한국 공급망 CRA 역할 가이드: EU 브랜드, OEM, 수입자 책임
삼성·LG 협력사, 전자부품, 반도체·메모리, 연결 기기 공급업체를 위한 CRA 역할 가이드. EU 브랜드, OEM/ODM, 부품 공급사, 수입자 책임을 구분합니다.
이 기사의 목차
한국 협력사가 EU CRA를 볼 때 먼저 정리할 질문은 제품 분류가 아니라 역할입니다. 누가 EU 시장에 자기 이름으로 제품을 내놓는지, 누가 수입자인지, 누가 유통사인지, 누가 자체 브랜드로 다시 판매하는지에 따라 책임선이 달라집니다.
삼성·LG 생태계 협력사, 전자부품 공급사, 메모리·SSD·CXL 모듈 공급사, Wi-Fi / BLE 모듈 공급사, BMC·펌웨어 공급사는 같은 문제를 만납니다. EU 브랜드 제품에 들어가는 부품을 만들었지만, 고객 계약서는 SBOM, 취약점 통보, 보안 업데이트, 기술 문서 협조를 요구합니다.
이 글은 제품별 분류표가 아닙니다. 삼성·LG 협력사 계약 요구사항은 삼성·LG 협력사를 위한 EU CRA 가이드, 반도체·메모리 부품 관점은 한국 HBM·SSD·CXL 공급업체를 위한 CRA 실무 가이드를 함께 보세요.
요약
- EU 브랜드 이름으로 판매되는 제품은 보통 그 브랜드가 대외 제조업체입니다
- 한국 OEM/ODM·부품·펌웨어 공급사는 직접 제조업체가 아니어도 계약으로 증빙 의무를 집니다
- 한국 회사가 자사 이름으로 연결 제품이나 디지털 부품을 EU에 판매하면 직접 제조업체가 될 수 있습니다
- 수입자와 유통사는 제조업체를 대체하지 않지만, CE 표시, 문서, 지원 기간, 연락처, 위험 징후를 확인해야 합니다
- 공인대리인은 선택 가능한 위임 대상이지, 설계·위험평가·취약점 처리 책임을 넘기는 회사가 아닙니다
- 수입자나 유통사가 자체 브랜드로 판매하거나 펌웨어·클라우드·업데이트 경로를 크게 바꾸면 제조업체 책임이 생길 수 있습니다
역할은 판매 이름에서 시작합니다
CRA의 제조업체는 실제 생산라인을 가진 회사만 뜻하지 않습니다. 제품을 자기 이름이나 상표로 EU 시장에 내놓는 주체가 핵심입니다.
| 거래 구조 | 대외 역할 | 한국 공급사가 준비할 항목 |
|---|---|---|
| 한국 회사가 자사 브랜드로 EU 판매 | 한국 회사가 제조업체 | 기술 문서, SBOM, 보안 업데이트, 취약점 처리, EU 통보 준비 |
| EU 브랜드용 OEM / ODM | EU 브랜드가 제조업체인 경우가 많음 | 부품·펌웨어 증빙, SBOM, 패치 SLA, 기술 문서 일부 |
| EU 수입자가 한국 브랜드 제품을 수입 | 한국 회사가 제조업체, 수입자는 확인자 | 수입자가 확인할 문서, 표시, 지원 기간, 연락처 |
| 유통사가 자체 브랜드로 재판매 | 유통사가 제조업체가 될 수 있음 | 브랜드 변경 후 제품 파일과 책임 분담 |
| 시스템 통합사가 펌웨어나 클라우드를 변경 | 변경자가 제조업체가 될 수 있음 | 변경 범위, 영향 분석, 이전 증빙과 신규 증빙 |
OEM이어도 증빙 의무는 남습니다
EU 브랜드가 대외 제조업체가 되는 경우에도, 한국 공급사의 증빙이 없으면 브랜드가 제품 파일을 완성하기 어렵습니다.
예를 들어 한국 협력사가 스마트 TV Wi-Fi 모듈, 냉장고 MCU 펌웨어, 로봇청소기 앱 연동 펌웨어, BMC 또는 SSD 관리 펌웨어를 공급한다면, 실제 SBOM과 취약점 판단 자료는 한국 측에 있습니다. EU 브랜드는 제품 전체 책임을 지더라도 그 자료를 자체적으로 재구성하기 어렵습니다.
계약서에는 보통 이런 항목이 들어갑니다.
- 펌웨어 또는 모듈별 SBOM
- 악용 중인 취약점의 단시간 통보
- 취약점이 제품에 영향을 주는지에 대한 판단 근거
- 보안 패치, 릴리스 노트, 고객 SKU 매핑
- 지원 기간과 EOL 처리
- 기술 문서에 들어갈 설계·테스트·위험 자료
- EU 브랜드가 규제기관이나 고객에게 설명할 증빙 링크
법적 대외 책임과 계약상 증빙 책임은 다릅니다. OEM이라 직접 통보하지 않는 상황은 있을 수 있습니다. 하지만 OEM이라는 이유만으로 SBOM과 취약점 자료 제공까지 사라지지는 않습니다.
계약서에는 항목 이름만 쓰지 않아야 합니다. 취약점이 발생한 날 누가 무엇을 몇 시간 안에 내놓는지를 구체적 값으로 고정해야 합니다.
| 계약 항목 | 계약에서 고정할 구체 값 |
|---|---|
| SBOM | 형식(CycloneDX 또는 SPDX), 제공 단위(제품·부품·펌웨어 버전별), 갱신 시점 |
| 취약점 1차 판단 | 판단 책임 회사, 1차 회신 기한, 연락 창구(PSIRT) |
| 패치 | 패치본 제공 의무, 릴리스 노트 언어, 배포 경로 |
| 지원 기간 | 지원 종료 연월, 장기 공급품 연장 조건 |
| 기술 문서 협조 | 제공 자료 범위, 당국 조회 대응 기한 |
참고: 같은 모듈이라도 판매 경로에 따라 한국 공급사의 역할이 달라집니다. 한 협력사가 BLE 연결 도어록 모듈을 두 경로로 출하한다고 가정해 봅시다. 첫째, 자사 브랜드를 찍어 EU 유통사에 직접 판매하는 경로입니다. 이때 그 모듈은 별도로 시장에 출시되는 디지털 부품 제품이고, 한국 공급사가 그 부품의 제조업체가 됩니다. 기술 문서, 적합성 평가, SBOM, 취약점 처리, 지원 기간이 모두 한국 공급사 몫입니다. 둘째, 같은 모듈을 EU 가전 브랜드에 납품해 그 브랜드 완제품에 내장되는 경로입니다. 이때 완제품을 자기 이름으로 출시하는 EU 브랜드가 제조업체이고, 한국 공급사의 의무는 규제가 아니라 공급 계약에서 나옵니다. 즉 SBOM과 취약점 근거를 브랜드에 넘기는 증빙 의무입니다. 두 경로에서 펌웨어 코드는 같지만 책임선은 완전히 다릅니다.
자사 부품을 EU에 직접 판매하는 경우
한국 공급사가 Wi-Fi 모듈, BLE 모듈, 보안 MCU, BMC 모듈, NIC, SSD 컨트롤러 펌웨어, 라우터 펌웨어 패키지처럼 연결 기능이 있는 부품을 자기 이름으로 EU에 판매하면, 그 부품 자체가 별도 제품으로 취급될 수 있습니다. CRA는 별도로 시장에 출시되는 소프트웨어·하드웨어 부품을 디지털 요소 제품으로 보기 때문입니다.
판단은 세 가지로 나눕니다.
| 질문 | 실무 판단 |
|---|---|
| 소프트웨어·펌웨어·데이터 처리 하드웨어가 있는가? | 모듈, MCU, BMC, NIC, 펌웨어 패키지는 대개 확인 필요 |
| 한국 공급사 이름이나 상표로 EU에 공급되는가? | 그렇다면 공급사가 직접 제조업체가 될 수 있음 |
| 직접 또는 간접 연결 기능이 있는가? | 연결 기능이 없는 단순 부품은 별도 판단 필요 |
동일 사양의 교체용 부품까지 모두 자동으로 CRA 대상이라고 쓰면 안 됩니다. 별도 판매되는 연결 부품과 완제품에 들어가는 내부 부품을 구분해야 합니다.
수입자와 유통사가 확인하는 항목
EU 수입자는 제조업체가 필요한 평가를 했는지, 기술 문서를 만들었는지, CE 표시와 적합성 선언, 사용자 정보, 제조업체 정보, 지원 기간이 있는지 확인해야 합니다. 유통사도 제품을 EU 시장에 제공하기 전에 겉으로 확인되는 범위에서 표시와 문서, 제조업체·수입자 정보, 사용자 정보를 확인해야 합니다.
한국 회사가 EU 수입자에게 넘길 기본 패키지는 다음과 같습니다.
| 패키지 | 내용 |
|---|---|
| 표시와 문서 | CE 표시, EU 적합성 선언, 제품 식별, 제조업체 연락처, 지원 종료일 |
| 보안 증빙 | SBOM, CVD 연락처, 취약점 처리 절차, 보안 업데이트 정책 |
| 기술 문서 색인 | 위험평가, 설계 통제, 테스트 기록, 부품 증빙, 표준·인증 활용 현황 |
| 사고 대응 연락 | PSIRT 연락처, EU 판매국, 수입자·유통사 목록, 고객 SKU 정보 |
수입자와 유통사는 한국 제조업체의 기술 문서를 대신 작성하는 조직이 아닙니다. 하지만 눈으로 확인되는 불비가 있으면 제품을 시장에 내놓을 수 없습니다. 그래서 한국 공급사의 증빙 패키지가 부족하면 수입, 판매, 계약 갱신이 막힙니다.
OEM/ODM 제품을 EU 고객이 자기 이름으로 재판매할 때
한국 OEM/ODM이 직접 EU에 출시하지 않고 EU 고객에게 무지 제품을 납품하는 경우가 많습니다. 그 EU 고객이 자기 브랜드를 붙여 시장에 출시하면, CRA는 그 EU 고객을 제조업체로 봅니다. 자기 이름이나 상표로 제품을 시장에 내놓는 주체가 제조업체이기 때문입니다.
이 구조에서 주의할 점은 두 가지입니다. 첫째, 대외 제조업체 의무는 EU 브랜드 고객에게 있지만, 그 고객은 한국 OEM/ODM의 협조 없이는 기술 문서를 완성할 수 없습니다. 둘째, 한국 OEM/ODM이 같은 제품을 자사 이름으로 다른 EU 채널에 판매한다면, 그 채널에서는 한국 회사가 제조업체가 됩니다. 같은 하드웨어가 한 채널에서는 부품 공급, 다른 채널에서는 자체 출시가 되는 구조이므로, 채널별로 역할을 분리해 기록해야 합니다.
EU 고객이 무지 제품을 받아 자기 브랜드로 재판매하는 것을 넘어 펌웨어를 교체하거나 업데이트 경로를 바꾸는 등 제품을 크게 변경하면, 그 변경자가 새로운 제조업체 의무를 떠안습니다. 수입자나 유통사도 제품을 자기 이름이나 상표로 출시하거나 시장 출시 후 제품을 크게 변경하면 제조업체로 간주되어 제조업체와 같은 의무를 그대로 집니다.
EU 공인대리인은 책임을 대신 지지 않습니다
EU 밖의 한국 제조업체는 EU 내 공인대리인을 둘 수 있습니다. 실무적으로는 당국 연락, 적합성 선언과 기술 문서 보관, 시장감시 요청 대응에 도움이 됩니다.
그러나 공인대리인은 설계, 개발, 위험평가, 지원 기간, 취약점 처리, 제품 적합성 자체를 대신 책임지는 회사가 아닙니다. 위임장에 무엇을 맡겼는지 명확히 쓰고, 제품 보안 책임을 모두 넘긴 것처럼 표현하지 않아야 합니다. 위임할 수 있는 범위와 위임장 작성 방법은 EU 공인대리인의 역할과 위임 범위에서 자세히 다룹니다.
먼저 정리할 항목은 다음입니다.
- EU에 나가는 제품 목록
- 기술 문서 보관 위치
- 누가 EU 적합성 선언에 서명하는지
- 취약점 통보 때 누가 결정을 내리는지
- 수입자, 유통사, 주요 EU 고객 분포
역할이 바뀌는 위험한 변경
수입자, 유통사, 리셀러, 통합사가 다음 변경을 하면 단순 판매가 아니라 새로운 제조업체 책임에 가까워집니다.
- 자체 브랜드 또는 자체 상표로 판매
- 펌웨어 교체
- 업데이트 서버 또는 서명키 변경
- 클라우드 관리 서비스 교체
- 제품의 용도나 보안 경계 변경
- 보안 기능 비활성화 또는 추가
- 지원 기간이나 업데이트 정책 변경
변경이 제품 보안에 영향을 주면 책임이 변경된 부분에 한정될 수도 있고, 제품 전체로 확장될 수도 있습니다. 계약서에는 변경 전 증빙, 변경 후 증빙, 고객 통지와 패치를 누가 맡는지까지 적어야 합니다.
반면 다음 변경만으로는 통상 제조업체 책임이 생기지 않습니다:
- 제조업체가 배포한 보안 업데이트를 그대로 전달하거나 적용하는 경우
- 용도를 바꾸지 않고 위험을 높이지 않는 경미한 UI 변경(예: 표시 언어 추가)
- 의도된 용도를 바꾸지 않는 재포장이나 라벨 교체, 또는 용도 변경 없이 이루어지는 유지보수·수리
- 연결 기능을 추가하지 않는 동일 사양 부품 교체
판단 기준은 두 가지입니다. 사이버 보안 적합성에 영향을 주는가, 의도된 용도를 바꾸는가. 둘 다 해당하지 않으면 판매나 설치의 범위에 머물고, 제조업체 책임은 원래 제조업체에 남습니다.
취약점·중대 사고 발생 시 역할 분담
악용 중인 취약점이나 중대한 제품 보안 사고가 발생하면 짧은 시한이 적용됩니다. 대외 제조업체가 ENISA 단일 신고 플랫폼(SRP)을 통해 조정 CSIRT 한 곳에 신고합니다. 신고 흐름은 다음과 같습니다.
- 24시간 이내: 조기 경보
- 72시간 이내: 취약점·사고 상세 통보
- 최종 보고: 취약점은 시정·완화 조치 제공 후 14일 이내, 중대 사고는 72시간 통보 후 1개월 이내
- 동시에 영향을 받는 사용자에게 정보 제공
신고 의무는 2026년 9월 11일부터 적용됩니다. 제품 주요 의무 전체는 2027년 12월 11일부터입니다.
핵심은 이것입니다. EU 브랜드가 대외적으로 신고 주체가 되더라도, 24시간 조기 경보에 필요한 정보의 대부분은 한국 공급사 쪽에 있습니다. 어느 펌웨어 버전이 영향을 받는지, 악용의 성격, 임시 완화책, 패치 예정 시점은 설계와 업데이트를 보유한 한국 측이 먼저 판단합니다.
| 역할 | 취약점·사고 발생 시 할 일 |
|---|---|
| 한국 공급사(설계·업데이트 보유) | 1차 판단, 영향 범위 특정, 패치본과 릴리스 노트 작성, 대외 제조업체에 즉시 연락 |
| 대외 제조업체(자사 브랜드 한국 제조사 또는 EU 브랜드) | SRP 경유 신고, 사용자 정보 제공, 최종 보고 |
| 수입자·유통사 | 제조업체·당국 연락 중계, 영향 제품의 판매·재고 처리 |
| EU 공인대리인 | 위임 범위 내 당국 연락 지원, 문서 제시 |
OEM 계약에서는 "신고하는 회사"와 "24시간 이내에 판단 자료를 내놓는 회사"를 분리해 적어야 합니다. EU 브랜드가 신고 주체여도 한국 측의 초동이 늦으면 조기 경보 시한을 지킬 수 없습니다. 신고 대상 CSIRT를 정하는 방법은 CSIRT 결정 가이드를, 신고 의무 전체 구조는 취약점 보고 의무 가이드를 참고하세요.
자주 묻는 질문
삼성·LG 같은 EU 브랜드에 납품하면 한국 협력사는 CRA와 무관한가요?
무관하지 않습니다. EU 브랜드가 대외 제조업체가 되는 경우에도, SBOM, 취약점 판단, 패치, 지원 기간, 기술 문서의 일부는 한국 협력사가 제공해야 합니다. 이 의무는 규제기관이 직접 요구하기보다 구매 계약과 공급망 감사로 내려오는 경우가 많습니다.
EU 수입자가 있으면 한국 제조업체 책임은 없어지나요?
아닙니다. 수입자는 확인과 시장 출시 책임을 갖지만, 한국 제조업체의 기술 문서, SBOM, 보안 업데이트, 취약점 대응을 대신 만드는 역할은 아닙니다. 한국 제조업체가 수입자가 확인할 증빙을 준비해야 합니다.
공인대리인을 두면 기술 책임과 통보 책임을 넘길 수 있나요?
범위가 제한됩니다. 공인대리인은 문서 보관과 당국 연락을 지원할 수 있지만, 설계, 위험평가, 취약점 처리, 지원 기간, 제품 적합성 자체는 제조업체 쪽에 남습니다.
부품 공급사가 직접 제조업체가 되는 경우는 언제인가요?
연결 기능이 있는 모듈, BMC, NIC, MCU, 펌웨어 패키지 등을 한국 공급사 이름이나 상표로 EU 시장에 판매하는 경우입니다. 반대로 EU 브랜드 완제품 안에 들어가는 내부 부품이면 대외 책임은 브랜드 쪽에 남는 경우가 많고, 한국 공급사는 계약으로 증빙을 제공합니다.
EU 사업장이 없으면 어느 CSIRT에 신고하나요?
CRA 신고는 ENISA SRP를 통해 EU 조정 CSIRT 한 곳에 제출합니다. EU에 제품 보안 결정을 내리는 주된 사업장이 없으면 공인대리인, 수입업체, 유통업체, 사용자 소재지 순서로 첫 회원국을 정합니다. 자세한 절차는 EU 신고 대상 CSIRT 정하는 법을 참고하세요.
관련 기사
귀사 제품에 CRA가 적용됩니까?
6가지 간단한 질문에 답하여 귀사 제품이 EU 사이버복원력법(CRA) 적용 범위에 해당하는지 확인하십시오. 2분 이내에 결과를 확인하실 수 있습니다.