it

9월부터 신규 SW 취약점 발견 시 24시간 이내 보고 의무…블랙덕 “EU CRA 대응, 당장 시작하라”

발행: (2026년 5월 13일 PM 06:56 GMT+9)
9 분 소요
원문: Byline Network

Source: Byline Network

EU CRA 시행과 기업 대응 필요성

유럽연합(EU)의 사이버복원력법(CRA) 시행으로 EU에서 소프트웨어(SW)가 포함된 제품을 판매하는 모든 기업에 취약점 관리 의무가 적용되는 시점이 오는 9월로 다가왔다. 이에 따라 유럽지역을 대상으로 수출하는 기업들은 소프트웨어자재명세서(SBOM)를 포함해 EU CRA 보안 요구사항 대응이 시급한 상황이다.

“EU CRA 대응을 아직 시작하지 않은 조직은 지금 바로 시작해야 한다.”

SW 공급망 보안 분야 글로벌 전문가이자 EU CRA를 포함해 글로벌 SW 보증 활동에 활발히 참여하고 있는 팀 맥키(Tim Mackey) 블랙덕소프트웨어 SW 공급망 위협 전략 부문 총괄은 13일 국내 총판사인 쿠도커뮤니케이션이 개최한 기자간담회에서 국내 기업들을 향해 가장 먼저 이같은 화두를 던졌다.

EU CRA 이미지

전세계적으로 심각한 SW 공급망 보안 사고가 지속되고 있고, 최첨단 인공지능(AI) 기술을 악용하는 사이버공격 위협이 커지며 우려가 제기되는 가운데, EU CRA 발효로 국내에서도 SW 공급망 보안과 규제 대응에 대한 관심이 높아지고 있다.

EU CRA는 유럽지역(EU/EEA) 내 판매 여부를 기준으로 적용되며, 제품의 개발·생산·본사 소재지와는 무관하다. EU 시장에 SW를 포함하는 제품을 판매하는 국내 기업에도 동일하게 적용된다. 법 위반 시 허위 진술에 대해 전세계 매출의 2.5%, 일반 적합성 위반의 경우엔 4%에 달하는 과징금이 부과될 수 있다. 나아가 EU 공동시장 접근권 박탈이라는 최대 제재도 규정돼 있다.

팀 맥키 총괄은 CRA에 대응하는 데 있어 SW 구성요소 분석과 SBOM을 기본으로, 이를 넘어서는 확장 가능한 SW 공급망 보안 전략의 필요성을 강조했다.

“공급망에서 체인(Chain)은 원래 선형적으로 연결되지만 현대 공급망은 매우 복잡 다양하게 그물처럼 짜여 있다. 따라서 공급망(Supply Chain)이 아닌 공급메시(Supply Mesh)에 가깝기 때문에, 이에 맞는 개발 마인드셋이 필요하다.”
“CRA는 이같은 복잡성을 관리하고자 하는 법이다. 전세계 어느 곳에 있든 SW 요소가 포함된 제품을 유럽 시장에 제공하는 경우 모두 규제 대상이 된다.”
“규제 요구사항은 제품 단위로 충족 여부를 결정하며, 벌금이나 과징금은 회사 단위로 부과된다. 제품 유형별로 준수 요건이 다르고, 일부 제품은 외부 인증기관의 인증이 필요하다.”

CRA는 SW 공급망 리스크 관리 기준선 제시

EU CRA의 핵심 요구사항은 다음과 같다.

  • 소프트웨어 구성 요소에 대한 투명성 확보
  • 취약점 관리와 대응 체계 구축
  • 지속적인 보안 관리 체계

맥키 총괄은 “CRA는 SW 공급망 리스크 관리의 기준선을 제시하는 법안”이라며, 기대 수준을 다음과 같이 설명했다.

  • 제3자(3rd‑Party) 취약점이 없어야 함(Zero)
  • 기본 보안이 설정(Security by Default)돼야 함
  • 신규 취약점에 대한 신속 보고(24시간 이내)
  • 테스트 과정에서의 의사결정과 결과에 대한 기록 관리(문서화)
  • 강력한 오픈소스 SW 거버넌스(관리)
  • 적합성 진술서(Conformity Statement) 확보

그는 블랙덕이 25년간 축적한 기술 스펙을 기반으로 다음 네 단계 솔루션을 제공한다고 밝혔다.

  1. 소프트웨어 구성요소 분석(SCA)
  2. SBOM 관리
  3. 파이프라인 보안(전체 SW 개발 보안)
  4. 익스플로잇·악성코드 탐지

패키지 매니저는 컴파일 라이브러리, 서드파티 바이너리, AI 코드 어시스턴트가 생성한 AI 코드 등 다양한 출처의 코드를 전체 가시성 있게 제공하기엔 불충분하다고 지적했다.

25년간 노하우 집약, 유연한 맞춤형 SBOM 지원…“신규 취약점 발견시 4시간 이내 대응”

맥키 총괄은 블랙덕의 강점으로 유연한 SBOM 템플릿을 강조했다. 전세계 표준 규격 전체 필드를 지원하면서도 국가·산업별로 필요한 정보만 포함하도록 맞춤화할 수 있다.

또한 “신규 취약점이 발견됐을 때 블랙덕은 4시간 이내로 대응할 수 있다. 경우에 따라 취약점 발표 며칠 전부터 데이터를 확보하고 있어, 공개 시점에 거의 실시간으로 업데이트를 제공한다”고 말했다.

블랙덕은 25년 이상의 업력을 보유한 글로벌 애플리케이션 보안 기업으로, 오픈소스 SW(OSS) 보안과 SW 공급망 관리 분야를 선도한다. 방대한 보안 인텔리전스와 AI 기반 분석 기술을 바탕으로 기업이 안전하고 규제에 부합하는 소프트웨어를 개발·운영하도록 지원한다. 국내 공인 총판인 쿠도커뮤니케이션은 정보보안·물리보안·융합보안관제 플랫폼을 제공하는 종합 보안 솔루션 기업이다.

시행 일정 및 제재

  • 2024년 12월 10일: EU CRA 공식 발효
  • 2024년 12월: 세부 이행 요건 공표
  • 2025년 9월: 취약점 관리 의무 적용 시작
  • 2025년 9월 ~ 2026년 12월: 전체 적합성 요건 단계적 집행

법 위반 시 허위 진술에 대해 전세계 매출의 2.5%·일반 적합성 위반에 대해 4%의 과징금이 부과될 수 있으며, 최악의 경우 EU 공동시장 접근권이 박탈될 수 있다.

0 조회
#EU Cyber Resilience Act #CRA #software supply chain #SBOM #cybersecurity #regulatory compliance #software vulnerability reporting
원문 보기
Share:
Back to Blog

관련 글

더 보기 »