2026년 7월 1일, 중국의 의무적 차량 사이버 보안 표준인 GB 44495-2024가 마침내 신규 신고 차량 모델에 대한 엄격한 관문이 되었다. 중국 공업정보화부(MIIT)는 원래 시행일을 2026년 1월 1일로 설정했으나, 2025년 12월 말에 발표된 수정안 제1호를 통해 6개월 연기했다. 7월 1일 이후 카탈로그 등재를 위해 신규 모델을 신청하는 제조사는 이제 공인된 시험 기관으로부터 완전한 GB 44495 및 GB 44496 시험 성적서를 제출해야 하며, 구두 준수 선언은 무효 처리된다. 또한 신청에 실패할 경우 우회할 방법 없이 중국 강제 인증(CCC) 절차가 차단된다. 기존 양산 모델은 2028년 1월 1일까지 규정을 준수해야 한다.

그보다 9일 전, 아시아 태평양 지역의 다른 한편에서는 인도 도로교통부(MoRTH)가 중앙 자동차 규칙(CMVR) 산하에 규칙 125-T 및 125-U를 제안하는 자체 통지 초안을 발표했다. 이는 인도가 커넥티드 차량에 대해 최초로 시도한 법적 구속력이 있는 사이버 보안 및 소프트웨어 업데이트 요구 사항이다. 이 초안은 시행되기 전 30일간의 공개 의견 수렴을 거친다. 아시아 태평양 지역에서 가장 큰 두 자동차 시장이 같은 달에 사이버 보안에 대한 움직임을 보이고 있으나, 완전히 다른 두 가지 법적 도구와 서로 다른 도입 일정을 채택하고 있으며, 어느 쪽도 상대방의 표준을 인정하지 않는다.

이것이 2026년 아시아 태평양 지역의 차량 형식 승인 규제 준수를 정의하는 모습이다. 일본은 5년 전에 국내법으로 전환한 UN 규정의 마지막 단계를 마무리하고 있다. 한국은 2030년까지 매년 상향되는 무공해 차량 판매 할당량을 강화하고 있다. 중국은 세계 대부분의 국가가 이미 따르고 있는 UNECE 규정을 대체하는 것이 아니라, 자체적인 GB 표준을 병행하여 운영한다. 단일 일정을 추적하며 그것이 해당 지역 전체를 포괄한다고 가정하는 규제 준수 팀은 잘못된 대상을 추적하고 있는 것이다.

아시아 태평양 지역 전역에서 차량 형식 승인 결정을 실질적으로 주도하는 규제 기관은 어디인가?

상호 인정이 없는 4개의 국가 시스템이 각각 자체적인 법적 도구를 운영하고 있다. 중국의 MIIT와 국가시장감독관리총국(SAMR)은 도로 모터 차량 생산 접근, 중국 강제 인증(CCC/3C) 제도, 그리고 중국 자체의 사이버 보안 및 소프트웨어 업데이트 규제로 점차 기능하고 있는 GB 국가 표준을 공동으로 관리한다. 일본의 국토교통성(MLIT)은 도로 운송 차량법과 도로 차량의 보안 기준(Hoan Kijun)을 집행하며, 이를 통해 R155 사이버 보안, R156 소프트웨어 업데이트, R157 자동 차로 유지 등 일본이 채택한 UNECE UN 규정에 국내 법적 효력을 부여한다. 한국의 국토교통부(MOLIT)는 자동차 관리법과 자동차 안전 기준(KMVSS)을 관리하는 반면, 기후에너지환경부(MCEE)는 연비 및 무공해 차량 의무를 별도로 관할한다. 인도의 MoRTH는 ARAI 및 AISC를 통해 자동차법과 CMVR에 따른 형식 승인 및 안전 표준을 설정한다.

UNECE 1958년 협정은 이 모든 것의 기반이 되는 조화로운 계층이 되어야 하며, 일본과 한국은 모두 국내 입법을 통해 UN 규정을 직접 적용하는 체약국이다. 중국은 동일한 방식으로 1958년 협정의 당사국이 아니며, 대신 UN R155 또는 R156 인증서를 상호 인정하지 않는 자체 GB 표준 체제를 운영한다. 인도는 UN 규정에서 영감을 받았으나 법적으로 구별되는 자체 AIS 표준을 구축하고 있다. 단일 규제 맵은 동일한 근본적인 안전 및 사이버 보안 개념을 참조하지만 서로 다른 문서에 대해 인증하는 4개의 개별 법률 시스템을 추적해야 한다. 이것이 바로 Obsidian의 규제 모니터링이 UNECE와의 일치를 가정하는 대신 각 관할권의 자체 도구를 추적함으로써 해결하도록 구축된 파편화의 본질이다.

중국의 GB 44495/44496/44497 체제는 실제로 무엇을 요구하며, 누구에게 적용되는가?

별도의 인증서로 발급되는 대신 전체 차량 형식 승인에 직접 내장된 사이버 보안 관리, 안전한 소프트웨어 업데이트 및 자율 주행 데이터 기록을 요구한다. GB 44495는 사이버 보안 관리 시스템 및 기술적 사이버 보안 요구 사항을 다루고, GB 44496은 서명 확인, 전원 차단 보호 및 OTA 업그레이드를 위한 자동 롤백을 포함한 소프트웨어 업데이트 관리를 다루며, GB 44497은 자율 주행 데이터 저장을 다룬다. 이 세 가지 표준은 최소 하나의 전자 제어 장치가 장착된 M 카테고리 승용차, N 카테고리 화물차, O 카테고리 트레일러에 적용되며, 이는 실질적으로 중국에서 판매되는 거의 모든 지능형 커넥티드 차량을 의미한다.

UN R155와 달리 GB 44495는 사전에 별도로 인증된 사이버 보안 관리 시스템을 전제 조건으로 요구하지 않는다. 수정안 제1호는 해당 요구 사항을 형식 승인 신청 과정에서 전체 차량 문서 검토에 통합된 일반적인 사이버 보안 보증으로 재분류했다. 규제 준수는 카탈로그 신청 시점에 MIIT가 지정한 실험실 테스트를 통해 검증되며, GB 44495 테스트에 실패한 차량은 MIIT 생산 및 판매 카탈로그에 등록될 수 없고, 이는 결과적으로 제조사가 차량을 판매하기 위해 필요한 CCC 인증을 차단한다. 이와 별도로, 2025년 2월에 발표된 MIIT 및 SAMR의 복합 주행 보조 시스템에 관한 통지는 이미 제조사들에게 2025년 6월 1일까지 운전자 보조 및 OTA 기능에 대한 추가적인 기술 매개변수를 제출하도록 요구했으며, 이제 자율 주행 기능에 영향을 미치는 모든 OTA 업데이트는 배포되기 전에 특정 허가를 확보하도록 요구하여 제조사가 규제 당국의 승인 없이 안전과 관련된 소프트웨어 변경을 추진할 수 있었던 허점을 막았다.

일본이 UN R155/R156을 국내법으로 전환한 지 5년이 지난 2026년에도 그 일정이 여전히 중요한 이유는 무엇인가?

도입 단계가 차량의 무선(OTA) 업데이트 지원 여부에 따라 항상 단계적으로 진행되었으며, 마지막 그룹의 기한이 올해 도래하기 때문이다. 일본은 2021년 1월에 UN R155와 UN R156을 도로 운송 차량법으로 전환했으며, 이후 MLIT는 사이버 보안 관리 시스템(CSMS) 및 소프트웨어 업데이트 관리 시스템(SUMS) 의무 인증을 4개의 개별 단계로 나누어 도입했다. 2022년 7월부터 OTA 기능이 있는 신규 차량 유형, 2024년 1월부터 OTA 기능이 없는 신규 차량 유형, 2024년 7월부터 OTA 기능이 있는 계속 생산 차량, 그리고 2026년 5월부터 OTA 기능이 없는 계속 생산 차량이 그 대상이다. 이 마지막 기한이 올해 마감되며, 이는 OTA 기능이 없이 일본에서 여전히 생산 중인 모든 차량이 형식 승인을 유지하려면 이제 인증된 CSMS 및 SUMS를 보유해야 함을 의미한다. 이는 OTA 기능이 있는 차량이 거의 2년 전에 이미 수용한 것과 동일한 요구 사항이다.

일본의 R155/R156 도입을 2022년의 이벤트로 취급하고 추적을 중단한 제조사는 이미 두 번의 후속 시행 단계를 놓친 것이다. Obsidian의 AI 동반자는 검증된 규제 텍스트에서 직접 이러한 단계별 기한 질문에 정확히 답변하도록 구축되었다. 이는 단일 주요 날짜를 추측하는 일반적인 비서가 아니라, 어떤 차량 구성에 어떤 단계가 적용되는지를 명확히 제시하는 규제 동반자이다.

2026년까지의 아시아 태평양 지역 주요 차량 형식 승인 일정

관할권날짜주요 내용
중국2026년 7월 1일신규 신청 차량 모델에 대해 GB 44495/44496 사이버 보안 및 소프트웨어 업데이트 테스트 의무화
일본2026년 5월OTA 기능이 없는 계속 생산 차량에 대해 UN R155/R156 CSMS 및 SUMS 인증 의무화
인도2026년 10월 1일부터 (초안)새로운 레벨 3 이상 자율 주행 차량 모델에 대해 제안된 CMVR 규칙 125-T/125-U (AIS-189/AIS-190) 단계적 도입
한국2026년 역년저공해 및 무공해 차량 공급 목표가 적격 제조사 판매량의 28%로 상향
중국2026년 12월 31일자체 선언에서 완전한 제3자 CCC 인증으로 복귀하는 부품에 대한 마감일
중국2026년 역년이중 크레딧 NEV 생산 크레딧 비율 요구 사항이 제조사 생산량의 48%로 상향

인도의 차량 사이버 보안 의무화는 이미 법적 구속력을 가지고 있는가?

아직 아니다. 그리고 이 차이는 호몰로게이션 일정을 계획하는 모든 사람에게 중요하다. 2026년 6월 22일자 MoRTH의 통지 초안은 1989년 중앙 자동차 규칙에 사이버 보안을 위한 규칙 125-T와 소프트웨어 업데이트를 위한 규칙 125-U를 추가할 것을 제안하며, 인도 표준국(BIS)이 자체적인 공식 사양을 발표할 때까지 각각 AIS-189 및 AIS-190을 준수할 것을 요구한다. 이 초안은 부처가 최종 확정하기 전 30일 동안 이해관계자의 의견 수렴을 위해 공개된다. 통지된 후, 단계적 도입은 레벨 3 이상의 자율 주행 차량부터 시작된다. 신규 모델은 2026년 10월 1일, 이미 판매 중인 기존 모델은 2027년 4월 1일부터 적용된다. OTA 기능이 있는 차량은 신규 모델의 경우 2028년 4월 1일부터, 기존 모델의 경우 2028년 10월 1일부터 적용되며, 소프트웨어 업데이트 기능이 있는 기타 모든 차량은 2029년 10월 1일부터 해당 규칙의 적용을 받는다.

이것은 시행 중인 규칙이 아니라 규칙 제정 과정이며, 확정된 2026년 10월 날짜를 기준으로 인도 출시를 계획하는 OEM은 의견 수렴 기간 동안 범위나 시기가 여전히 변경될 수 있는 초안을 바탕으로 계획을 세우고 있는 것이다. 인도의 별도 CAFE III 연비 표준은 더 확고한 기반 위에 있으며, 2027년 4월 1일에 발효되어 소형차 예외 없이 더 완만한 중량 기반 CO2 기울기를 적용한다. 또한 자발적 충돌 안전 등급을 5개 테스트와 100점 만점의 5개 기둥 점수로 확대하는 Bharat NCAP 2.0은 2027년 10월을 목표로 초안이 작성되었다. 동일한 18개월의 기간 동안 세 가지 다른 인도 자동차 규칙 제정이 세 가지 다른 법적 확실성 단계에 놓여 있다.

한국의 무공해 차량 의무화는 얼마나 공격적으로 확대되고 있으며, 이를 달성하지 못할 경우의 비용은 얼마인가?

빠르다. 그리고 목표치에 미달할 경우의 벌금은 곧 두 배로 늘어날 예정이다. 한국의 기후에너지환경부(MCEE)는 대기환경보전법에 따라 저공해 및 무공해 차량 보급 의무를 관리하며, 판매 임계값을 초과하는 제조사 및 수입업체가 적격 차량의 연간 목표 점유율을 달성하도록 요구한다. 이 목표는 2026년 28%에서 시작해 2027년 32%, 2028년 36%, 2029년 43%, 2030년 50%로 상승한다. 하이브리드 차량은 대당 0.3 크레딧, 플러그인 하이브리드는 0.4 크레딧으로 축소 계산되므로, 2030년 목표는 실질적으로 제조사 판매의 대부분이 순수 전기차 또는 수소 연료 전지차여야 함을 요구한다. 목표를 달성하지 못한 제조사나 수입업체는 2028년부터 대당 150만 원에서 300만 원으로 인상되는 기여금을 납부해야 한다.

중국은 병행되지만 구조적으로 다른 메커니즘을 운영한다. 중국의 이중 크레딧 시스템은 승용차 제조사에게 상승하는 신에너지차(NEV) 크레딧 비율을 달성하도록 요구하며, 이는 2026년 생산량의 48%, 2027년 58%로 설정되어 있다. 크레딧 적자가 발생한 제조사는 흑자를 기록한 경쟁사로부터 NEV 크레딧을 구매하거나 MIIT에 제품 조정 계획을 제출해야 한다. 한국과 중국의 목표는 서로 동일한 방식으로 평가되지 않으며, 두 시장 모두에서 생산 할당의 균형을 맞추는 글로벌 OEM은 단일 지역 전동화 가정으로 통합하는 대신 각 비율을 별도로 모델링해야 한다.

아시아 태평양 지역의 차량 규제 준수 팀은 다음에 무엇을 추적해야 하는가?

이미 시행 중인 것과 여전히 초안 상태인 것을 분리해야 한다. 이 지역에서는 두 가지가 지속적으로 혼동되기 때문이다. 중국의 GB 44495 사이버 보안 관문과 2026년 12월 CCC 전환 마감일은 모두 이미 구속력이 있다. OTA 기능이 없는 계속 생산 차량에 대한 일본의 2026년 5월 R155/R156 단계도 구속력이 있다. 한국의 2026년 ZEV 공급 비율도 구속력이 있다. 반면 인도의 규칙 125-T 및 125-U는 아직 시행되지 않았으며, 제안된 2026년 10월 날짜를 바탕으로 수립된 호몰로게이션 계획은 의견 수렴 기간 동안 최종 텍스트가 변경될 경우에 대비한 비상 대책이 필요하다.

Obsidian은 프레임워크 및 관할권 수준에서 MIIT, SAMR, MLIT, MOLIT, MCEE 및 MoRTH를 추적하여 통지 초안과 구속력 있는 규칙을 구별하고, GB 표준의 시행일이 변경되거나 UN 규정 단계가 마감되거나 제안된 CMVR 규칙이 최종 확정될 때 알림을 제공한다. 호몰로게이션 및 차량 규제 업무 팀을 위해 구축된 플랜을 확인하거나, 규제 준수 워크플로우가 이미 AI 비서를 통해 실행되고 있다면 Obsidian의 MCP를 기존 도구에 연결할 수 있다.