EU CRA 제14조: 2026년 9월 24시간 취약점 신고 의무
EU 사이버복원력법(CRA) 제14조 취약점·사고 신고 의무는 2026년 9월 11일 발효되며, 제69조제3항에 따라 기존 제품에도 적용됩니다. 24시간 신고 기한과 한국 기업의 대응 체계를 정리합니다.
이 기사의 목차
2026년 9월 11일. 이날부터 EU 시장에 제품을 공급하는 모든 제조업체는 악용 중인 취약점을 인지한 시점으로부터 24시간 안에 ENISA에 신고해야 합니다.
많은 한국 기업이 놓치는 사실이 있습니다. 이 의무는 2027년 12월의 신제품만 대상으로 하지 않습니다. 지금 EU 시장에서 유통 중인 기존 제품에도 2026년 9월 11일부터 적용됩니다.
CRA 제14조의 요구사항, 한국 기업의 품의·결재 문화와 24시간 기한이 충돌하는 지점, 적용 시점 전에 끝내야 할 준비를 정리합니다.
요약
- 2026년 9월 11일: CRA 제14조 취약점·심각 사고 신고 의무 발효. CRA 본체(2027년 12월 11일)보다 15개월 빠릅니다. (제71조제2항)
- 기존 제품도 대상: 2027년 12월 11일 이전에 출시한 제품도 제14조 신고 의무는 면제되지 않습니다. (제69조제3항)
- 24시간: 악용을 인지한 시점부터 ENISA 조기 경보까지의 법정 기한.
- 72시간 / 14일 / 1개월: 후속 신고와 최종 보고서 기한.
- 한국 특유의 과제: 품의·결재 중심 의사결정과 24시간 기한의 구조적 충돌.
- KrCERT/CC 신고와는 별개: 국내 신고 경로가 EU ENISA 신고를 대체하지 않습니다.
- ISMS-P·KC 인증으로는 부족: 국내 인증은 제14조 신고 체계를 충족하지 않습니다.
- 과징금: 제14조 위반은 최대 1,500만 유로 또는 전 세계 연 매출의 2.5% 중 높은 금액. (제64조제2항)
CRA 제14조가 요구하는 것
CRA(EU 규정 2024/2847) 제14조는 디지털 요소가 포함된 제품의 제조업체에 두 가지 사안의 당국 신고를 의무화합니다. 두 경우 모두 제16조의 단일 신고 플랫폼(ENISA SRP)을 통해 ENISA와 조정 CSIRT에 동시에 신고합니다.
플랫폼 관련 실무 메모(2026년 6월 기준). ENISA는 SRP 접속 매뉴얼, 등록 절차 안내, 그리고 교육 및 사전 점검(드라이런) 자료를 2026년 6월 중에 공개하겠다고 밝혔습니다. 2026년 9월 11일 마감을 끝까지 기다리지 않고 등록 절차 확인과 예행연습을 시작할 수 있을 전망입니다(2026년 6월 2일 기준으로는 공개 예정이며 아직 게시되지 않았습니다). 또한 현재 단계에서 SRP는 API를 제공하지 않습니다. 사내에서 데이터를 미리 준비할 수는 있으나 신고 자체는 수동으로 제출합니다. 특정 절차에 의존하기 전에 ENISA SRP 공식 페이지에서 최신 상태를 확인하십시오.
신고 대상 두 가지
1. 악용 중인 취약점. 악의적 행위자가 시스템 소유자의 허가 없이 취약점을 실제로 악용했다는 신뢰할 만한 증거가 있는 경우입니다. 공개된 취약점이나 연구자의 비공개 제보만으로는 대상이 아닙니다. 실제 악용이 요건입니다. (제3조제42호)
2. 심각 사고. 제품의 민감하거나 중요한 데이터·기능의 가용성·진정성·무결성·기밀성을 침해하거나 침해할 수 있는 사고, 또는 제품이나 사용자 시스템에 악성 코드의 도입·실행을 초래하거나 초래할 수 있는 사고입니다. (제14조제5항)
3단계 신고 타임라인
flowchart LR
A["악용·사고 인지
Day 0"] -->|"24시간 이내"| B["조기 경보
ENISA + 조정 CSIRT"]
B -->|"72시간 이내"| C["상세 신고
성격·초기 평가·대응 현황"]
C -->|"취약점 14일 / 사고 1개월"| D["최종 보고서
ENISA 제출"]
조기 경보(24시간 이내). 악용 또는 사고를 인지한 시점부터 24시간 안에 제출합니다. 완전한 분석은 필요 없습니다. 영향받는 회원국, 악용 의심 여부 등 초기 정보를 담습니다.
상세 신고(72시간 이내). 취약점·사고의 성격, 초기 평가, 취한 완화 조치, 사용자 측 완화 조치를 제공합니다.
최종 보고서. 취약점은 시정·완화 조치가 가용해진 후 14일 이내, 사고는 상세 신고 후 1개월 이내에 제출합니다. 심각도, 영향, 근본 원인, 적용한 완화 조치를 포함합니다. (제14조제2항·제4항)
참고: 제14조제8항은 신고와 별개로 영향받는 사용자에게 취약점·사고와 완화 조치를 알릴 의무도 부과합니다. 당국 신고와 사용자 고지는 별개의 작업입니다.
기존 제품에도 적용됩니다
"2027년 12월까지 시간이 있다"는 이해가 널리 퍼져 있습니다. 절반만 맞는 이야기입니다.
CRA에는 경과 규정이 있어, 2027년 12월 11일 이전에 출시된 제품은 대규모 수정이 없는 한 대부분의 요구사항 대상에서 제외됩니다. (제69조제2항) 그러나 이 제외에는 예외가 있습니다. 제14조의 신고 의무는 적용 범위에 속하는 기존 제품 전체에 적용됩니다. (제69조제3항)
| 제품 상황 | CE 마킹·기술 파일 등 | 제14조 신고 의무 |
|---|---|---|
| 2026년 9월 이전 출시 | 2027년 12월까지 유예 (대규모 수정 없을 시) | 2026년 9월 11일부터 적용 |
| 2026년 9월 ~ 2027년 12월 10일 출시 | 대규모 수정 없을 시 2027년 12월까지 유예 | 적용 |
| 2027년 12월 이후 출시 | CRA 전체 대응 필요 | 적용 |
주의: CE 마킹과 SBOM에는 유예가 있지만, 취약점 신고 의무에는 유예가 없습니다. 지금 EU에서 판매 중인 IoT 기기, 산업 장비, 임베디드 시스템은 2026년 9월 11일부터 신고 의무 대상입니다.
CRA 적용 범위 판정을 먼저 끝내야 합니다. 제품군이 일반·중요·핵심 중 어디에 속하는지는 CRA 제품 분류 가이드에서 확인하십시오.
한국 기업에 특히 어려운 이유: 품의·결재와 24시간
이 부분은 한국 기업 특유의 과제이며, 유럽 기업을 대상으로 한 CRA 자료에서는 거의 다뤄지지 않는 논점입니다.
많은 한국 기업의 보안 사고 대응은 다음 흐름을 따릅니다.
- 취약점·사고 탐지
- 사실 확인과 내부 조사 (1~3일)
- 담당 부서의 품의서 작성 (2~5일)
- 팀장·임원 결재 라인 회람과 승인 (3~7일)
- 법무·홍보 검토 (추가 2~3일)
- 경영 판단과 대외 공표 (14~30일 이후)
이 절차는 합리적이고 검증된 방식입니다. 그러나 제14조의 24시간 기한과는 정면으로 충돌합니다. 결재 라인을 완주한 뒤 신고하면 이미 기한을 넘깁니다.
KrCERT/CC 신고와 ENISA 신고는 다릅니다
한국 보안 담당자에게 익숙한 경로는 KISA가 운영하는 KrCERT/CC 신고입니다. 국내 협조적 취약점 공개와 침해사고 신고는 이 경로를 따릅니다. 실무 관행은 공급사에 패치 준비 시간을 주고 조율한 뒤 공개하는 방식에 가깝습니다.
CRA 제14조는 다릅니다. 시정이 끝나지 않아도, 악용을 인지한 시점부터 24시간 안에 EU 당국에 신고하도록 요구합니다. KrCERT/CC 신고는 국내 의무이며, ENISA·EU 국가 CSIRT 신고를 대신하지 못합니다. 두 경로를 모두 운영해야 하는 상황으로 봐야 합니다.
24시간 시계가 전제하는 것
flowchart TD
A["취약점·사고 인지"] --> B{"악용 증거가 있는가?"}
B -->|"있음"| C["24시간 카운트다운 시작
사전 지정 신고권자 즉시 가동"]
B -->|"불명"| D["기술 트리아지
수 시간 내"]
B -->|"없음"| E["통상 CVD 절차
KrCERT/CC 연계"]
D --> F{"신뢰할 만한 악용 증거?"}
F -->|"있음"| C
F -->|"없음"| E
C --> G["ENISA 조기 경보 제출
24시간 이내"]
G --> H["상세 신고
72시간 이내"]
H --> I["최종 보고서
14일 / 1개월"]
24시간 기한은 다음을 전제합니다.
- 사전 승인된 신고권자. 품의 완료를 기다리지 않고 ENISA에 조기 경보를 제출할 권한을 가진 담당자.
- 365일 대응 체계. 주말, 추석·설날, 장기 연휴를 포함합니다.
- EU 신고 인프라. ENISA SRP 계정, EU 국가 CSIRT 연락선. EU 사업장이 없으면 신고처 결정 순서를 미리 파악해야 합니다(아래 참조).
- "해결책 없이 신고" 수용. 조기 경보는 속보입니다. 상세와 시정은 후속 신고에서 보완합니다.
"악용이 확인되었다"는 무슨 의미인가
확실한 증거를 기다리는 관행이 24시간 기한과 충돌하는 지점입니다. 기한은 제조업체가 악용 중인 취약점을 인지한 시점부터 시작됩니다. 법무 검토 완료를 기다릴 시간이 없습니다.
| 상황 | 신고 필요? | 이유 |
|---|---|---|
| 연구자가 비공개로 취약점 제보 | 불필요 | 악용 없음. CVD 절차로 대응 |
| GitHub에 PoC 공개 | 불필요 | PoC 공개는 악용이 아님 |
| 고객이 취약점과 일치하는 이상 동작 신고 | 평가 필요 | 악용 증거 확인 |
| 위협 인텔리전스가 자사 제품 표적 시사 | 평가 필요 | 악용 증거 확인 |
| SBOM 컴포넌트에 악용된 알려진 취약점 | 평가 필요 | 자사 제품 영향 확인 |
핵심: 24시간 기한은 악용 중인 취약점을 인지한 시점부터 시작됩니다. 불확실한 신고는 짧은 시간 안에 신뢰할 만한 악용 증거가 있는지 평가하고, 증거가 확인되는 즉시 기한 초과를 피하는 운영이 현실적입니다.
우리 회사가 대상인가: 네 가지 경우
경우 A: EU 수출 제조업체 (EU 사업장 없음)
CRA상 "제조업체"로서 직접 신고 의무를 집니다. EU 사업장이 없으면 신고처가 되는 조정 CSIRT는 정해진 순서로 결정됩니다. 해당 제조업체 제품 수가 가장 많은 공인대리인 소재 회원국, 다음으로 수입업체, 유통업체, 마지막으로 사용자 수가 가장 많은 회원국 순입니다. (제14조제7항) 한국 본사가 신고 주체이며, 이 순서에 따라 어느 국가 CSIRT에 제출할지 사전에 확정해야 합니다.
경우 B: EU 현지법인 경유 판매
현지법인이 "수입업체"로 기능해도 제조업체의 제14조 신고 의무가 현지법인으로 이전되지는 않습니다. 수입업체에는 취약점 인지 시 제조업체 통지, 중대한 사이버보안 위험 인지 시 시장 감시 기관 통지 등 별도 의무가 발생합니다. 한국 본사와 EU 자회사 사이의 24시간 신고 체인을 미리 확립해야 합니다. (제19조제5항)
경우 C: ODM·OEM 공급 (EU 고객이 자사 브랜드로 판매)
EU 고객이 자사 브랜드로 출시하면 CRA상 "제조업체"는 EU 고객입니다. 다만 한국 ODM·OEM은 SBOM과 취약점 정보를 신속히 제공할 계약상 의무를 집니다. EU 고객이 24시간 신고 기한 안에서 정보를 요청할 상황을 전제해야 합니다. 삼성·LG 생태계 협력사의 계약 요구사항은 삼성·LG 협력사를 위한 EU CRA 대응 전략에서 정리했습니다.
경우 D: 산업 장비·B2B 제품 (최종 사용자에 직접 판매하지 않음)
B2B 제품도 CRA 대상에서 제외되지 않습니다. "대형 시스템 통합사에만 납품한다"는 사실은 제조업체 지위를 바꾸지 않습니다. IEC 62443 인증을 보유해도 제14조 신고 의무는 충족되지 않습니다.
ISMS-P·국내 인증으로는 제14조를 충족할 수 없습니다
ISMS-P, KC 인증, K-CMVP를 보유한 기업이 자주 오해하는 지점입니다. 이들 국내 제도는 조직 보안 관리나 제품·암호 모듈 적합성을 다루며, 제14조의 ENISA 24시간 신고 절차는 범위 밖입니다.
| 항목 | 국내 인증이 다루는가 |
|---|---|
| 조직·제품 보안 관리 체계 | 일부 해당 |
| ENISA 24시간 조기 경보 절차 | 해당 없음 |
| EU 국가 CSIRT 신고처 결정 | 해당 없음 |
| ENISA SRP 등록·운영 | 해당 없음 |
ISMS-P가 CRA 준비에 어떻게 재활용되는지, 어디에 격차가 남는지는 ISMS-P 인증이 EU CRA 준비에 어떻게 도움이 될까?에서 정리했습니다.
중소기업을 위한 참고
마이크로·소기업에 해당하는 제조업체는 24시간 조기 경보 기한과 관련한 행정 제재 적용에 일부 예외가 있습니다. 다만 신고 의무 면제는 아닙니다. 72시간 상세 신고와 최종 보고서 의무는 그대로 남습니다.
한국 중소 제조업체에는 추가 과제가 있습니다.
- 신고 체계를 전담할 보안 인력이 없는 경우가 많습니다.
- EU 역내 중소기업 대상 지원금은 한국 기업에 적용되지 않습니다. 국내 KISA 공급망 보안 지원 사업과는 별개입니다.
- 제재 예외는 24시간 조기 경보에 한정되며, 신고 절차 구축 자체를 면제하지 않습니다.
자주 묻는 질문
2026년 9월 11일 시점에 이미 EU에서 유통 중인 제품도 대상입니까?
대상입니다. 2027년 12월 이전 출시 제품은 CE 마킹·기술 파일 요구에서 제외되지만, 제14조 신고 의무는 이 제외에서 명시적으로 빠져 있어 기존 제품에도 적용됩니다. 지금 EU에서 판매 중인 IoT 기기, 산업 장비, 임베디드 시스템도 2026년 9월 11일부터 신고 대상입니다. 제품군 적용 여부는 CRA 적용 여부 확인 도구로 점검하십시오. (제69조제3항)
국내 KrCERT/CC에 신고하면 ENISA 신고를 대신할 수 있습니까?
대신할 수 없습니다. KrCERT/CC 신고는 국내 의무이며, CRA 제14조는 ENISA와 EU 국가 CSIRT에 대한 별도 신고를 요구합니다. 두 경로는 목적과 절차가 다르므로 모두 운영해야 합니다. EU 사업장이 없는 경우 신고처가 되는 조정 CSIRT는 해당 제조업체 제품 수가 가장 많은 공인대리인·수입업체·유통업체 소재지, 마지막으로 사용자 수가 가장 많은 회원국 순으로 결정됩니다. (제14조제7항)
ISMS-P 인증이 있으면 제14조에 대응할 수 있습니까?
대응할 수 없습니다. ISMS-P는 조직 정보보호 관리 체계 인증이며, 제14조의 ENISA 24시간 신고 절차는 범위 밖입니다. ISMS-P 통제 증거 중 일부는 CRA 기술 문서에 재활용 가능하지만, 신고 체계는 별도로 구축해야 합니다. 겹치는 영역과 남는 격차는 ISMS-P와 CRA 브리지 가이드에서 확인하십시오.
24시간 조기 경보에 어느 정도 기술적 상세가 필요합니까?
조기 경보는 속보이며 완전한 분석은 필요 없습니다. 영향받는 회원국, 악용·사고의 초기 평가 수준이면 됩니다. 상세 분석과 완화 조치 내용은 72시간 상세 신고와 최종 보고서에서 보완합니다. 템플릿을 미리 준비해 두면 사고 발생 시 작성 시간이 줄어듭니다. (제14조제2항)
EU 사업장이 없으면 EU 공인대리인 선임이 필수입니까?
필수가 아닙니다. CRA 제18조제1항에서 공인대리인 선임은 임의이며, MDR 제11조나 RED 제5조와 같은 역외 제조업체 의무 조항은 CRA 본문에 없습니다. 제14조 신고 의무는 공인대리인 선임 여부와 무관하게 제조업체 본체에 적용됩니다. 운영상 EU 단일 창구가 필요하면 자발적으로 선임합니다. 판단 기준은 공인대리인 해설 페이지를 참조하십시오.
제14조 위반 시 최대 과징금은 얼마입니까?
제14조 위반에는 최대 1,500만 유로 또는 전 세계 연 매출의 2.5% 중 높은 금액이 부과됩니다. 제품 포트폴리오의 적용 여부와 신고 체계 준비 상태를 한 번에 점검하려면 CRA Evidence 무료 진단을 신청하십시오. (제64조제2항)
이 글은 정보 제공을 위한 것이며 법률 자문이 아닙니다. EU 제품 규제 준수에 관한 구체적인 판단은 EU 규제에 정통한 법률 전문가와 상담하십시오.
관련 기사
귀사 제품에 CRA가 적용됩니까?
6가지 간단한 질문에 답하여 귀사 제품이 EU 사이버복원력법(CRA) 적용 범위에 해당하는지 확인하십시오. 2분 이내에 결과를 확인하실 수 있습니다.