--- title: "EU Cyber Resilience Act — 사이버보안을 제품 책임으로 전환하는 법규의 실무 영향" published: 2026-03-30T07:05:02.892Z canonical: https://jeff.news/article/1372 --- # EU Cyber Resilience Act — 사이버보안을 제품 책임으로 전환하는 법규의 실무 영향 EU CRA(Regulation 2024/2847)는 디지털 요소가 포함된 모든 제품에 보안을 의무화하는 수평적 규제임. 2026년 9월 보고 의무, 2027년 12월 전면 적용이 시작되며, SBOM, 보안 개발 라이프사이클, 취약점 관리가 법적 요구사항이 됨. EU 시장에 제품을 판매하는 모든 기업에 적용되어 GDPR처럼 글로벌 기준으로 확산될 전망임. ## 핵심 개념: 보안 책임을 상류로 이동 - **기존 모델: 사고 터진 후 누가 피해 봤나, 누가 패치 안 했나를 따지는 구조** - **CRA 모델: 애초에 왜 불안전한 제품이 시장에 나왔는지를 묻는 구조** - 제조사/개발자/수입업자/유통업자에게 책임 부과 - 제품이 secure by design, secure by default여야 함 - **규정 번호: Regulation (EU) 2024/2847** ## 타임라인 - **2024년 12월 10일**: 발효 - **2026년 9월 11일**: 보고 의무 시작 - **2027년 12월 11일**: 주요 의무 전면 적용 - **2026년 3월 3일**: EU 집행위원회가 실무 적용 가이던스 초안 발표 - 적용 범위, 지원 기간, FOSS, 타 EU 규정과의 중복 등 다룸 ## 적용 대상이 생각보다 넓음 - **"디지털 요소가 포함된 제품" 전체가 대상** - 장난감, 가전, 의료기기, 산업장비, 라우터, 농업장비, 차량 등 - **장난감 회사도 해당됨**: 연결성, 마이크, 카메라, 앱, 클라우드가 있으면 사이버보안이 제품 안전 항목에 포함 - **칩 내장 제품**: "모듈은 외부에서 구매한 것"이라는 변명이 안 통함 - 제조사가 적합성, 취약점 처리, 지원 책임을 져야 함 - 공급망 불투명성이 기술적 불편이 아닌 컴플라이언스 문제가 됨 ## 기업이 지금 해야 할 것 - **SBOM(Software Bill of Materials) 구축** - **보안 개발 프로세스(SDL) 의무화** - 안전한 제품이라도 적합성을 증명 못 하면 규제 문제가 됨 - **패칭 인프라 확보 및 지원 기간 정의** - **취약점 수집/분류 프로세스 마련** — 보고 의무가 2027 전에 시작됨 - **공급업체 계약 재검토** — 미지원/불투명 컴포넌트가 법적 리스크로 전환 - **제품 사이버보안 오너십 명확화** - 엔지니어링, 제품, 법무, 컴플라이언스, 보안, 조달, 경영진 모두 조각을 갖고 있어서 명시적으로 지정 안 하면 아무도 안 함 ## AI와의 교차점 - **AI 탑재 제품은 AI Act과 CRA 둘 다 충족해야 함** - AI 기능 추가 = 공격 표면 추가 + 모델 업데이트 문제 + 데이터 무결성 문제 - **AI를 컴플라이언스 도구로 활용 가능**: 코드 리뷰, 취약점 우선순위 지정, SBOM 분석, 이상 탐지 - 단, AI 생성 코드의 보안 책임은 여전히 사람이 져야 함 ## 미국 기업도 해당됨 - **EU 시장에 제품을 판매하면 본사 위치 무관하게 적용** - **GDPR처럼 글로벌 기준으로 상향 평준화될 가능성 높음** - EU용/비EU용 제품을 따로 만들기보다 전체를 높은 기준에 맞추게 될 것 ## 보안 전문가 역할의 변화 - **기존: 인시던트 대응, 감사, 엔터프라이즈 방어** - **CRA 이후: 제품 아키텍트, 라이프사이클 어드바이저, 엔지니어링-법무 간 번역자** - secure default 정의, 위협 모델 평가, 공급업체 리스크 평가, 보고 경로 설계, 적합성 문서화 > [!IMPORTANT] > CRA의 핵심 메시지: 제품 불안전은 더 이상 "불운한 일"이 아니라 "용납 불가"임. 이 원칙이 수용되면 개발, 조달, 공급업체 관리, AI 거버넌스, 보안 전문가의 직무 기술서 전부가 바뀜. --- ### 기술 맥락 - CRA는 SBOM 의무화, 보안 개발 라이프사이클, 취약점 공시/보고 체계를 법적으로 강제하는 수평적 규제임. 기존에는 의료기기·산업제어 등 섹터별 규제만 있었으나, CRA는 "디지털 요소가 있는 제품" 전체를 포괄함 - AI Act과의 교차 적용이 핵심 복잡성 요인으로, AI 탑재 제품은 두 규제를 동시에 충족해야 하는 이중 컴플라이언스 부담이 생김. 특히 모델 업데이트에 따른 보안 표면 변화 관리가 새로운 과제임 ## 핵심 포인트 - CRA는 보안 책임을 제품 사용자가 아닌 제조사/개발자에게 전가하는 패러다임 전환 - 2026년 9월 보고 의무 시작, 2027년 12월 전면 적용 — 이미 전환 시계가 돌아가고 있음 - 장난감, 가전, 의료기기 등 디지털 요소가 있는 모든 제품이 대상 - AI 탑재 제품은 AI Act과 CRA 이중 컴플라이언스 필요 - GDPR처럼 EU 시장 판매 기업 전체에 적용되어 글로벌 기준 상향 예상 ## 인사이트 CRA는 보안을 '사후 대응'에서 '설계 단계 의무'로 격상시키는 법규임. 특히 소프트웨어 공급망 투명성(SBOM)과 AI 제품의 이중 규제가 개발 조직에 실질적인 운영 변화를 요구하게 될 것임.