.

보호 대상 자산은 무엇인가?

위험 평가는 자산에서 시작합니다. 로봇 위협이 모두 같은 대상을 노리지는 않기 때문입니다. 운동 무결성 손실, 안전 구성 침해, 엔지니어링 채널 탈취는 각각 다른 통제와 다른 출시 기록을 필요로 합니다.

자산	중요한 이유	어디에 저장되는가
운동 프로그램과 파라미터	무결성 실패는 궤적, 속도, 가반하중 한계, 작업공간 경계를 바꿀 수 있음	컨트롤러 프로그램 저장소, 엔지니어링 프로젝트, 백업
안전 구성	작업공간 한계, 속도 한계, 힘 한계, 정지 카테고리를 설정; 변조는 위험 상황을 초래	안전 컨트롤러 메모리, 서명된 구성 번들
펌웨어와 부트 체인	업데이트 침해는 15년 가동되는 컨트롤러에 잔존 가능	부트로더, A/B 펌웨어 슬롯, 서명 서비스
엔지니어링 자격 증명	프로그램 로드 및 펌웨어 쓰기 권한 부여	엔지니어링 스테이션, 컨트롤러 사용자 저장소, 펜던트 계정
보정 및 프레임 데이터	잘못된 값은 TCP(tool centre point)와 산출물을 조용히 이동	컨트롤러 저장소, 통합업체 백업
플릿 클라우드 자격 증명	캐비닛을 제조사 업데이트 서비스와 원격 지원에 연결	캐비닛 키스토어, 클라우드 커넥터
진단 및 서비스 번들	프로그램 이름, 네트워크 이름, 인증서, 크래시 트레이스를 노출	컨트롤러 로그, 지원 포털, 내부 서비스 도구
사용자 지침과 지원 종료일	안전한 시운전, 업데이트 기대, 지원 종료 대응을 좌우	매뉴얼, 웹 매뉴얼, 지원 안내

주요 신뢰 경계는 어디인가?

이 예시에서 제조사는 최소 다섯 가지 환경을 모델링해야 합니다. 모든 배선을 그리는 것이 목적이 아닙니다. 공격자의 기회가 달라지는 지점을 분리하는 것이 목적입니다: 캐비닛 내부, 펜던트 링크, 공장 네트워크, 제조사 백엔드, 엔지니어링 스테이션.

환경	기대되는 보호	가능성을 바꾸는 이유
캐비닛 내부	물리적 접근은 유지보수로 제한되지만 서비스 매체, 디버그 패드, 복구 슬롯이 존재	원격 가능성은 낮지만 키가 추출 가능한 경우 결과는 큼
펜던트 링크	캐비닛에 유선 연결되어 있지만 모든 운영자가 펜던트를 다룸	정상 작업 중 로컬 접근이 그럴듯하며 기본 자격 증명이 흔한 허점
공장 네트워크	셀 컨트롤러, MES, OPC UA 컨슈머, 엔지니어링 스테이션과 공유	침해된 동등 노드가 디스커버리, OPC UA, 원격 지원 채널을 공격 가능
제조사 백엔드	인터넷에 노출되며 설치된 플릿 전체에서 공유	백엔드 실수 하나가 한 공장에서 다수 공장으로 확장
엔지니어링 스테이션	오프라인 프로그래밍 소프트웨어가 깔린 Windows 또는 Linux 노트북, 시운전 동안 OT 레인에 연결	회사 관리 자산인 경우가 많으며 공개된 연구에서 가장 흔한 진입점 중 하나

안전 스택과 사이버 스택은 같은 프로젝트가 아닙니다. 두 스택은 특정 지점에서 증거를 공유하며, 파일은 어떤 조항을 누가 소유하는지 명확해야 합니다.

ISO 10218-1:2025 증거 맵: 안전과 사이버가 중첩되는 다섯 가지 범주ISO 10218-1:2025를 따르는 로봇에 대해 제조사가 산출해야 하는 다섯 가지 증거 범주. 라이선스 표준 텍스트 검토 전까지 조항 번호는 보류합니다.

증거 범주

안전 트랙

사이버 트랙

공유 중첩 기록

안전 구성 사인오프

기능 안전 엔지니어가 안전 구성 번들과 PL 또는 SIL 계산에 서명

제품 보안 엔지니어가 번들을 적재한 권한 경로(인증, 대역 외 확인, 서명키 보관)를 검토

공동 검토 회의록과 적재된 번들 해시를 출시 기록에 캡처

안전 펌웨어 업데이트 검토

신규 펌웨어에 대해 안전 사례를 재실행; 타이밍, 결함 처리, PL 또는 SIL 목표 보존을 확인

번들 서명, 다운그레이드 거부, 단조 증가 버전 카운터, 복구 슬롯 동작을 검증

업데이트가 OTA 채널에 진입하기 전에 출시 티켓에 공동 승인 서명

모드 전환 검증(수동, 협동, 고속)

작업공간 한계, 속도 한계, 힘 한계, 협동 감시 등 안전 사례에 대해 각 모드를 검증

공격자가 문서화된 권한 없이 펜던트, 엔지니어링 스테이션, 플릿 클라우드, 필드버스를 통해 모드를 전환할 수 없음을 테스트

모든 전환에 대해 권한 경로와 안전 판정이 명시된 모드 전환 테스트 매트릭스

정지 기능 사이버 검토(Cat 0, Cat 1, Cat 2)

각 정지 카테고리가 PL 또는 SIL 목표를 충족하며 대표 결함에서 정지 체인이 작동함을 확인

사이버 변조(서명되지 않은 펌웨어, 파라미터 쓰기, 디버그 포트 접근, 비정상 필드버스 프레임)가 정지를 지연시키거나 가리지 못함을 확인

대표적 사이버 변조 시도 하에서도 정지 체인이 작동함을 보여주는 결함 주입 기록

이격 감시 인증(협동 로봇 특화)

속도·이격 감시 구역, 비전 카메라 배치, 감시 정지 경계, 힘 제한 목표를 검증

모든 비전 입력을 인증, 카메라 스트림 무결성 검증, 보정 데이터 보호, 연결 손실이나 재전송 스트림 발생 시 안전 측 동작

스푸핑된 카메라, 누락된 비전 프레임, 재전송된 보정을 다루는 협동 로봇 테스트 팩; 사례별 안전 판정 기록

경계 게이트: 출시 승인은 안전 트랙과 사이버 트랙이 동일한 변경을 검토했음을 보여야 합니다. 안전 사례가 새 펌웨어를 보지 못했다면 서명된 업데이트 기록만으로는 부족합니다. ISO 10218-1:2025의 조항 번호는 라이선스 표준 텍스트가 검토된 이후 추가합니다. 그때까지는 범주 자체가 안정적이며 기록 형식이 산출물입니다.

공유 증거 범주는 안전 사례와 CRA 사이버 복원력 파일이 같은 로봇 변경을 검토해야 하는 지점을 보여 줍니다.

어떤 위협을 먼저 평가해야 하는가?

이 예시는 제품 특화 위협 14개로 시작합니다. 망라가 목적이 아니라, 제조사가 방어할 수 있어야 하는 추적성의 수준을 보여주는 것이 목적입니다.

ID	위협 시나리오	위험 자산	진입점
R1	엔지니어링 스테이션이 운영자 인증 없이 프로그램을 푸시	운동 프로그램	엔지니어링 포트
R2	복구 슬롯이 이전 또는 서명되지 않은 펌웨어 번들을 수용	펌웨어 무결성	복구 모드
R3	펜던트가 약한 또는 기본 비밀번호를 수용하고 운영자가 바뀌어도 로그인 상태 유지	엔지니어링 자격 증명	펜던트
R4	기본 OPC UA 엔드포인트가 공장 LAN에서 익명 응답	보정 및 프레임 데이터	공장 네트워크
R5	안전 구성이 서명된 번들이나 대역 외 확인 없이 적재 가능	안전 구성	안전 컨트롤러
R6	제조사 클라우드의 서비스 터널이 유지보수 세션 이후에도 열린 채 유지	플릿 클라우드 자격 증명	원격 지원
R7	저장소의 보정 데이터가 변경되어 TCP가 조용히 이동	보정	컨트롤러 저장소
R8	위조된 EtherCAT 또는 필드버스 프레임이 모션 CPU 결함이나 사이클 시간 초과를 유발	운동 가용성	필드버스
R9	USB 백업이나 복구 이미지가 운영자 감사 없이 적용 가능	펌웨어 무결성	서비스 매체
R10	진단 번들이 프로그램 이름, 인증서, 네트워크 식별자를 내보냄	서비스 데이터	지원 포털
R11	RT 운영체제, 필드버스 스택, 비전 모듈의 취약점이 지원 기간 중 탐지되지 않음	펌웨어 구성요소	공급사 권고 공백
R12	운영자 역할 바인딩이 고객 이전 이후에도 유지되어 옛 엔지니어링 스테이션이 컨트롤러에 계속 쓰기	엔지니어링 자격 증명	사용 종료 공백
R13	프로그래밍 런타임 파서가 비정상 프로젝트 파일에서 충돌하거나 안전하지 않은 콘텐츠를 실행	도구 무결성	프로젝트 임포트
R14	통합업체가 적합성 주장이 누락되었거나 오래된 제3자 안전 PLC와 암을 결합	공급사 적합성	셀 인계

다음으로 통합업체 인계는 별도로 살펴봅니다. 결과 셀의 제조업체가 누구로 간주되는지, 어떤 기록이 함께 이동해야 하는지가 핵심입니다.

CRA 관점에서 본 로봇 제조사, 시스템 통합업체, 최종 사용자각 역할은 자체 증거 경계를 가지며, 시스템 통합업체는 새로운 결합 제품의 제조업체가 될 수 있습니다.

로봇 제조사부품 제조업체

암, 컨트롤러, 안전 컨트롤러, 펜던트, 프로그래밍 런타임, 서명된 업데이트, 플릿 클라우드를 책임집니다. 증거: 출하 제품 파일과 취약점 처리 프로세스.

시스템 통합업체기계 제조업체

암을 안전, 비전, 지그, 셀 로직과 결합합니다. 셀이 통합업체의 이름으로 출하될 때는 통합업체가 셀의 제조업체가 됩니다. 증거: 셀 수준 경계 메모와 부품 실사.

최종 사용자운영자 및 수령자

셀을 운용하고, 유지보수 창에서 업데이트를 적용하며, 문제를 보고합니다. 제조업체는 아닙니다. 증거: 적용된 권고 로그와 사용 종료 기록.

수입업체, 유통업체, 기타 재판매자새로운 제조업체로 전환 가능

로봇을 자체 브랜드로 판매하거나 실질적으로 수정하는 수입업체나 유통업체는 해당 판매에 대해 제조업체 의무를 인수합니다. 다른 재판매자는 업데이트 채널, 펌웨어 식별, 플릿 클라우드, 의도된 사용을 바꾸는 실질적 변경을 가했을 때만 그 선을 넘습니다. 트리거와 함께 어느 제품 파일 부분이 수정된 출시와 함께 이동하는지를 기록합니다.

인계 게이트: 제조사와 통합업체는 누가 어떤 지원 의무를 이행하는지, 어떤 산출물이 셀과 함께 이동하는지를 서면으로 합의해야 합니다.

통합업체가 완성 셀을 만드는 경우, 파일은 누가 제조업체가 되고 어떤 증거가 셀과 함께 이동하는지 보여 줘야 합니다.

초기 위험은 어떻게 등급화해야 하는가?

모든 위험이 같은 결정을 받지 않도록 출시 게이트 사다리를 사용합니다:

게이트 결정	예시 위험 등록부에서의 의미
출시 차단	통제가 구현되고 시험될 때까지 제품은 출하해서는 안 됩니다.
문서화 없으면 차단	보완 통제, 제한, 또는 변형별 근거가 작성되고 승인된 경우에만 출시 가능합니다.
모니터링 하에 출하	잔존 위험은 남을 수 있지만, 파일에는 모니터링 신호와 담당자가 명시되어야 합니다.
가이드로 이관	조건이 고객 셀에 달려 있으므로 제조사는 통합업체나 운영자 지침을 보관합니다.
수용	이 예시에서는 잔존 위험이 충분히 낮으며, 근거를 파일에 보관합니다.

ID	가능성	영향	게이트 결정	사유
R1	높음	높음	출시 차단	엔지니어링 쓰기는 로봇 제어의 핵심
R2	낮음	심각	출시 차단	업데이트 우회는 향후 모든 펌웨어 수정에 영향
R3	높음	높음	출시 차단	공유 펜던트는 가장 흔한 운영자 표면
R4	중간	높음	출시 차단	OPC UA 오설정은 실제 셀에서 광범위하게 보고됨
R5	낮음	심각	출시 차단	안전 구성은 컨트롤러에서 가장 엄격한 쓰기 권한
R6	중간	높음	문서화 없으면 차단	서비스 터널은 유용하지만 명시적 시간 제한과 비활성화가 필요
R7	중간	높음	출시 차단	TCP가 조용히 이동하면 불량품 또는 더 큰 문제 발생 가능
R8	중간	중간	문서화 없으면 차단	실시간 버스 스트레스는 테스트가 필요하며 일부 결함은 생산에서만 드러남
R9	중간	중간	문서화 없으면 차단	USB 전송은 일상적이며 감사 기록이 차이를 만듦
R10	중간	중간	모니터링 하에 출하	지원 번들은 필요하며 마스킹과 동의가 통제
R11	중간	높음	모니터링 하에 출하	긴 지원 창 동안 공급사 취약점은 예상되는 사안
R12	중간	높음	출시 차단	산업 장비의 이전이나 재판매 경로는 예측 가능
R13	낮음	높음	문서화 없으면 차단	프로젝트 파일 파서는 신뢰할 수 없는 콘텐츠를 처리
R14	중간	중간	가이드로 이관	셀 수준 적합성 주장은 통합업체 책임이며 제조사는 부품 증거를 제공

어떤 설계 통제가 위험 그림을 바꾸는가?

통제 표는 R-ID로 추적 가능해야 하지만, 일반적인 보안 개발 체크리스트처럼 읽혀서는 안 됩니다. 각 통제에 대해, 제조사는 이 특정 출시에 통제가 존재함을 증명하는 시험, 설계 노트, 운영 기록을 제시할 수 있어야 합니다.

위협	설계 통제	제조사가 보관해야 할 증거
R1, R3	인증된 엔지니어링 세션, 운영자별 펜던트 계정, 공유 기본 자격 증명 금지, 시간 제한 자동 로그아웃	인증 시험, 펜던트 접근 매트릭스, 비인증 쓰기에 대한 부정 시험
R2, R9	보안 부트, 서명된 펌웨어, 단조 증가 버전 카운터, 다운그레이드 거부, USB 감사	부트 체인 증거, 업데이트 검증 로그, USB 임포트 감사 샘플
R4	OPC UA 보안 프로파일 기본 적용, 인증된 엔드포인트, 인증서 신뢰 목록, 시운전 후 서비스 인벤토리	시운전 후 서비스 스캔, OPC UA 구성 시험
R5	서명된 안전 구성, 사이버 관련 변경 시마다 안전 엔지니어와 공동 검토, 안전 펌웨어 업데이트에 대한 대역 외 확인	안전 구성 사인오프, 안전 펌웨어 다운그레이드 거부 시험
R6	시간 제한 서비스 터널, 펜던트에서의 명시적 활성화, 가시화된 터널 상태, 자격 증명 회전	터널 비활성화 시험, 원격 지원 감사 로그
R7	보정 데이터 무결성 검사, 통합업체 기준선과 주기적 비교, 미승인 변경 시 알람	보정 무결성 시험, 드리프트 알람 샘플
R8	필드버스 퍼지 테스트, 워치독 복구, 비정상 프레임 로깅	필드버스 퍼지 보고서, 워치독 복구 시험
R9 (R2와 중복)	위 참조	위 참조
R10	진단 번들 최소화, 마스킹, 업로드 전 운영자 동의, 보관 한도	진단 스키마, 마스킹 시험, 지원 워크플로 기록
R11	RT 운영체제, 필드버스 스택, 비전 모듈, 모션 CPU의 명시된 담당자를 포함한 구성요소 인벤토리; 권고 감시와 분류	구성요소 등록부, 권고 기록, 분류 결정
R12	사용 종료 와이프, 플릿 클라우드 연결 해제, 이전 시 자격 증명 회전, 재정비 컨트롤러 체크리스트	사용 종료 체크리스트, 클라우드 연결 해제 감사, 와이프 검증
R13	프로젝트 파일 파서 강화, 비정상 프로젝트 테스트 코퍼스, 프로그래밍 런타임 샌드박싱	파서 퍼지 보고서, 임포트 회귀 시험
R14	공급사 증거 맵이 포함된 통합업체용 매뉴얼, 인계 시 공동 실사 기록, 통합업체로의 권고 라우팅	인계 메모, 통합업체 권고 기록

통제 적용 후 잔존 위험은 무엇인가?

통제를 적용한 후 제조사는 위협을 완료 처리하기보다 평가를 재수행해야 합니다. 이 예시에서는 공급사 취약점 경로, 통합업체 인계, 긴 제품 수명이 지원 기간 동안 능동적으로 관리됩니다. 잔존 위험은 모니터링, 분류, 서명된 업데이트 전달, 통합업체 통지, 시정 조치 프로세스가 실제로 운영되고 있음을 제조사가 보여줄 때에만 수용 가능합니다.

잔존 영역	잔존 이유	운영 증거
긴 제품 수명	로봇은 15년 이상 가동될 수 있고, 공급사 부품은 그 기간 동안 취약점을 받게 됨	부품 권고 감시, 지원 창 진술, 지원 종료 공시
고객 셀 로직	제조사는 통합업체가 작성한 운동 프로그램이나 셀 안전 구성을 소유하지 않음	경계 메모, 보안 프로그래밍 가이드, 통합업체용 매뉴얼
패치 타이밍	공장은 유지보수 창과 검증이 필요하며 일부 수정은 즉시 적용 불가	기계 영향 노트가 포함된 보안 권고, 완화 가이드, 롤백 경로
물리적 서비스 접근	캐비닛, 펜던트, 엔지니어링 스테이션은 유지보수 동안 물리적으로 접근 가능 상태 유지	서비스 모드 제약, 감사 샘플, 디버그 잠금 증거

플릿 클라우드 권고는 어떻게 라우팅되어야 하는가?

위 위험 평가는 하나의 로봇 캐비닛을 대상으로 실행됩니다. 권고 라우팅은 수백 대를 대상으로 실행됩니다. 제조사 플릿 클라우드가 여러 통합업체와 여러 운영자 사이트를 서비스할 때 질문은 '클라우드가 안전한가'가 아니라 '24시간 취약점 경보가 발령될 때 사슬에서 누가 듣는지, 사이트별 업데이트 창을 누가 승인하는지'입니다.

플릿 위상	제조사와 최종 사용자 사이의 행위자	제조사 출시 파일에서 달라지는 것
제조사와 직접 거래하는 단일 사이트 운영자	제조사 → 운영자	제조사 권고가 운영자 유지보수 팀으로 바로 라우팅되며, 사용자 통지 의무는 한 채널로 충족됨
중앙 공장 엔지니어링을 둔 다중 사이트 운영자	제조사 → 운영자 본사 → 사이트 엔지니어링 팀	제조사 권고가 운영자 본사 연락처로 라우팅되며, 어느 사이트가 어느 유지보수 창에 업데이트를 수용할지는 운영자가 결정. 권고가 단일 사이트 메일함에 묶이지 않도록 출시 파일에 운영자 본사 연락처를 기록
다수 운영자에 걸친 OEM 관리 플릿	제조사 → 로봇 OEM 운영팀 → 최종 운영자	제조사가 OEM 플릿 운영팀에 권고를 전달. OEM은 사이트별 기계 영향 노트와 함께 운영자 기반에 재배포. 제조사는 여전히 영향받는 사용자에게 도달할 경로가 필요하며 OEM은 대체 경로가 아니라 다운스트림 채널
통합업체 관리 플릿(시스템 통합업체가 SME 고객 기반의 플릿 클라우드를 운영)	제조사 → 통합업체 → SME 최종 사용자	제조사 권고가 이 컨트롤러 위에서 플릿을 운영하는 각 통합업체로 라우팅. 자체 브랜드로 출하하는 통합업체는 통합된 셀에 대해 제조업체 의무를 인수하며 제조사 권고는 통합업체의 취약점 처리 프로세스에 입력됨
플릿의 플릿(제조사 클라우드가 OEM·통합업체 클라우드와 연합)	제조사 플릿 ↔ OEM 플릿 ↔ 통합업체 플릿 ↔ 최종 운영자	어느 권고 사슬이 계약적이고 어느 사슬이 CRA가 강제하는 것인지 서면으로 정의. CRA 경로는 규제 보고와 사용자 통지를 다루며, 계약 경로는 기계 영향 노트, 유지보수 창 협상, 롤백 조정을 추가. 출시 파일에는 두 경로 모두 명시

출시 기록. 커넥터 목록의 각 통합업체와 운영자에 대해 24시간 취약점 경보 연락처, 유지보수 창 책임자, 롤백 권한자, 여전히 열려 있는 잔존 권고를 명시한 플릿 클라우드 라우팅 맵. 이 맵이 없으면 마감 시계가 누락된 수신자에 대해 흐릅니다.

출시 전에 어떤 검증 게이트가 작동하는가?

일반적인 '보안 검토 완료' 게이트는 피합니다. 로봇 출하를 중단시킬 수 있는 각 결정에 대해 실패 모드, 설계된 통제, 증명 산출물이 함께 적힌 하나의 출시 게이트 인벤토리를 사용합니다.

로봇 출시 게이트와 종료 기록 제조사가 사인오프 전에 종료해야 하는 여섯 가지 결정, 각각 명시된 증명 산출물을 동반.

G1최초 사용 주장과 인계출시 차단
- 실패
  통합업체 시운전 시 공유 공장 자격 증명이 회전되지 않음.
- 통제
  기기별 키, 강제 회전, 펜던트 계정 바인딩.
- 증명
  시운전 기록과 펜던트 접근 매트릭스.
G2시운전 후 노출 서비스출시 차단
- 실패
  익명 OPC UA, FTP, VNC, 웹 관리자가 공장 LAN에서 도달 가능.
- 통제
  서비스 최소화와 인증된 OPC UA 기본 적용.
- 증명
  시운전 후 서비스 스캔.
G3운동과 안전 권한출시 차단
- 실패
  펜던트, 엔지니어링 스테이션, 서비스 터널이 감사 없이 안전 구성을 변경.
- 통제
  인증된 세션, 서명된 안전 구성, 대역 외 확인.
- 증명
  권한 경로 매트릭스와 안전 구성 사인오프.
G4업데이트와 복구 경로출시 차단
- 실패
  복구 슬롯이 서명되지 않은 또는 이전 번들을 수용하여 업데이트가 악성코드 채널로 변질.
- 통제
  보안 부트, 서명된 업데이트, 단조 증가 카운터, 다운그레이드 거부.
- 증명
  다운그레이드 실패 시험 결과.
G5공급사 스택모니터링 하에 출하
- 실패
  지원 창 동안 RT OS, EtherCAT 스택, 비전 모듈에 취약점 발생.
- 통제
  담당자가 명시된 구성요소 인벤토리, 권고 감시, 백포트 준비.
- 증명
  영향 구성요소 분류 결정.
G6사용 종료와 재판매문서화 없으면 차단
- 실패
  이전된 컨트롤러가 이전 역할 바인딩, 클라우드 계정, 저장된 프로그램을 유지.
- 통제
  와이프, 플릿 클라우드 연결 해제, 자격 증명 회전, 재정비 컨트롤러 체크리스트.
- 증명
  와이프 및 클라우드 연결 해제 검증.

출시 차단문서화 없으면 차단모니터링 하에 출하

로봇 특화 출시 게이트는 무엇이 출하를 중단시킬 수 있고 어떤 기록이 각 게이트를 닫는지 보여 줍니다.

콘셉트부터 지원까지 로봇 개발은 누가 소유하는가?

리드 책임은 로봇이 제품 정의에서 라이브 지원으로 이동하면서 옮겨갑니다. 제품이 변하는 동안 각 단계에 한 명의 리드, 한 개의 유지 기록, 한 개의 검토 게이트를 배정하기 위해 이 트랙을 사용합니다.

산업용 로봇 출시의 책임 트랙 일러스트. 한 줄로 이어진 개발 트랙 위에 콘셉트부터 지원까지 여섯 단계가 표시되며, 각 단계의 리드 책임자, 유지 기록, 검토 게이트가 함께 나옵니다. 단계 사이에는 동결 마커가 자리합니다: 경계 동결, 설계 동결, 후보 동결, 결정 동결, 운영 유지. 점선 피드백 루프는 지원에서 콘셉트로 되돌아오며, 취약점 보고, 공급사 권고, 사고 결과가 다음 경계 메모, 위협 목록, 구성요소 등록부를 다시 연다는 신호를 줍니다. — 소유권 레일은 각 구축 단계의 기록 책임자, 종료 게이트, 다음 검토를 여는 신호를 배정합니다.

아키텍처 작업 전에 경계를 동결하고, 구현 전에 설계 의도를 동결하며, 검증 전에 후보를 동결하고, 출시 전에 결정을 동결하며, 출시는 지원 기간 동안 계속 운영합니다. 들어오는 보고, 공급사 권고, 사고 결과, 회귀 결과는 다음 경계 메모, 위협 목록, 구성요소 등록부를 다시 엽니다.

어떤 증거 기록이 파일에 들어가는가?

파일은 검토자가 제품 식별에서 보안 통제까지 로봇 의사결정을 따라갈 수 있게 해야 합니다. 아래 각 행은 흩어진 스크린샷 폴더가 아니라 유지되는 기록을 가리켜야 합니다.

증거 영역	산업용 로봇 또는 협동 로봇에 대해 캡처할 내용
제품 식별	암 모델, 가반하중, 도달거리, 컨트롤러 캐비닛, 펜던트, 펌웨어 브랜치, 프로그래밍 런타임 버전, 필드버스 옵션, 하드웨어 리비전
의도된 용도	통합업체 대상 부품 판매, 완전한 협동 로봇 셀, 클린룸 변형, 팰릿화 변형, 기타 산업용 용도
사이버 복원력 설계 파일	운동 권한 경로, 안전 구성 권한, 플릿 클라우드 노출, 공장 LAN 노출, 위협 목록, 처리 계획
구성요소 인벤토리	모션 CPU, RT 운영체제, EtherCAT 슬레이브 스택, 안전 마이크로컨트롤러, 엔코더 프로토콜, 게이트 드라이버, 비전 모듈, 프로그래밍 런타임 라이브러리
보안 기본값	공유 기본 자격 증명 없음, 서명된 업데이트, 다운그레이드 거부, OPC UA 보안 프로파일 기본 적용, 시운전 후 서비스 인벤토리
업데이트 메커니즘	서명된 펌웨어, 복구 슬롯, 기계 영향 노트, 고객 유지보수 창 가이드, 롤백 결정
취약점 처리	공개 정책, 단일 연락 창구, 분류 워크플로, 부품 권고 감시, 통합업체 통지 라우팅
사용자 지침	안전한 시운전, 역할 저장소 설정, 업데이트 설정, 사용 종료 및 지원 종료 공시
추적성과 연락처	형식, 배치 또는 시리얼 정보, 제조사 연락처, 지원 기간 종료일, 자동화 봇만이 아닌 단일 취약점 신고 연락처

로봇 SBOM에는 무엇이 들어가는가?

CRA는 제품 구성요소를 식별하고 최소한 최상위 종속성을 포함하는 기계 판독 가능 SBOM을 요구하지만, 단일 고정 포맷을 아직 지정하지는 않습니다. 위원회가 더 상세히 규정할 때까지 로봇 제조사는 보통 CycloneDX 또는 SPDX를 선택합니다. SBOM 메커니즘에 대한 교차 제품 상세는 별도의 SBOM 가이드에 있으며, 이 절은 로봇 특화 트리를 다룹니다.

로봇 출시에는 보통 업데이트 주기가 서로 다른 디지털 요소 여러 개가 함께 출하되며, 단일 바이너리가 아닙니다. CRA 최소 요건을 충족하는 두 가지 구현 패턴이 있습니다: 요소별 섹션을 가진 하나의 제품 수준 SBOM(모션 CPU, 안전 컨트롤러, RT OS, 펜던트 펌웨어 버전을 각각 고정), 또는 출하 디지털 요소당 하나의 SBOM을 각 출시마다 갱신. SBOM이 기계 판독 가능하고 최상위 종속성을 포함한다면 두 패턴 모두 수용 가능합니다.

하나의 로봇 출시에 대한 소프트웨어 자재명세서를 좌에서 우로 보여주는 트리 다이어그램. 왼쪽 루트 노드는 로봇 출시 전체. 곡선 가지 여덟 개가 오른쪽으로 펼쳐져 로봇에 출하되는 여덟 가지 최상위 디지털 요소에 연결됩니다: 모션 CPU 펌웨어, 안전 컨트롤러 펌웨어, 실시간 운영체제, 필드버스 스택, 비전 모듈 SDK 및 런타임, 프로그래밍 런타임 라이브러리, 펜던트 펌웨어, 플릿 클라우드 커넥터. 각 가지는 일반적인 구성요소를 잎 노드로 나열하고, 오른쪽 배지가 그 요소를 버전 고정하는 식별 체계(PURL, CPE, 공급사 ID, 서명, 빌드 해시)를 알려줍니다. 푸터 노트는 CRA 최소 요건을 다시 명시합니다: CycloneDX나 SPDX 같이 흔히 쓰는 기계 판독 가능 포맷에서의 최상위 종속성. — 로봇 구성요소 인벤토리는 각 최상위 디지털 요소, 일반적인 내용, 버전 고정 증거를 포함해야 합니다.

SBOM 기록: 최소한 최상위 종속성을 포함하는 CycloneDX 또는 SPDX 형식의 기계 판독 가능 SBOM. 권장 로봇 제조사 패턴: 요소별 섹션을 가진 하나의 제품 수준 SBOM, 또는 각 출시마다 갱신되는 출하 디지털 요소당 하나의 SBOM. 빌드 시스템이 산출 가능한 경우 더 깊은 전이 종속성을 포함하는 것이 권장됩니다. SBOM은 구성요소 권고 감시 기록(증거 맵의 '구성요소 인벤토리' 행)과 함께 두어, 알려진 취약점이 어느 라이브러리에 떨어졌고 어느 출시가 그것을 닫았는지를 검토자가 볼 수 있게 합니다.

출시 사인오프는 무엇을 점검하는가?

로봇이 EU 시장에 출시되기 전에, 사인오프는 아래 SVG가 Q1부터 Q4로 명명하는 동일한 네 개의 기록 폴더를 종료해야 합니다. 전체 파일 인벤토리는 위 증거 맵에 있으며, 이 표는 출시를 차단할 수 있는 네 가지 질문만 다룹니다.

폴더	출시 질문	로봇 특화 증거 지표
Q1 분류 근거 메모	이 제품을 왜 이렇게 분류했는가?	의도된 사용, 판매 맥락, 공급되는 디지털 요소, 통합업체 대 완전 셀 절차, 선택된 표준 절차
Q2 출하 요소 인벤토리	제품은 정확히 무엇인가?	암, 컨트롤러, 펜던트, 안전 컨트롤러, 프로그래밍 런타임, OTA 서비스, 플릿 클라우드 커넥터, 제외된 고객 셀 시스템
Q3 보안 기본값 테스트 팩	무엇이 기본적으로 보안 처리되었고 어떻게 안전하게 업데이트되는가?	공유 기본 자격 증명 없음, 서명된 업데이트, 다운그레이드 거부, OPC UA 보안 프로파일, 시운전 후 서비스 인벤토리, 잠긴 디버그 포트, 복구 슬롯, 기계 영향 노트, 유지보수 창 제안
Q4 취약점 처리 프로세스	출하 후 취약점과 심각한 사고를 어떻게 처리하는가?	공개 연락처, 공개 정책, 분류 워크플로, 부품 권고 감시, 통합업체 권고 라우팅, 24시간·72시간 신고 준비, 최종 보고 증거

출시 사인오프 장면 일러스트. 검토 책상 위에 Q1부터 Q4까지 네 개의 기록 폴더가 놓여 있습니다. Q1은 분류 근거 메모, Q2는 출하 요소 인벤토리, Q3는 보안 기본값 테스트 팩, Q4는 취약점 처리 프로세스. 각 폴더에서 나온 화살표가 책상 오른쪽의 출시 승인 도장으로 모이며 체크 표시가 찍혀 있습니다. 책상 아래 노트는 출시 전 점검을 나열합니다: 펌웨어 브랜치와 공급사 기준선에 고정된 파일, 24시간·72시간 신고 준비를 갖춘 명시된 담당자, 기기별 자격 증명과 OPC UA 보안 프로파일을 다루는 보안 기본값 테스트 팩. 푸터 배너는 사인오프 게이트를 반복합니다: 책상에서 기록이 누락되면 출시는 출하되지 않습니다. — 사인오프 전 제조사는 네 가지 기록을 제시할 수 있어야 합니다: 분류 근거, 출하 요소 인벤토리, 보안 기본값 테스트, 취약점 처리 준비입니다.

출시 사인오프 폴더 Q1부터 Q4

Q1 분류 근거 메모. 이 제품을 왜 이렇게 분류했는가? 의도된 사용, 판매 맥락, 공급되는 디지털 요소, 선택된 표준 절차.
Q2 출하 요소 인벤토리. 제품은 정확히 무엇인가? 암, 컨트롤러, 펜던트, 안전 컨트롤러, 프로그래밍 런타임, OTA 서비스, 플릿 클라우드 커넥터, 제외된 고객 셀 시스템.
Q3 보안 기본값 테스트 팩. 무엇이 기본적으로 보안 처리되었고 어떻게 업데이트되는가? 공유 기본 자격 증명 없음, 서명된 업데이트, 다운그레이드 거부, OPC UA 보안 프로파일, 시운전 후 서비스 인벤토리, 유지보수 창 가이드.
Q4 취약점 처리 프로세스. 취약점과 심각한 사고를 어떻게 처리하는가? 공개 연락처, 공개 정책, 분류 워크플로, 부품 권고 감시, 경보·신고·최종 보고에 대한 신고 준비.

출시 전 점검(사인오프 전 책상 위):

각 폴더가 이번 출시의 정확한 펌웨어 브랜치와 공급사 부품 기준선에 고정됨.
24시간·72시간 신고 준비를 갖춘 명시된 담당자 배정.
보안 기본값 테스트 팩이 기기별 자격 증명과 OPC UA 보안 프로파일을 포함.

사인오프 게이트: 기록이 누락되면 출시는 사인오프되지 않습니다.

선언 기록: 템플릿과 필수 항목은 메인 EU 적합성 선언 가이드를 참고합니다. 로봇 출시의 경우 제품 식별에 암, 컨트롤러 캐비닛, 펜던트, 펌웨어 브랜치, 공급 옵션, 지원 기간 참조를 고정합니다. 동일한 선언이 기계 규제 영역까지 다룬다면 선언에 그 경로를 명시하고 로봇 기술 파일과 기계 안전 파일을 정합시킵니다.

로봇은 수입업체, 유통업체, 통합업체, 운영자에게 어떻게 인계되는가?

출시 파일은 로봇 제조사에서 수입업체, 유통업체, 제조업체로서의 통합업체, 최종 사용자로의 인계가 검증 가능하도록 만들어야 합니다. 로봇과 협동 로봇의 경우 약점은 보통 CE 마킹 자체가 아니라, 출하, 매뉴얼, 플릿 클라우드, OTA 서비스, 통합업체 인계가 평가된 출시와 여전히 일치하는지에 있습니다.

산업용 로봇 출시의 경제 운영자 인계 일러스트. 제조사 출시 패키지가 수입업체의 출시 전 수용, 유통업체의 가시적 주의, 셀의 기계 제조업체로서의 통합업체, 공장 바닥의 운영자를 거치는 수평 흐름 트랙을 따라 이동합니다. 아래 정지 조건 행은 출하나 등재를 중단시키는 사례를 명시합니다. 아래 두 개의 사이드 체크: 사이드 체크 A는 EU 공인대리인 지정이 임의이며, EU에 주된 사업장이 없는 제조업체는 공인대리인, 수입업체, 유통업체, 최다 사용자 순서의 신고 엔드포인트 캐스케이드를 따른다고 설명; 사이드 체크 B는 자체 브랜드 수입업체나 유통업체와 실질적 수정자가 영향받는 출시에 대해 제조업체가 될 수 있다고 설명. 푸터는 인접 제도(기계 규정 2023/1230, ISO 10218-1:2025, NIS2, AI Act)를 별도 평가로 나열합니다. — 인계 지도는 누가 각 사전 판매 점검을 책임지고, 각 역할에서 무엇이 로봇 진행을 멈추는지 보여 줍니다.

경제 운영자 인계: 역할, 사이드 체크, 인접 제도

01 제조사. 출시 패키지(선언, CE, 파일 인덱스, 지원 창, 취약점 연락처)를 책임집니다.
02 수입업체(출시 전 수용). 패키지, CE, 파일 인덱스, 지원일, 취약점 연락처를 검증합니다. 패키지, 추적성, 펜던트 자격 증명 모델, 플릿 클라우드 계정, 업데이트 채널이 의심스러우면 출하를 중단합니다.
03 유통업체(가시적 주의). 등재 CE, 공급 문서, 운영자 추적성, 지원 및 업데이트 진술을 점검합니다. 지원을 과장하거나 운영자를 가리거나 선언과 불일치하거나 알려진 문제 이후에도 계속 판매하면 등재를 중단합니다.
04 통합업체(기계 제조업체). 암을 안전, 비전, 셀 로직과 결합합니다. 셀이 통합업체의 이름으로 출하될 때는 통합업체가 셀 제조업체가 됩니다. 출시 전 셀 수준 경계 메모와 부품 실사 필요.
05 운영자(공장 바닥의 최종 사용자). 권고를 수신하고, 유지보수 창에서 업데이트를 적용하며, 문제를 보고합니다. 제조업체는 아닙니다.

사이드 체크 A · 임의의 공인대리인 위임과 비EU 신고. EU 공인대리인 위임은 비EU 의무가 아니라 임의 선택입니다. 공인대리인이 없는 비EU 제조사는 수입업체 단계부터 신고 엔드포인트 캐스케이드를 따릅니다.

사이드 체크 B · 새로운 제조업체 트리거. 자체 이름이나 상표로 로봇을 출시하거나 실질적으로 수정하는 수입업체나 유통업체는 해당 판매에 대해 제조업체가 됩니다. 다른 당사자는 실질적 변경을 가했을 때만 그 선을 넘으며, 변경이 제품 사이버보안 전체에 영향을 주지 않는 한 영향 받은 부분에 한정됩니다.

인접 제도(각각 별도 평가): 기계 규정 2023/1230(2027년 1월 20일부터), ISO 10218-1:2025 안전 사례, 핵심 인프라 운영자에 대한 NIS2, AI 기반 응용에 대한 AI Act.

아래 행은 단축본입니다: 무엇을 검증하고, 언제 중단하며, 언제 로봇에 새 역할 분석이 필요한지. 교차 제품 역할 트리거 상세(제조업체, 수입업체, 유통업체, 공인대리인, 오픈소스 소프트웨어 스튜어드)는 CRA를 누가 준수해야 하는가에 있습니다.

수입업체 수용

선언, CE 통제, 파일 인덱스, 지원 기간 진술, 취약점 연락처, 수입업체 식별, 도착지 언어 매뉴얼을 검증합니다. 패키지, 추적성, 펜던트 자격 증명 모델, 플릿 클라우드 계정, 업데이트 채널이 의심스러우면 중단합니다.

유통업체 주의

등재에서 가시적 CE, 공급 문서, 운영자 추적성, 지원·업데이트 진술을 점검합니다. 판매 형태가 운영자를 가리거나, 지원을 과장하거나, 선언과 불일치하거나, 알려진 문제 이후에도 계속 판매하면 중단합니다.

기계 제조업체로서의 통합업체

암을 안전, 비전, 셀 로직과 결합하는 통합업체는 셀이 통합업체의 이름으로 출하될 때 기계 제조업체가 됩니다. 그러면 통합업체가 부품 실사를 수행합니다. 로봇 제조사는 암, 컨트롤러, 출하 소프트웨어에 대해 부품 제조업체로 남습니다.

자체 브랜드의 수입업체 또는 유통업체

EU 시장에 로봇을 자체 이름이나 상표로 출시하는 수입업체나 유통업체는 해당 판매에 대해 제조업체가 됩니다. 이미 시장에 출시된 로봇을 실질적으로 수정하는 수입업체나 유통업체에도 동일합니다: 브랜드 펌웨어, 새 펜던트 식별, 새 플릿 클라우드, 새 업데이트 채널, 새 안전 구성, 새 의도된 목적. 제조사의 제품 파일은 비공식적 약속으로 승계되지 않습니다.

실질적 수정 후 기타 재판매자

제조업체, 수입업체, 유통업체가 아닌 당사자는 시장에 내놓기 전에 로봇을 실질적으로 수정할 때만 제조업체가 됩니다. 역할은 영향 받은 부분, 또는 변경이 사이버보안 전체에 영향을 줄 경우 제품 전체에 적용됩니다. 새 업데이트 경로, 변경된 의도된 사용, 교체된 보안 경계는 새 역할 점검으로 다룹니다.

공인대리인과 비EU 신고

제조업체는 서면 위임으로 EU 공인대리인을 지정할 수 있으며, 이는 의무가 아닌 선택입니다. 신고 엔드포인트 선정은 다른 사실로 작동합니다: EU에 주된 사업장이 없는 경우. 그 위치의 제조업체는 CRA의 캐스케이드를 사용합니다: 공인대리인, 수입업체, 유통업체, 그리고 최다 사용자 기반. 공인대리인을 지정하지 않은 비EU 제조사는 수입업체 단계에서 시작합니다.

인접 제도 점검

기계 규정 2023/1230(2027년 1월 20일부터)과 ISO 10218-1:2025가 안전 사례를 다룹니다. 운영자가 핵심 인프라 사업체라면 NIS2가 적용됩니다. 비전 또는 AI 응용에는 AI Act가 적용됩니다. 각 제도는 별도의 평가입니다.

자주 묻는 질문

산업용 로봇과 협동 로봇은 CRA의 중요 제품인가, 핵심 제품인가?

산업용 로봇과 협동 로봇은 CRA의 중요 제품 목록이나 핵심 제품 목록에 등재되어 있지 않습니다. 계획상의 가정은 기본 절차입니다. 등재 기능이 판매의 본질을 차지할 때(예: 로봇이 주로 방화벽 게이트웨이, 네트워크 관리 시스템, 변조 방지 마이크로컨트롤러 기반 강화 컨트롤러로 판매되는 경우)만 절차가 중요 제품으로 이동합니다. 자동으로 핵심 절차를 강제하는 로봇 범주는 없습니다.

분류 기록: 정확한 암과 컨트롤러 변형에 대해 의도된 사용, 공급되는 디지털 요소, 절차 선택의 근거를 명시한 한 페이지 메모.

6축 로봇 암에 인증기관(Notified Body) 평가가 필요한가?

기본 제품에는 필요하지 않습니다. 로봇과 협동 로봇은 현재 중요 제품 목록에 없으므로 적합성 절차는 기본 절차로 진행되며, 제조업체는 내부 통제, EU 형식 검사 + 모듈 C, 완전 품질 보증, 또는 적용 가능한 유럽 사이버보안 인증 체계 중에서 선택합니다. 인증기관은 제조사가 실제로 선택한 모듈에만 관여합니다: 내부 통제는 전적으로 내부 수행이며, 나머지 모듈은 인증기관이 관여합니다. '표준이 전면 적용된 경우' 전제는 Class I 폴백에 해당하며, 향후 갱신에서 로봇이나 협동 로봇 하위 제품이 목록에 추가되어야만 적용됩니다.

적합성 절차 기록: 선택된 절차, 의존한 표준, 격차, 근거를 명시한 짧은 메모. 중요 제품 목록이 로봇 하위 제품을 포함하도록 개정될 경우, 메모는 미충족 영역에 대해 Class I 조건부 폴백이 적용되는지 기록합니다.

기계 규정이 이미 사이버 측면을 다루지 않는가?

기계 규정 2023/1230은 2027년 1월 20일부터 적용되며, 변조 보호와 안전 제어 신뢰성을 포함해 기계에 대한 안전 관련 사이버보안 요구사항을 담고 있습니다. CRA는 그 위에 있는 사이버 복원력 계층입니다: 더 넓은 보안 태세, 취약점 처리 프로세스, 지원 기간 의무를 다룹니다. 안전 파일과 사이버 파일은 같은 제품 폴더의 두 갈래로 다루고, 별개의 두 컴플라이언스 프로젝트로 분리하지 않습니다.

재점검 트리거: 안전 관련 펌웨어, 안전 구성 모델, 업데이트 채널의 모든 변경은 두 갈래 모두를 다시 엽니다.

통합업체가 셀을 구축할 때 CRA상 제조업체는 누구인가?

로봇 제조사는 암, 컨트롤러, 안전 컨트롤러, 출하 소프트웨어에 대한 제조업체로 남습니다. 통합업체는 기계 규정상 결과 셀의 기계 제조업체가 됩니다. 셀이 통합업체의 이름으로 시장에 출시되는 경우, 통합업체는 결합 제품의 사이버 복원력 측 제조업체이기도 할 수 있으며 각 통합 부품에 대해 실사를 수행해야 합니다. 같은 출하 안에서 두 역할이 공존할 수 있습니다.

경계 기록: 어떤 산출물이 셀과 함께 이동하고 어떤 것이 로봇 제조사에 남는지를 명시한 서면 인계 메모.

SME 작업장용 협동 로봇은 펜스가 있는 로봇과 같은 범주에 들어가는가?

범주는 같습니다: 사이버 복원력 계층의 산업용 로봇이지 스마트홈 제품이 아닙니다. 위험 프로파일은 다릅니다. 사람과 협동하는 힘 제한 협동 로봇은 안전 등급 힘, 속도, 이격 감시에 더 크게 의존하며, 이는 안전과 사이버의 중첩을 더 좁게 만듭니다. 출시 파일은 그 중첩을 반영해야 하며 범주를 바꾸지는 않습니다.

위험 평가 기록: 협동 운전 모드와 그것을 무력화할 수 있는 사이버 사건을 명시한 협동 로봇 특화 항목.

로봇이 비전, AI, 원격 텔레오퍼레이션과 함께 출하되는 경우는 어떤가?

번들된 비전 시스템이나 AI 모듈은 공급되는 디지털 요소이며 제품 경계 안에 남습니다. 제조사가 공급하는 원격 텔레오퍼레이션도 경계 안에 있으며 명시적 권한, 시간 제한, 감사가 필요합니다. AI 기반 응용은 별도 제도의 대상이 될 수도 있으니, 그 평가들을 하나로 묶지 않습니다.

경계 기록: 각 번들 요소의 담당자, 업데이트 경로, 제외된 상대물을 명시합니다.

클라우드 플릿 관리는 제품 경계를 바꾸는가?

클라우드 플릿 관리 그 자체만으로 절차가 바뀌지는 않습니다. 제조사가 플릿 클라우드를 공급하고 컨트롤러가 그것 없이는 기능을 수행하지 않는다면, 그 클라우드를 경계, 증거, 위험 평가의 일부로 다룹니다. 분류는 여전히 컨트롤러의 핵심 기능을 따릅니다.

경계 기록: 로봇과 함께 공급되는 플릿 서비스, 그것 없이 작동하지 않는 기능, 처리하는 데이터, 제조사 판매 범위 밖에 있는 시스템을 보여주는 클라우드 종속성 맵.

로봇 CRA 위험 평가는 무엇을 포함해야 하는가?

법적 라벨이 아니라 제품 경계에서 시작합니다. 완전한 협동 로봇의 경우 암, 컨트롤러 캐비닛, 펜던트, 안전 컨트롤러, 프로그래밍 런타임, 플릿 클라우드 커넥터, OTA 서비스, 취약점 연락처, 사용 종료 경로를 포함합니다. 그다음 자산, 신뢰 경계, 위협, 가능성, 영향, 초기 결정, 통제, 증거, 잔존 위험을 나열합니다.

위험 평가 기록: 자산 인벤토리, 신뢰 경계 맵, 위협 목록, 초기 결정, 처리 계획, 잔존 위험 근거, 각 출시 후 신호에 대한 명시된 담당자.

로봇 위협 모델은 얼마나 구체적이어야 하는가?

엔지니어가 시험할 수 있을 정도로 구체적이어야 합니다. '비인가 운동'은 너무 모호합니다. 유용한 항목은 다음에 가깝습니다: '로그인 상태로 남은 펜던트는 운영자가 안전 구성이 설정한 작업공간 경계를 초과하는 프로그램을 적재하게 합니다.' 그것은 자산, 진입점, 공격자 기회, 통제, 시험 증거를 가리킵니다.

시험 산출물: 항목당 하나의 위협 티켓, 그리고 통제가 작동함을 입증하는 펜던트, 플릿 클라우드, 업데이트, 필드버스, 보정, 지원 익스포트, 사용 종료 시험에 연결.

어떤 로봇 위험을 먼저 평가해야 하는가?

운동이나 안전 구성을 바꿀 수 있는 경로부터 시작합니다: 펜던트 권한, 엔지니어링 스테이션 쓰기 권한, 서명된 업데이트, 복구 슬롯, 안전 펌웨어 경로, OPC UA 노출, 서비스 터널. 이들은 출시 전에 설계를 바꿀 가능성이 가장 큰 경로입니다.

출시 점검: 운동 권한, 안전 구성 권한, 노출 서비스, 공급사 권고 모니터링, 사용 종료, 통합업체 인계를 다루는 출시 전 체크리스트.

좋은 로봇 위험 항목 예시는 무엇인가?

예시: 'R2: 복구 슬롯이 서명되지 않은 또는 이전 펌웨어 번들을 수용함.' 초기 가능성은 낮을 수 있지만, 망가진 복구 경로는 플릿을 수년간 손상시킬 수 있어 영향은 심각합니다. 통제는 보안 부트, 서명된 복구 이미지, 단조 증가 버전 점검, 롤백 정책, 다운그레이드 거부 시험입니다. 증거는 부트 체인 설계, 업데이트 검증 로그, 출시 기록에 첨부된 다운그레이드 실패 시험입니다.

시험 산출물: 정확한 펌웨어 빌드에 대한 부트 체인 설계 노트, 서명된 업데이트 검증 로그, 거부된 다운그레이드 시험, 복구 슬롯 시험 결과.

위험 평가는 언제 갱신해야 하는가?

신뢰에 영향을 주는 방식으로 출시된 상태가 바뀔 때마다 갱신합니다: 새 펜던트 계정 모델, 새 필드버스 옵션, 플릿 클라우드 변경, 안전 펌웨어 변경, 프로그래밍 런타임 변경, 새 비전 모듈, 디버그 포트 동작 변경, 새 사용 종료 경로. 변경이 권한 경로를 다시 연다면 출시 노트만으로는 충분하지 않습니다. 여기서는 더 이른 날짜가 중요합니다: 신고 의무는 CRA 본체가 2027년 12월 11일에야 전면 효력을 갖더라도 2026년 9월 11일부터 적용됩니다. 평가, 공개 정책, 명시된 단일 연락 창구는 신고 마감이 흐르기 전에 작동해야 합니다.

재점검 트리거: 권한, 업데이트, 노출 서비스, 공급사 부품, 사용 종료의 모든 변경은 경계와 위험 평가를 다시 엽니다.

로봇 제조사가 가장 먼저 작성할 증거 항목은 무엇인가?

정확한 변형에 대한 짧은 분류·경계 메모로 시작합니다: 암 모델, 가반하중, 도달거리, 컨트롤러 캐비닛, 펜던트, 필드버스 옵션, 프로그래밍 런타임, 플릿 클라우드 커넥터, 의도된 사용, 제외된 고객 시스템. 메모는 절차 근거와 지원 창을 명시해야 합니다.

분류 기록: 위험 평가, 적합성 절차 선택, 파일 인덱스, 수입업체 패키지, 지원 기간 진술이 모두 참조할 수 있는 한 페이지 메모.

출시 이후 취약점이 발견되면 어떻게 하는가?

CRA는 제품이나 지원 프로세스가 적합하지 않을 때 제조업체가 즉시 시정 조치를 취하도록 요구하며, 필요한 경우 제품을 회수하거나 리콜하도록 요구합니다. 운영상 파일에는 신고 순서에 대한 준비가 필요합니다: 적극적으로 악용되는 취약점에 대한 24시간 조기 경보, 72시간 취약점 신고, 시정 또는 완화 조치가 마련된 시점의 최종 보고, 사용자 통지. 로봇의 경우 시정 조치는 보통 기계 영향 노트와 유지보수 창 제안을 동반한 서명된 펌웨어 업데이트이며, 리콜은 컨트롤러가 현장에서 안전하게 업데이트될 수 없는 경우에 한합니다.

리콜 기록: 영향받는 시리얼, 컨트롤러 펌웨어 브랜치, 통합업체, 유통업체, 완화 단계, 서명된 업데이트 산출물, 사용자 권고 문안, CSIRT 통지 참조를 명시한 시정 조치 노트.

다음 단계

작업 예시를 정확한 로봇 또는 협동 로봇 변형에 대한 다섯 가지 출시 행동으로 옮깁니다.

이번 출시의 절차를 결정합니다. 판매 형태가 통합업체 대상 부품 판매인지, SME 대상 완전 협동 로봇 셀인지, 다른 이름으로 판매되는 완성 기계에 내장된 암인지 확인합니다. 제품 허브는 로봇 특화 메모를 대체하지 않고 교차 점검 도구로 사용합니다.
분류·경계 메모를 작성합니다. 판매 주장, 의도된 사용, 공급되는 암과 컨트롤러, 펜던트, 프로그래밍 런타임, 플릿 클라우드, 업데이트 경로, 취약점 처리 경로, 지원 기간, 제외된 고객 시스템을 명시합니다.
지원 기간 진술을 공개합니다. 구매자가 보는 지원 기간 종료일을 매뉴얼, 업데이트 계획, 부품 지원 가정, 지원 종료 공시, 출시 파일과 정렬합니다. 15년 기계 수명이 그 자체로 CRA 지원 창을 늘리지는 않으며, 파일은 제조사가 실제로 이행할 수 있는 내용에 대해 정직해야 합니다.
출하 내용을 인벤토리화합니다. 평가된 출시에 속하는 암 하드웨어 리비전, 컨트롤러 펌웨어 브랜치, 안전 펌웨어 리비전, 펜던트 펌웨어, 프로그래밍 런타임 버전, 플릿 클라우드 커넥터 빌드, 필드버스 옵션, 공급사 입력을 고정합니다.
출시 이후에도 파일을 살아있게 유지합니다. 취약점 접수, 공급사 권고 모니터링, 보안 업데이트 전달, 통합업체 통지, 잔존 위험 검토, 분류나 경계 결정을 다시 열 수 있는 다음 변경에 대한 담당자를 배정합니다.

← CRA 제품 가이드