EU 사이버복원력법(CRA) 타임라인: 소프트웨어 벤더를 위한 대응 체크리스트
소프트웨어나 스마트 하드웨어를 EU에 판매한다면, 사이버복원력법(Cyber Resilience Act, CRA)은 향후 2년간 가장 진지하게 대비해야 할 규제다. 2024년 12월 10일 발효됐고 단계적으로 적용된다.
- 2026년 9월 11일 —— 취약점·사고 보고 의무 개시. 실제 악용이 확인된 취약점은 인지 후 24시간 이내 ENISA에 조기 경보를 제출하고 72시간 이내 상세 보고해야 한다.
- 2027년 12월 11일 —— 법 전면 적용. '디지털 요소를 가진 제품'을 EU 시장에 내놓으려면 필수 사이버보안 요건 충족과 적합성 평가 완료가 필요하다.
- 위반 비용: 최대 1,500만 유로 또는 전 세계 연 매출의 2.5%(더 큰 쪽)의 과징금과 강제 시장 퇴출.
적용 범위는 생각보다 넓다
CRA가 다루는 것은 '디지털 요소를 가진 제품'이다. OS, 애플리케이션, SDK부터 스마트홈 기기, 산업용 컨트롤러, IoT까지——직·간접적으로 네트워크에 연결될 수 있는 거의 모든 소프트웨어와 하드웨어가 포함된다(클라우드 서비스, 의료기기 등 다른 규제가 커버하는 영역은 제외). 역외 벤더에게 핵심은 현지 법인 유무를 따지지 않는다는 점이다. 제품이 EU 시장에 닿으면 제조자 의무는 당신에게 떨어진다.
핵심 의무 네 가지
첫째, 보안 내재화 설계(security by design): 기본값이 안전한 설정, 알려진 악용 가능 취약점 없이 출하. 둘째, 취약점 처리 프로세스: 접수·수정·무상 보안 업데이트 체계를 원칙적으로 5년 이상의 지원 기간 동안 유지. 셋째, SBOM: 최소 최상위 의존성을 포괄하는 기계 판독 가능한 소프트웨어 자재명세서——SBOM을 '모범 사례'에서 '법정 요건'으로 바꾼 상징적 조항이며, 형식과 도구는 SBOM 완전 가이드를 참고하라. 넷째, 기술 문서와 CE 마킹: 적합성 평가를 완료하고 증빙을 10년간 보관한다.
제품 분류가 평가 경로를 결정한다
CRA는 제품을 위험도로 계층화한다. 대부분의 일반 소프트웨어는 자기 평가로 충분하다. '중요 제품'(OS, 패스워드 매니저, VPN, 방화벽, 보안 관련 IoT 등)은 정합 표준 적용 또는 제3자 평가가 필요하고, 극소수 '핵심 제품'(스마트카드, 시큐어 엘리먼트)은 더 엄격한 경로를 요구받는다. 먼저 자사 포트폴리오를 부속서에 대조해 분류하라. 경로 간 비용 차이는 크다.
오픈소스 예외를 오독하지 말 것
면제는 비상업적 오픈소스의 개발·공급에만 적용된다. 흔한 두 경우는 면제되지 않는다. 오픈소스 컴포넌트를 상용 제품에 통합해 판매하는 경우(제조자 의무는 당신 몫이며, SBOM과 성분 분석이 필수 배관이 되는 이유가 여기 있다), 그리고 유상 지원·듀얼 라이선스로 상업화하는 경우. 순수 SaaS는 CRA 밖(NIS2 영역)이지만, 기기에 딸린 원격 데이터 처리 기능은 적용 대상이다.
6가지 체크리스트
- 제품 인벤토리: EU향 제품을 나열하고 중요/핵심 부속서에 대조해 분류한다.
- SBOM 역량 구축: SCA 플랫폼으로 제품별 SPDX/CycloneDX SBOM을 생성·유지하고, 소스가 없는 외부 납품물은 바이너리 성분 분석으로 보완한다.
- 취약점 백로그 정리: '알려진 악용 가능 취약점 없이 출하'는 릴리스 전 스캔과 위험 평가 문서화를 뜻한다.
- 보고 파이프라인 구축: 24시간 창구는 극도로 짧다. 발견→판정→ENISA 통보의 사내 경로를 미리 깔고 리허설하라.
- 지원 정책 확정: 제품별 지원 기간을 선언하고 5년치 보안 업데이트 리소스를 계획한다.
- 증거 체인 보전: 위협 모델링부터 스캔 리포트, 수정 기록까지 전 과정을 감사 가능하게 남긴다.
2년은 여유로워 보이지만 SBOM 체계, 대응 파이프라인, 5년 지원 약속은 석 달짜리 프로젝트가 아니다. 지금 시작하면 타임라인이 겨우 맞는다.
