EU의 사이버 복원력법(Cyber Resilience Act,CRA)은 기존 대부분의 사이버 보안 규제와 달리 프로세스나 인증이 아닌 ‘제품 안전성’에 초점을 맞춘 것이 특징이다. 물리적 제품에 적용되던 CE 마크 개념을 소프트웨어, 펌웨어, 백엔드 서비스, 그리고 네트워크에 연결되는 모든 요소로 확장한 것이다. 이 법은 기존 모범 사례를 제도화하고, 최소 제품 지원 수명 주기를 강제하며, 기업이 의존하는 오픈소스 프로젝트와의 협력 강화도 요구한다. 또한 명확한 기한이 있다. 올해 9월 11일까지 취약점 및 사고 보고 체계를 반드시 갖춰야 한다.
이미 소프트웨어 자재 명세서(SBOM)를 도입한 조직이라도 CRA의 새로운 의무를 충족하기는 쉽지 않다. 제품에서 실제로 악용되는 취약점을 24시간 이내에 보고하고, 3일 내 상세 보고서를 제출해야 하기 때문이다.
SaaS 대안 기업 클라우드스미스(Cloudsmith)의 보고서에 따르면, 대부분의 기업이 SBOM을 생성하고 있지만 이를 자동화한 비율은 4분의 1에 불과하다. 절반 이상은 종합 보고서를 작성하는 데 상당한 시간과 노력이 필요하다고 답했으며, CRA의 불시 점검 수준의 소프트웨어 공급망 감사를 통과할 수 있다고 확신한 기업은 3분의 1에도 못 미쳤다.
클라우드스미스 제품 부문 부사장 앨리슨 시켈카는 “많은 조직이 소프트웨어 공급망 모범 사례를 제대로 따르지 못했다”라며 “SBOM 생성과 보고 체계를 기한 내 구축하기 위해 급히 대응하는 상황이 이를 보여준다”라고 말했다. 이어 “SBOM과 감사 가능성은 소프트웨어 개발 속도를 늦추는 부담으로 여겨지기도 했지만, 이제는 필수 요소가 됐다”라고 덧붙였다.
하지만 상당수 CIO에게 CRA는 아직 중요한 의제로 인식되지 않고 있다. 보안 기업 워치가드(WatchGuard)의 엔지니어링 매니저 올리 벤은 “CRA를 단순한 체크리스트 수준의 규제로 생각하는 경우가 많다”라며 “실제로는 제품 기획과 설계부터 지원과 유지보수에 이르기까지 전체 수명주기를 포괄하며, 강력한 보고 의무를 요구하는 광범위한 규제”라고 설명했다.
벤은 “스마트 온도조절기나 커피 머신처럼 인터넷이나 네트워크에 연결되는 모든 디지털 시스템을 제조하거나 공급하는 경우 규제 대상이 된다”라며 “개발자나 소비자가 어떤 방식으로든 이를 사용한다면 CRA 적용 범위에 포함된다”라고 말했다.
적용 범위
CRA는 모바일 기기, 임베디드 운영체제, 데이터베이스, 게임, 네트워크 장비, IoT 기기뿐 아니라 앱을 통해 제공되는 티켓까지 다양한 소프트웨어와 디지털 제품에 적용된다. 다만 비상업적 오픈소스에는 적용되지 않지만, 오픈소스 재단에는 일부 의무가 부과된다. 또한 제품에 오픈소스 요소가 포함된 경우, 해당 요소의 규정 준수 책임은 기업에 있다. 순수 SaaS 자체는 규제 대상이 아니지만, SaaS를 백엔드로 사용하는 클라이언트 소프트웨어나 장비, 디바이스는 포함된다.
유럽통신표준협회(ETSI) 사이버 EUSR 위원회 소속 표준 엔지니어 다니엘 에렌버그는 “제품에 서버 측 구성요소가 있다면 CRA는 이를 백엔드, 즉 원격 데이터 처리 솔루션까지 포함한다”라고 설명했다.
이미 EU에서 판매 중인 제품은 대규모 업데이트가 없는 한 CRA를 완전히 준수할 필요는 없지만, 기업은 여전히 취약점과 사고를 보고해야 한다. 다만 법은 이러한 문제를 모두 해결하는 것이 현실적으로 어려울 수 있다는 점도 인정하고 있다. 이외에는 자동차나 의료와 같이 더 엄격한 규제를 받는 산업에 속한 제품만 예외로 인정된다.
제품 안전성
CRA는 디지털 제품이 설계 단계부터 기본적으로 보안을 갖추도록 요구한다. 기본 비밀번호처럼 악용 가능한 알려진 취약점을 포함한 상태로 제품을 출시할 수 없으며, 이후 취약점이 발견될 경우 업데이트를 통해 대응할 수 있어야 한다. 또한 공격 표면을 최소화하고, 암호화와 데이터 수집 최소화를 통해 기밀성과 무결성을 보호해야 한다.
에렌버그는 “이는 상용 소프트웨어가 취약점을 효과적으로 관리하고, 버그 리포트를 처리할 수 있는 체계를 갖추도록 요구하는 것”이라고 설명했다.
이어 “이 규제가 실제로 시행되지 않을 것이라는 기대도 있었지만, 이제는 위험 평가부터 모든 요구사항을 점검해야 하는 계기가 될 것”이라며 “제품을 시장에 출시할 때는 사이버 보안 위험 평가를 수행하고, 현재 사용 중인 의존성을 지속적으로 파악해 업데이트 필요성을 판단할 수 있어야 한다”라고 말했다.
이 과정에는 외부 공급업체의 구성요소도 포함된다. 워치가드(WatchGuard)의 올리 벤은 “공급업체가 규정을 준수하고 보안 취약점을 적절히 보고하는지 반드시 확인해야 한다”라고 강조했다.
클라우드스미스 개발자 관계 책임자 나이절 더글러스는 “SBOM 요구사항은 과도한 부담이라기보다 합리적인 수준”이라며 “소프트웨어 공급망에서 사용되는 패키지 이름과 식별자를 파악해, 실제 사용자에게 제공되는 코드에 잠재적인 악성 요소가 포함됐는지 확인할 수 있어야 한다”라고 설명했다. 이어 “핵심은 사고 발생 시 신속하게 대응할 수 있다는 점을 입증하는 것”이라고 덧붙였다.
오픈소스 측면에서도 변화가 요구된다. 쿠버네티스(Kubernetes) 운영위원 카트 코스그로브는 “CRA는 기업이 사용하는 오픈소스 프로젝트의 상태를 이해하고, 이를 기반으로 합리적인 의사결정을 내리도록 요구한다”라고 밝혔다.
벤은 “기업은 더 이상 단순한 기술 소비자에 머물 수 없다”라며 “오픈소스를 활용하려면 커뮤니티의 일원으로 참여해야 한다”라고 말했다.
기존 규제와 다른 접근
CRA는 기존 사이버 보안 규제와 달리 소프트웨어 개발 방식이나 인증이 아닌 ‘판매되는 최종 제품’ 자체에 초점을 맞춘다. 다니엘 에렌버그는 “새로운 요구사항이 기존 개발 프로세스나 인증 체계와 반드시 일치하지 않을 수 있다”라며 “데이터 처리량을 최소화해 관리 부실 시 발생할 수 있는 위험을 줄였는지, 전송 중 데이터까지 안전하게 보호하고 있는지가 핵심”이라고 설명했다.
이에 따라 CIO는 조직이 만드는 제품을 하향식 관점에서 점검해야 한다. 단순히 개발 과정이 기준을 충족하는지가 아니라, 결과물 자체가 보안 요구사항을 충족하는지를 중심으로 판단해야 한다는 의미다. 에렌버그는 “책임의 무게가 바뀌었다”라며 “절차를 따르는 것이 아니라 최종 제품에 대한 책임을 져야 한다”라고 강조했다.
CRA는 제품 지원, 업데이트, 수명주기도 의무화한다. 대부분의 경우 최소 5년간 무료 보안 업데이트를 제공해야 하며, 이러한 내용은 2027년 12월부터 요구되는 ‘적합성 선언’에 포함된다. 해당 선언과 관련 문서는 제품 출시 이후 10년간 유지해야 한다. 다만 SBOM은 공개 의무는 없으며, 시장 감시 당국 요청 시 제출하면 된다.
표준 적용 방식
제품 유형에 따라 적용되는 규제 수준은 다르다. 대부분의 디지털 제품은 유럽 표준화 기구가 마련 중인 사이버 보안 및 취약점 대응 관련 공통 기준(수평 표준)을 적용받는다.
반면 신원 관리 시스템, 웹 브라우저, 비밀번호 관리자, VPN, 인터넷 접속 라우터와 같은 주요 제품, 그리고 하이퍼바이저, PKI 인프라, 하드웨어 보안 모듈, 산업용 방화벽과 같은 핵심 제품은 보다 엄격한 적합성 평가가 요구된다.
이러한 제품은 특정 위험을 분석하기 위해 개발 중인 개별 기준(수직 표준)의 적용을 받는다. 예를 들어 메모리 안전 언어로 웹 브라우저를 개발하는 방안 등이 대응책으로 제시된다. 에렌버그는 “CRA가 메모리 안전 언어로의 전환이나 COBOL 탈피를 강제하는 것은 아니다”라고 설명했다.
시행 일정과 제재
CRA는 지침이 아닌 규정 형태로, 각 회원국의 별도 입법 없이 EU 전역에 직접 적용된다. 올해 여름부터 관련 집행 체계가 구축되며, 시장 감시 당국과 적합성 평가 기관이 순차적으로 운영에 들어간다. 또한 유럽연합 사이버보안청(ENISA)이 취약점 및 사고 보고를 위한 단일 플랫폼을 운영할 예정이다.
CRA는 2027년 12월 11일부터 전면 시행되지만, 실제 집행은 단계적으로 이뤄질 전망이다. 집행 수준은 각 시장 감시 당국의 기술 역량에 따라 달라질 수 있다. 당국은 제품의 규정 준수를 요구하거나 판매 제한, 시장 철수, 리콜 조치를 취할 수 있으며, 최대 1,500만 유로(약 262억 원) 또는 매출의 2.5%에 달하는 벌금을 부과할 수 있다.
에렌버그는 “일부 조항이 모호하다는 비판이 이미 제기된 만큼, 향후 법 해석을 둘러싼 소송이 이어질 가능성이 있다”라고 말했다. 이어 “단순히 규제 집행이 제한적일 것이라는 기대에 의존하는 기업은 제품과 보안 역량을 개선할 기회를 놓치게 될 것”이라고 지적했다.
보안 강화 계기
공급망 공격이 증가하는 상황에서 CRA는 실질적인 보안 강화 효과를 가져올 것으로 기대된다. 보안 기업 앵코어(Anchore)의 제품 부문 수석부사장 닐 레빈은 “기업이 오픈소스 사용 현황을 추적하고, 문제 발생 시 최종 사용자에게 신속히 알리도록 강제한다는 점에서 의미가 크다”라고 평가했다. 이어 “2027년까지 기다리기보다 9월까지 SBOM을 도입해 보고 요구사항에 대비하는 것이 바람직하다”라고 조언했다.
워치가드의 올리 벤은 “대부분의 CIO는 이미 이런 개선이 필요하다는 점을 인식하고 있지만, 실행할 여력이 부족한 경우가 많다”라며 “CRA는 이사회에 예산과 시간을 요청할 수 있는 근거가 될 수 있다”라고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: “24시간 내 취약점 보고해야”…시행 임박 EU CRA, 기업 보안 패러다임 바꾼다
Source: News