한국 HBM·SSD·CXL 공급업체를 위한 CRA 실무 가이드

한국 HBM, DRAM, NAND, 엔터프라이즈 SSD, CXL 모듈, 컨트롤러 펌웨어 공급업체가 EU 고객의 CRA 요구에 대비해야 할 SBOM, CVD, 지원 기간, 분류 기준을 정리합니다.

CRA Evidence Team 게시됨 2026년 5월 22일 업데이트됨 2026년 5월 27일
짙은 청록색 배경에 EU 별 고리, 메모리 부품 선화, 한국 반도체·메모리 부품 CRA 가이드 제목을 배치한 블로그 이미지
이 기사의 목차

한국 반도체 기업은 AI 서버와 데이터센터 공급망의 중심에 있습니다. HBM, DRAM, NAND, 엔터프라이즈 SSD, CXL 메모리, 컨트롤러 펌웨어, 보안 칩은 EU 클라우드·서버·통신 장비 고객의 구매 심사에 직접 연결됩니다.

EU 사이버복원력법(CRA)은 스마트 가전이나 IoT 기기만 다루는 규정이 아닙니다. EU 시장에 공급되는 소프트웨어·하드웨어 제품, 그리고 별도로 시장에 출시되는 소프트웨어·하드웨어 부품도 적용 범위에 들어갑니다.

다만 HBM이나 DRAM이 곧바로 중요 제품 Class I이 되는 것은 아닙니다. CRA 분류는 제품명이나 업계 관심도가 아니라 EU 시장에 출시되는 제품의 기능을 기준으로 판단합니다. 일반 메모리 칩, 기업용 SSD, CXL 모듈, 보안 컨트롤러, 업데이트 유틸리티는 서로 다른 분석이 필요합니다.

스마트 TV, 가전, IoT 협력사 계약 문제는 삼성·LG 협력사를 위한 EU CRA 대응 전략에서 다룹니다. 이 글은 반도체·메모리·데이터센터 부품 공급업체의 증빙 범위에 집중합니다.

요약

  • HBM, DRAM, NAND 같은 메모리 칩은 제품명만으로 CRA 중요 제품이 되지 않습니다. 제품이 EU 시장에 별도로 공급되는 디지털 요소 포함 제품인지, 어떤 기능으로 판매되는지부터 확인합니다.
  • 엔터프라이즈 SSD, CXL 메모리 모듈, 컨트롤러 펌웨어, 업데이트 도구, 관리 소프트웨어는 SBOM과 취약점 처리 증빙 범위에 들어갑니다.
  • 보안 관련 마이크로컨트롤러, 마이크로프로세서, ASIC, FPGA, 내탬퍼 칩은 별도 제품으로 판매될 때 부속서 III 분류 검토가 필요합니다.
  • EU 서버·클라우드·통신 장비 고객은 CE 마킹보다 먼저 SBOM, 조정된 취약점 공개(CVD) 정책, 보안 업데이트 지원 기간, 취약점 통보 SLA를 요구합니다.
  • 2026년 9월 11일부터 유럽연합 사이버보안청(ENISA)과 조정자 CSIRT 신고 의무가 먼저 적용됩니다. 2027년 12월 11일부터 CRA 전체가 적용됩니다.
  • 반도체 공급업체의 첫 작업은 제품별 지위 구분입니다. 직접 EU에 판매하는 제품, 고객 완제품에 들어가는 부품, 단순 원재료형 칩을 나눠야 합니다.

적용 대상의 경계

CRA는 제품의 디지털 기능과 연결성을 봅니다. 반도체 분야에서는 이 기준이 단순하지 않습니다. 메모리 칩은 데이터를 저장하지만, 자체 소프트웨어 업데이트나 외부 인터페이스가 없는 부품도 있습니다. 반면 SSD, CXL 모듈, 컨트롤러 보드, 보안 칩, 관리 소프트웨어는 펌웨어와 업데이트 경로를 갖습니다.

제품별로 먼저 구분해야 할 대상은 다음과 같습니다.

제품·부품 CRA 검토 방향
HBM, DRAM, NAND 다이 또는 패키지 제품명만으로 중요 제품은 아닙니다. 별도 시장 출시 여부와 기능을 봅니다.
엔터프라이즈 SSD 컨트롤러 펌웨어, 업데이트 도구, 보안 기능, 관리 소프트웨어가 핵심 증빙 범위입니다.
CXL 메모리 모듈 펌웨어, 관리 인터페이스, 원격 업데이트, 호스트와의 연결 기능을 검토합니다.
SSD 컨트롤러, 메모리 컨트롤러 별도 제품으로 공급되는 경우 하드웨어 부품으로서 CRA 범위 검토가 필요합니다.
보안 관련 MCU·ASIC·FPGA 보안 기능을 중심으로 판매되는 경우 중요 제품 Class I 또는 Class II 검토 대상입니다.
NIC·데이터 처리 장치(DPU)·SmartNIC 별도 판매되는 네트워크 인터페이스 제품이면 중요 제품 Class I 논점이 생깁니다.
펌웨어 업데이트 유틸리티 제품 기능 유지에 필요한 소프트웨어라면 기술 문서와 SBOM 범위에 넣습니다.

핵심은 제품 단위입니다. 완제품 서버 안에 메모리 모듈이 들어간다는 사실만으로 메모리 공급업체가 완제품 제조업체가 되지는 않습니다. 반대로 한국 기업이 자사 브랜드의 SSD, CXL 장치, 보안 칩, 관리 소프트웨어를 EU 고객에게 직접 공급하면 해당 제품의 제조업체 지위를 검토해야 합니다.

직접 의무와 계약 의무

반도체 공급망에서는 법적 의무와 계약 의무가 자주 섞입니다. 둘을 분리해야 합니다.

거래 구조 CRA상 의미 실무 영향
한국 기업이 자사 SSD·CXL 모듈을 EU 고객에게 직접 판매 해당 제품의 제조업체 지위 가능성 기술 문서, SBOM, CVD, 지원 기간, 적합성 평가 책임 검토
EU 서버 제조업체가 한국 메모리 부품을 구매해 완제품 판매 EU 서버 제조업체가 완제품 제조업체 한국 공급업체는 SBOM·취약점·지원 기간 정보를 계약으로 제공
글로벌 브랜드가 한국 기업에 컨트롤러 펌웨어를 위탁 브랜드가 외부 제조업체일 가능성 소스·빌드·SBOM·취약점 통보 SLA가 구매 계약에 들어감
한국 기업이 보안 칩 또는 내탬퍼 칩을 별도 제품으로 공급 부속서 III 분류 검토 필요 Class I 또는 Class II 가능성, 제3자 평가 여부 확인

EU 고객이 요구하는 증빙은 법적 제조업체에게만 도달하지 않습니다. 완제품 제조업체가 24시간 내 신고와 안전 업데이트 책임을 지려면, 부품 공급업체의 정보가 먼저 필요합니다. 따라서 직접 CRA 의무가 없더라도 계약상 증빙 요구는 먼저 도착합니다.

반도체 부품 증빙 전달 흐름. HBM, DRAM, NAND, 엔터프라이즈 SSD, CXL 모듈, 컨트롤러 펌웨어, 업데이트 도구와 보안 칩을 직접 EU 판매 제품, 완제품 고객 부품, 단순 원재료형 칩으로 나누는 그림.
제품 지위를 먼저 나누면 직접 CRA 증빙, 완제품 고객의 계약상 증빙 요구, 단순 원재료형 칩의 범위 확인을 같은 문장에 섞지 않을 수 있습니다.

분류 오해 방지

반도체 분야에서 가장 위험한 오해는 "AI 반도체이므로 중요 제품"이라는 판단입니다. CRA의 중요 제품 목록은 인공지능 성능이나 전략 산업 여부를 기준으로 하지 않습니다.

일반 원칙은 다음과 같습니다.

  • HBM, DRAM, NAND는 제품명만으로 부속서 III 중요 제품이 아닙니다.
  • 엔터프라이즈 SSD도 자동으로 Class I이 아닙니다. 제품 기능, 관리 소프트웨어, 보안 기능, 네트워크 인터페이스 여부를 따로 봅니다.
  • 별도 판매되는 NIC, DPU, SmartNIC은 네트워크 인터페이스 제품으로 Class I 논점이 있습니다.
  • 보안 기능을 핵심으로 판매하는 MCU, 마이크로프로세서, ASIC, FPGA는 Class I 검토 대상입니다.
  • 내탬퍼 마이크로프로세서·마이크로컨트롤러는 Class II 검토 대상입니다.
  • 완제품 안에 내장된 부품은 완제품 리스크 평가와 SBOM 범위에 들어가지만, 그 사실만으로 완제품 전체의 분류가 올라가지는 않습니다.

제품의 네 가지 분류와 적합성 평가 경로는 CRA 제품 분류 가이드에서 별도로 정리했습니다. 반도체 부품은 이 가이드를 기준으로 제품 단위 판단표를 만들어야 합니다.

EU 고객이 요구할 증빙

EU 클라우드·서버·통신 장비 고객은 반도체 공급업체에 다음 증빙을 요구합니다.

증빙 반도체 공급업체의 준비 항목
제품 지위 메모 직접 제조업체인지, 부품 공급업체인지, 완제품 고객의 공급망 구성원인지 구분
SBOM 컨트롤러 펌웨어, SSD 펌웨어, CXL 모듈 펌웨어, 관리 소프트웨어, 업데이트 도구
CVD 정책 취약점 접수 채널, 고객 통보, 공개 정책, 공급망 에스컬레이션
보안 업데이트 펌웨어 서명, 업데이트 검증, 롤백 통제, 패치 배포 기록
지원 기간 제품·펌웨어·관리 소프트웨어 버전별 보안 업데이트 종료 연월
취약점 통보 SLA 악용 증거 확인 시 고객 보안팀에 통보하는 내부 기준
기술 문서 협력 완제품 제조업체의 EU 적합성 선언과 부속서 VII 기술 파일에 들어갈 자료

SBOM은 부속서 I 제2부 제1호의 취약점 처리 요구에서 나옵니다. 형식은 향후 세부 규칙으로 더 구체화될 수 있지만, 실무에서는 CycloneDX와 SPDX가 주로 논의됩니다. 취약점 대응 중심이면 CycloneDX, 라이선스·구성 요소 관리 중심이면 SPDX가 적합한 경우가 많습니다.

SSD와 CXL의 SBOM 범위

SSD와 CXL 제품은 일반 메모리 칩보다 CRA 증빙 범위가 넓습니다. 컨트롤러 펌웨어, 관리 소프트웨어, 업데이트 유틸리티, 드라이버, 호스트 연동 기능이 함께 움직이기 때문입니다.

SBOM은 다음 계층으로 나눕니다.

계층 포함 대상
컨트롤러 펌웨어 RTOS, 부트로더, 암호 라이브러리, 압축·ECC·웨어레벨링 관련 구성 요소
관리 소프트웨어 SSD 관리 도구, CXL 관리 유틸리티, CLI, GUI, API
업데이트 도구 펌웨어 배포 도구, 서명 검증 코드, 롤백 로직
드라이버·SDK 호스트 드라이버, 고객 통합 SDK, 진단 도구
공급망 구성 요소 서드파티 IP, 오픈소스 라이브러리, 외부 보드·컨트롤러 펌웨어

EU 고객이 알고 싶은 것은 단순한 부품명 목록이 아닙니다. 특정 CVE가 공개됐을 때 어떤 제품군, 어떤 펌웨어 버전, 어떤 고객 납품분이 영향을 받는지 빠르게 판단해야 합니다. 이 목적에 맞지 않는 SBOM은 감사 자료로는 보여도 사고 대응 자료로 쓰기 어렵습니다.

지원 기간과 수명주기

반도체 부품의 상업적 수명과 펌웨어 지원 수명은 서로 다를 때가 있습니다. 지원 기간은 최소 5년입니다. 단축 대상은 제품 예상 사용 기간이 5년 미만인 경우로 한정됩니다. 그 이상의 기간은 제품 예상 사용 기간과 사용자의 합리적 기대를 반영하여 결정합니다.

반도체 공급업체는 다음 단위로 지원 기간을 관리합니다.

  • 제품 모델과 리비전
  • 컨트롤러 펌웨어 메이저 버전
  • 관리 소프트웨어 버전
  • 고객 전용 펌웨어 분기
  • 공급 중단(EOL) 제품군
  • 서드파티 IP와 오픈소스 구성 요소

EU 고객에게는 보안 업데이트 종료 연월을 명확히 제시해야 합니다. 데이터센터 부품은 장기간 운영되는 경우가 많아, 공급 중단과 보안 업데이트 종료를 같은 날짜로 두면 계약상 충돌이 생깁니다.

2026년 신고 준비

2026년 9월 11일부터 CRA 제14조 신고 의무가 먼저 적용됩니다. 제품 안의 취약점이 적극적으로 악용되는 사실을 제조업체가 알게 되면 24시간 안에 조기 경보가 필요합니다. 72시간 안에는 상세 통지가 이어지고, 수정 또는 완화 조치가 가능해진 뒤 14일 안에 최종 보고를 냅니다. 심각 사고는 24시간·72시간·통지 후 1개월 흐름으로 다룹니다.

한국 반도체 공급업체가 직접 ENISA와 조정자 CSIRT에 신고하지 않는 구조라도, EU 고객이 신고를 하려면 아래 정보가 필요합니다.

  • 영향을 받는 제품 모델과 펌웨어 버전
  • EU 고객과 납품 경로
  • 악용 여부의 기술 근거
  • 임시 완화 조치
  • 수정 펌웨어 제공 가능 시점
  • 공개 여부와 고객 통지 문안

이 정보가 고객에게 늦게 전달되면, 고객은 CRA 신고 기한을 지키기 어렵습니다. 따라서 부품 공급 계약에는 24시간보다 짧은 내부 통보 SLA가 들어갈 수 있습니다. SLA는 CRA 조문 자체가 아니라 고객의 신고 시간을 확보하기 위한 계약 장치입니다.

공급 계약에 넣을 항목

반도체 공급 계약이나 품질 계약에는 CRA 관련 항목을 별도 부속서로 두는 편이 실무상 안정적입니다.

계약 항목 실무 내용
SBOM 제공 제품·펌웨어 버전별 기계 판독 가능 SBOM 제공
취약점 통보 악용 증거 확인 시 고객 보안팀에 단시간 통보
패치 협력 수정 펌웨어, 완화 조치, 영향 범위 분석 제공
지원 기간 보안 업데이트 종료 연월과 EOL 통지 시점 명시
보안 업데이트 서명·검증·롤백·배포 기록 요건
기술 문서 고객의 EU 적합성 선언, 기술 파일, 시장 감시 대응 자료 지원
비밀정보 처리 SBOM과 보안 설계 자료의 열람 범위, 당국 요청 시 제공 절차

계약 문구는 "CRA 준수" 한 줄로 끝나면 안 됩니다. 고객에게 필요한 자료는 실제 사고 대응에 사용되는 데이터입니다. 모델명, 버전, 구성 요소, 취약점 영향, 수정 일정, 공개 범위가 모두 연결돼야 합니다.

자주 묻는 질문

HBM이나 DRAM도 CRA 중요 제품인가?

제품명만으로 중요 제품은 아닙니다. HBM, DRAM, NAND는 제품 기능과 EU 시장 출시 방식에 따라 검토합니다. 일반 메모리 칩은 부속서 III 중요 제품으로 자동 분류되지 않습니다.

엔터프라이즈 SSD는 CRA 대상인가?

EU 시장에 별도 제품으로 공급되고 컨트롤러 펌웨어, 업데이트 도구, 관리 소프트웨어를 포함한다면 CRA 검토 대상입니다. 다만 SSD라는 제품명만으로 Class I이 되는 것은 아닙니다.

CXL 메모리 모듈은 어떻게 봐야 하는가?

CXL 모듈은 호스트와 연결되는 하드웨어 제품이고 펌웨어·관리 인터페이스를 포함하는 경우가 많습니다. EU 시장에 별도 공급되는 경우 제품 단위로 CRA 범위와 분류를 검토합니다.

보안 칩은 Class I인가?

보안 관련 기능을 핵심으로 판매되는 마이크로컨트롤러, 마이크로프로세서, ASIC, FPGA는 Class I 검토 대상입니다. 내탬퍼 마이크로프로세서나 마이크로컨트롤러는 Class II 논점도 검토합니다.

EU 고객에게 전체 SBOM을 공개해야 하는가?

항상 전체 공개가 답은 아닙니다. 영업비밀이 포함될 수 있으므로 제공 범위, 접근 권한, 갱신 주기, 당국 요청 시 절차를 계약으로 정합니다. 다만 내부적으로는 취약점 영향 범위를 판단할 수 있는 충분한 SBOM이 필요합니다.

EU 공인대리인의 역할은?

CRA에서 EU 공인대리인 선임은 임의입니다. 선임하더라도 설계, 리스크 평가, 취약점 처리, 지원 기간 책임은 제조업체에 남습니다. 자세한 내용은 EU 공인대리인과 CRA 제18조를 참고하십시오.

2027년 전에 납품한 SSD나 CXL 제품도 2026년 신고 대상인가?

가능성이 있습니다. 2027년 12월 11일 전에 EU 시장에 출시된 제품은 대체로 전체 CRA 제품 적합성 의무가 바로 적용되지 않습니다. 다만 적극적으로 악용되는 취약점과 심각 사고 신고 의무는 먼저 적용됩니다. 이미 EU 고객 환경에 들어간 SSD, CXL 장치, 컨트롤러 펌웨어도 제품 범위와 고객 배포 정보를 확인할 수 있어야 합니다.

가장 먼저 준비할 자료는 무엇인가?

제품별 지위 메모와 펌웨어 SBOM 범위입니다. 직접 EU에 판매하는 제품인지, 고객 완제품에 들어가는 부품인지, 단순 원재료형 칩인지 구분한 뒤 SBOM, CVD, 지원 기간, 취약점 통보 절차를 연결합니다.

반도체 공급업체가 먼저 정리할 4가지 항목

  1. 시작점: 제품 지위 분류. 직접 EU에 판매하는 제품, 완제품 고객의 부품, 단순 칩 공급을 제품군별로 나눕니다. 이 표가 틀리면 SBOM 범위와 계약 책임도 흔들립니다.
  2. 분류 메모와 SBOM 범위 확정. HBM, SSD, CXL, 보안 칩, DPU/NIC 계열 제품을 나누고, 컨트롤러 펌웨어와 업데이트 도구를 SBOM 범위에 연결합니다.
  3. CVD와 24시간 협력 흐름 설계. 취약점 접수 채널, 고객 보안팀 전달, ENISA와 조정자 CSIRT 신고 지원 정보를 납품 경로와 함께 정리합니다.
  4. 지원 기간과 계약 부속서 업데이트. 보안 업데이트 종료 연월, 패치 협력, 당국 요청 시 자료 제공 절차를 구매 계약에 반영합니다.

EU 고객이 SBOM이나 CRA 질문지를 요청하기 시작했다면, 먼저 제품 지위와 펌웨어 증빙 범위를 정리해야 합니다. 외부 검토가 필요하면 CRA Evidence가 분류, SBOM 범위, 신고 협력 흐름, 기술 파일의 빈틈을 확인할 수 있습니다. 무료 진단 신청.

CRA 한국 반도체 HBM SSD CXL SBOM
Share

관련 기사

기사 목록으로 돌아가기

귀사 제품에 CRA가 적용됩니까?

6가지 간단한 질문에 답하여 귀사 제품이 EU 사이버복원력법(CRA) 적용 범위에 해당하는지 확인하십시오. 2분 이내에 결과를 확인하실 수 있습니다.

지금 확인하기