본문으로 건너뛰기
J
피드

EU Cyber Resilience Act — 사이버보안을 제품 책임으로 전환하는 법규의 실무 영향

security 약 5분
tags
#eu-cra#cybersecurity#regulation#sbom#product-security
vote
0
댓글
북마크

EU CRA(Regulation 2024/2847)는 디지털 요소가 포함된 모든 제품에 보안을 의무화하는 수평적 규제임. 2026년 9월 보고 의무, 2027년 12월 전면 적용이 시작되며, SBOM, 보안 개발 라이프사이클, 취약점 관리가 법적 요구사항이 됨. EU 시장에 제품을 판매하는 모든 기업에 적용되어 GDPR처럼 글로벌 기준으로 확산될 전망임.

  • 1

    CRA는 보안 책임을 제품 사용자가 아닌 제조사/개발자에게 전가하는 패러다임 전환

  • 2

    2026년 9월 보고 의무 시작, 2027년 12월 전면 적용 — 이미 전환 시계가 돌아가고 있음

  • 3

    장난감, 가전, 의료기기 등 디지털 요소가 있는 모든 제품이 대상

  • 4

    AI 탑재 제품은 AI Act과 CRA 이중 컴플라이언스 필요

  • 5

    GDPR처럼 EU 시장 판매 기업 전체에 적용되어 글로벌 기준 상향 예상

핵심 개념: 보안 책임을 상류로 이동

  • 기존 모델: 사고 터진 후 누가 피해 봤나, 누가 패치 안 했나를 따지는 구조
  • CRA 모델: 애초에 왜 불안전한 제품이 시장에 나왔는지를 묻는 구조
    • 제조사/개발자/수입업자/유통업자에게 책임 부과
    • 제품이 secure by design, secure by default여야 함
  • 규정 번호: Regulation (EU) 2024/2847

타임라인

  • 2024년 12월 10일: 발효
  • 2026년 9월 11일: 보고 의무 시작
  • 2027년 12월 11일: 주요 의무 전면 적용
  • 2026년 3월 3일: EU 집행위원회가 실무 적용 가이던스 초안 발표
    • 적용 범위, 지원 기간, FOSS, 타 EU 규정과의 중복 등 다룸

적용 대상이 생각보다 넓음

  • "디지털 요소가 포함된 제품" 전체가 대상
    • 장난감, 가전, 의료기기, 산업장비, 라우터, 농업장비, 차량 등
  • 장난감 회사도 해당됨: 연결성, 마이크, 카메라, 앱, 클라우드가 있으면 사이버보안이 제품 안전 항목에 포함
  • 칩 내장 제품: "모듈은 외부에서 구매한 것"이라는 변명이 안 통함
    • 제조사가 적합성, 취약점 처리, 지원 책임을 져야 함
    • 공급망 불투명성이 기술적 불편이 아닌 컴플라이언스 문제가 됨

기업이 지금 해야 할 것

  • SBOM(Software Bill of Materials) 구축
  • 보안 개발 프로세스(SDL) 의무화
    • 안전한 제품이라도 적합성을 증명 못 하면 규제 문제가 됨
  • 패칭 인프라 확보 및 지원 기간 정의
  • 취약점 수집/분류 프로세스 마련 — 보고 의무가 2027 전에 시작됨
  • 공급업체 계약 재검토 — 미지원/불투명 컴포넌트가 법적 리스크로 전환
  • 제품 사이버보안 오너십 명확화
    • 엔지니어링, 제품, 법무, 컴플라이언스, 보안, 조달, 경영진 모두 조각을 갖고 있어서 명시적으로 지정 안 하면 아무도 안 함

AI와의 교차점

  • AI 탑재 제품은 AI Act과 CRA 둘 다 충족해야 함
    • AI 기능 추가 = 공격 표면 추가 + 모델 업데이트 문제 + 데이터 무결성 문제
  • AI를 컴플라이언스 도구로 활용 가능: 코드 리뷰, 취약점 우선순위 지정, SBOM 분석, 이상 탐지
    • 단, AI 생성 코드의 보안 책임은 여전히 사람이 져야 함

미국 기업도 해당됨

  • EU 시장에 제품을 판매하면 본사 위치 무관하게 적용
  • GDPR처럼 글로벌 기준으로 상향 평준화될 가능성 높음
    • EU용/비EU용 제품을 따로 만들기보다 전체를 높은 기준에 맞추게 될 것

보안 전문가 역할의 변화

  • 기존: 인시던트 대응, 감사, 엔터프라이즈 방어
  • CRA 이후: 제품 아키텍트, 라이프사이클 어드바이저, 엔지니어링-법무 간 번역자
    • secure default 정의, 위협 모델 평가, 공급업체 리스크 평가, 보고 경로 설계, 적합성 문서화

중요

> CRA의 핵심 메시지: 제품 불안전은 더 이상 "불운한 일"이 아니라 "용납 불가"임. 이 원칙이 수용되면 개발, 조달, 공급업체 관리, AI 거버넌스, 보안 전문가의 직무 기술서 전부가 바뀜.

기술 맥락

  • CRA는 SBOM 의무화, 보안 개발 라이프사이클, 취약점 공시/보고 체계를 법적으로 강제하는 수평적 규제임. 기존에는 의료기기·산업제어 등 섹터별 규제만 있었으나, CRA는 "디지털 요소가 있는 제품" 전체를 포괄함
  • AI Act과의 교차 적용이 핵심 복잡성 요인으로, AI 탑재 제품은 두 규제를 동시에 충족해야 하는 이중 컴플라이언스 부담이 생김. 특히 모델 업데이트에 따른 보안 표면 변화 관리가 새로운 과제임

CRA는 보안을 '사후 대응'에서 '설계 단계 의무'로 격상시키는 법규임. 특히 소프트웨어 공급망 투명성(SBOM)과 AI 제품의 이중 규제가 개발 조직에 실질적인 운영 변화를 요구하게 될 것임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.