CRA 제품 분류 가이드: 일반, 중요, 핵심 제품 중 어디에 해당하는가?

CRA는 디지털 요소가 포함된 모든 제품을 네 가지 등급으로 분류합니다. 등급에 따라 자체 인증 또는 인증 기관 심사가 결정됩니다. 부속서 III와 IV를 기준으로 분류 방법을 안내합니다.

CRA Evidence Team 게시됨 2026년 4월 3일 업데이트됨 2026년 5월 1일
CRA 제품 분류 체계를 보여주는 도표 - 일반, 중요 Class I/II, 핵심 제품 카테고리
이 기사의 목차

CRA 적합성 평가 방식은 제품 분류에 따라 결정됩니다. "중요" 및 "핵심" 제품은 의무적으로 제3자 평가를 받아야 합니다. "일반" 제품은 자체 인증이 가능합니다.

요약

  • CRA는 네 가지 카테고리를 정의합니다: 일반, 중요 Class I, 중요 Class II, 핵심
  • 일반: 자체 평가(Module A) 허용
  • 중요 Class I: 조화 표준을 완전히 적용하지 않는 경우 제3자 평가 필요
  • 중요 Class II 및 핵심: 의무적으로 제3자 평가 필요
  • 분류는 시장 분야가 아닌 제품 기능과 위험도를 기준으로 결정
  • 불확실한 경우 높은 분류를 선택하는 것이 집행 측면에서 안전

참고: 전체 제품의 약 90%는 일반 카테고리에 해당합니다. 먼저 Annex III와 Annex IV를 확인하십시오. 제품이 목록에 없다면 일반 제품입니다.

CRA 제품 분류 결정 트리 - 일반, 중요 Class I/II, 핵심 카테고리

CRA 제품 카테고리 네 가지

CRA는 디지털 요소가 포함된 제품을 사이버보안 위험도에 따라 네 가지 등급으로 분류합니다.

CRA 제품 카테고리 개요 - 일반, 중요 Class I/II, 핵심 제품과 적합성 평가 경로

일반 제품

대다수의 제품이 이 카테고리에 해당합니다. Annex III 또는 Annex IV에 구체적으로 열거되지 않은 제품은 "일반" 제품입니다.

적합성 평가: 자체 평가(Module A)로 충분합니다.

예시:

  • 단순 IoT 센서
  • 기본 소비자 전자 제품
  • 표준 업무용 소프트웨어
  • 범용 애플리케이션
  • 네트워크에 연결되지 않은 임베디드 기기

중요 제품 Class I (Annex III, Part I)

기능 또는 사용자 기반으로 인해 위험도가 높은 제품입니다.

적합성 평가: 관련 조화 표준을 완전히 적용하는 경우 자체 평가 허용. 그렇지 않은 경우 제3자 평가 필요.

Annex III, Part I 전체 목록:

  1. 신원 관리 시스템 및 특권 접근 관리 소프트웨어와 하드웨어 (생체 인식 리더 포함한 인증 및 접근 제어 리더 포함)
  2. 독립형 및 내장형 브라우저
  3. 패스워드 관리자
  4. 악성 소프트웨어를 검색, 제거 또는 격리하는 기능을 가진 소프트웨어
  5. 가상 사설 네트워크(VPN) 기능을 가진 디지털 요소가 포함된 제품
  6. 네트워크 관리 시스템
  7. 보안 정보 및 이벤트 관리(SIEM) 시스템
  8. 부트 관리자
  9. 공개키 기반 구조 및 디지털 인증서 발급 소프트웨어
  10. 물리적 및 가상 네트워크 인터페이스
  11. 운영 체제
  12. 인터넷 연결용 라우터, 모뎀 및 스위치
  13. 보안 관련 기능을 가진 마이크로프로세서
  14. 보안 관련 기능을 가진 마이크로컨트롤러
  15. 보안 관련 기능을 가진 주문형 반도체(ASIC) 및 현장 프로그래밍 가능 게이트 어레이(FPGA)
  16. 스마트홈 범용 가상 어시스턴트
  17. 보안 기능을 갖춘 스마트홈 제품 (스마트 도어록, 보안 카메라, 아기 모니터링 시스템 및 경보 시스템 포함)
  18. Directive 2009/48/EC의 적용을 받는 인터넷 연결 장난감 중 소셜 인터랙티브 기능(예: 발화 또는 촬영)이 있거나 위치 추적 기능이 있는 제품
  19. 건강 모니터링(추적 포함) 목적으로 사람의 신체에 착용하거나 부착하는 개인용 웨어러블 제품으로 Regulation (EU) 2017/745 또는 (EU) No 2017/746이 적용되지 않는 제품, 또는 어린이를 위한 또는 어린이용 개인 웨어러블 제품

중요 제품 Class II (Annex III, Part II)

의무적으로 제3자 평가가 필요한 고위험 제품입니다.

적합성 평가: 제3자(인증 기관) 평가 의무. 자체 평가 불가.

Annex III, Part II 전체 목록:

  1. 운영 체제 및 유사 환경의 가상화 실행을 지원하는 하이퍼바이저 및 컨테이너 런타임 시스템
  2. 방화벽, 침입 탐지 및 방지 시스템
  3. 변조 방지 마이크로프로세서
  4. 변조 방지 마이크로컨트롤러

핵심 제품 (Annex IV)

가장 높은 위험도의 카테고리입니다. 하드웨어 보안 모듈 등이 해당됩니다.

적합성 평가: 제3자 평가 및 "상당" 수준 이상의 EU 사이버보안 인증(EUCC) 필요.

Annex IV 전체 목록:

  1. 보안 박스가 있는 하드웨어 기기
  2. Directive (EU) 2019/944 제2조제23호에 정의된 스마트 미터링 시스템 내의 스마트 미터 게이트웨이 및 보안 암호 처리를 포함한 고급 보안 목적의 기타 기기
  3. 스마트카드 또는 보안 요소를 포함한 유사 기기

결정 트리: 분류 방법

다음 절차를 사용하여 제품을 분류합니다.

시작: 제품에 디지털 요소가 있습니까?
│
├─ 아니오 → CRA 적용 범위 외. 여기서 중단.
│
└─ 예 → Annex IV(핵심 제품) 목록에 있습니까?
     │
     ├─ 예 → 핵심 제품
     │        제3자 평가 + EUCC 인증 필요
     │
     └─ 아니오 → Annex III, Part II(중요 Class II) 목록에 있습니까?
          │
          ├─ 예 → 중요 제품 CLASS II
          │        제3자 평가 필요
          │
          └─ 아니오 → Annex III, Part I(중요 Class I) 목록에 있습니까?
               │
               ├─ 예 → 중요 제품 CLASS I
               │        조화 표준 적용 시 자체 평가 또는 제3자 평가
               │
               └─ 아니오 → 일반 제품
                            자체 평가(Module A) 허용

카테고리별 적합성 평가 경로

CRA 적합성 평가 경로 - Module A, B+C, H, EUCC

모듈 적용 대상 인증 기관
A - 내부 생산 관리 일반 제품, 조화 표준 적용 시 Class I 불필요
B+C - EU형식 심사 + 생산 관리 표준 미적용 Class I, Class II, 핵심 제품 필요
H - 완전 품질보증 모든 카테고리 - B+C 대안 필요
EUCC - EU 사이버보안 인증 Annex IV 핵심 제품 전용, B+C 또는 H에 추가 필요

Module A는 기술 파일, EU 적합성 선언, CE 마킹으로 이루어진 완전 자체 평가 주기입니다. 외부 감사인이 관여하지 않습니다.

Module B+C는 작업을 분리합니다. 인증 기관이 형식 견본을 심사하고 인증서를 발급하며(Module B), 이후 제조업체는 모든 생산이 해당 형식에 적합함을 보장합니다(Module C).

Module H는 제품별 접근 방식 대신 제조업체의 품질 관리 시스템에 대한 감사로 대체합니다. 대규모 제품 포트폴리오가 있을 때 적합합니다.

EUCC는 핵심 제품에 한해 Module B+C 또는 H 위에 추가됩니다. EU 사이버보안법에 따라 인가된 적합성 평가 기관이 "상당" 이상의 보증 수준으로 발급합니다.

경계 사례: 판단 방법

모든 제품이 명확하게 분류되는 것은 아닙니다. 가장 자주 발생하는 경계 사례입니다.

다기능 제품

규칙: 어떤 기능이라도 더 높은 카테고리를 촉발시키면 제품 전체가 해당 수준으로 분류됩니다.

예시: 다음을 포함하는 스마트홈 허브:

  • 기본 자동화 제어 (일반)
  • VPN 기능 (중요 Class I)
  • 보안 카메라 연동 (중요 Class I)

분류: 중요 Class I (촉발된 최고 카테고리)

CRA 다기능 제품 규칙 - 모든 기능 중 가장 높은 카테고리 적용

임베디드 컴포넌트

규칙: 보안 관련 컴포넌트가 분류를 촉발하는지 검토합니다.

예시: 다음을 포함하는 소비자 기기:

  • 범용 마이크로컨트롤러 → 일반
  • "보안 관련 기능"을 가진 마이크로컨트롤러 → 중요 Class I

핵심 질문: 해당 마이크로컨트롤러가 보안 기능(암호화, 인증, 시큐어 부트)을 수행합니까?

"의도된 용도" 고려사항

Annex III의 일부 항목은 의도된 사용 목적이나 제품 맥락을 명시합니다 (예: "Directive 2009/48/EC의 적용을 받는 연결된 장난감" 또는 Regulation 2017/745 및 2017/746을 참조하는 건강 모니터링 웨어러블).

제품이 이러한 맥락에서 사용될 수 있지만 구체적으로 그 목적으로 의도되지 않은 경우, 해당 분류가 적용되지 않을 수 있습니다. 의도된 용도를 명확히 문서화하십시오.

운영 체제

운영 체제는 Annex III Part I (중요 Class I)에만 열거됩니다. Class II에는 운영 체제 카테고리가 없습니다.

OS 유형 분류
임베디드 OS (RTOS, 펌웨어) 일반 (통상적으로)
범용 OS 중요 Class I

예시: 임베디드 기기용 커스텀 Linux 배포판은 일반적으로 중요 Class I에 해당합니다. Ubuntu Server도 중요 Class I입니다.

소프트웨어와 하드웨어

분류는 시장에 출시되는 제품 전체를 기준으로 판단합니다.

  • 독립형 소프트웨어: 소프트웨어 기능 기준으로 분류
  • 임베디드 소프트웨어가 포함된 하드웨어: 결합된 기능 기준으로 분류
  • 별도로 판매되는 소프트웨어 컴포넌트: 독립적으로 분류

산업별 지침

IoT 기기 제조업체

대부분의 IoT 기기는 다음 경우를 제외하고 일반 제품입니다.

  • VPN 기능 포함 → Class I
  • 스마트홈 보안 기기 → Class I
  • 산업용 IoT → Class I 또는 II
  • 변조 방지 보안 기능 포함 → Class II

소프트웨어 기업

구체적으로 열거된 경우를 제외하고 대부분의 소프트웨어는 일반 제품입니다.

  • 브라우저, 패스워드 관리자, 안티멀웨어 → Class I
  • 네트워크 보안 도구 (방화벽, IDS) → Class II
  • 운영 체제 → Class I

임베디드 시스템

분류는 다음 요소에 크게 의존합니다.

  • 마이크로컨트롤러/프로세서의 보안 기능
  • 산업용/전문가용 용도 여부
  • 목표 배포 환경 (핵심 인프라 여부)

의료 기기

의료 기기는 CRA 적용 범위에서 제외됩니다 (MDR/IVDR 적용). 단, 동반 소프트웨어 또는 비의료적 기능은 여전히 적용 범위에 포함될 수 있습니다.

인증 기관(Notified Body) 찾기

제3자 평가가 필요한 제품의 경우:

  1. NANDO 데이터베이스 확인: EU 공식 인증 기관 목록
  2. CRA 특정 지정 확인: 기관이 CRA 적합성 평가로 지정되어 있어야 합니다
  3. 처리 용량 고려: 초기 CRA 도입 시기에는 인증 기관 가용성이 제한적일 수 있습니다
  4. 지역 고려사항: 해당 지역 인증 기관과 협력하는 것이 더 용이할 수 있습니다

CRA의 인증 기관 지정 절차는 현재 진행 중입니다. 지정된 기관의 최신 목록은 NANDO 데이터베이스를 직접 확인하십시오.

흔히 발생하는 분류 실수

중요: 분류는 시장 분야, 기업 규모, 제품 복잡성이 아닌 제품 기능을 기준으로 합니다. 항상 Annex III와 Annex IV 목록을 확인하십시오.

"소비자 제품 = 일반"

틀렸습니다. 분류는 시장이 아닌 기능 기준입니다.

소비자에게 판매되는 스마트 도어록은 소비자 시장을 타겟으로 하더라도 "보안 기능을 갖춘 스마트홈 제품"이기 때문에 중요 Class I에 해당합니다.

"B2B이므로 낮은 분류"

틀렸습니다. B2B와 B2C 여부는 분류에 영향을 주지 않습니다.

기업 고객을 위한 산업용 IoT 제품도 기능에 따라 중요 Class I 또는 II에 해당할 수 있습니다.

"제품이 작고 단순하므로 일반"

맞지 않을 수 있습니다. 크기와 복잡성은 분류를 결정하지 않습니다.

보안 기능을 가진 작은 마이크로컨트롤러는 중요 Class I일 수 있습니다. 열거된 기능 없이 크고 복잡한 제품은 일반 제품일 수 있습니다.

"ISO 27001이 있으므로 충족됨"

틀렸습니다. ISO 27001은 조직의 정보보안을 위한 것으로, 제품 적합성 평가가 아닙니다.

CRA는 조직 인증과 무관하게 제품별 적합성 평가를 요구합니다.

제품 분류 체크리스트 

제품 분류 체크리스트

제품명: _______________________________________
날짜: _________________________________________

초기 적용 범위 확인:
[ ] 제품에 디지털 요소가 있음 (소프트웨어 및/또는 데이터 연결)
[ ] 제품이 EU 시장에 출시될 예정
[ ] 제품이 적용 제외 대상이 아님 (의료, 자동차, 항공, 군용)

ANNEX IV 확인 (핵심 제품):
[ ] 보안 박스가 있는 하드웨어 기기가 아님
[ ] Directive (EU) 2019/944 Art. 2(23)에 정의된 스마트 미터 게이트웨이 또는 고급 보안 목적의 기기가 아님
[ ] 스마트카드 또는 보안 요소를 포함한 유사 기기가 아님

위 항목 중 하나라도 해당되면 → 핵심 제품 (여기서 중단)

ANNEX III PART II 확인 (중요 CLASS II):
[ ] 하이퍼바이저 또는 컨테이너 런타임 시스템이 아님
[ ] 방화벽, 침입 탐지 또는 방지 시스템이 아님
[ ] 변조 방지 마이크로프로세서가 아님
[ ] 변조 방지 마이크로컨트롤러가 아님

위 항목 중 하나라도 해당되면 → 중요 제품 CLASS II (여기서 중단)

ANNEX III PART I 확인 (중요 CLASS I):
[ ] 19개 카테고리 전체 목록 검토
[ ] 다기능 제품 영향 고려
[ ] 컴포넌트의 보안 관련 기능 확인

하나라도 해당 카테고리가 있으면 → 중요 제품 CLASS I (여기서 중단)

일반 제품:
[ ] 어느 부속서에도 열거되지 않음
[ ] 분류: 일반 제품

적합성 평가 경로:
[ ] Module A (자체 평가) - 일반 제품, 표준 적용 Class I
[ ] Module B+C (제3자 평가) - 표준 미적용 Class I, Class II
[ ] Module H (품질보증) - B+C 대안
[ ] EUCC 인증 - 핵심 제품 전용

문서화:
[ ] 분류 근거 문서화
[ ] 다기능 분석 완료
[ ] 의도된 용도 명확히 정의
[ ] 필요한 경우 인증 기관 확인

분류자: _________________________________
날짜: _________________________________________

자주 묻는 질문

디지털 요소가 없거나 EU 시장에 출시되지 않는 제품도 분류해야 합니까?

CRA는 디지털 요소를 포함하고 EU 시장에 출시되는 제품에만 적용됩니다(CRA 제2조). 순수 기계식 하드웨어 또는 EU 외 시장 전용 제품은 분류 대상이 아닙니다. 다만 EU 수입업체를 통한 간접 판매도 EU 시장 출시에 해당하므로, 한국 제조업체가 자사 브랜드로 EU에 진출할 경우 분류 의무가 발생합니다. 적용 여부의 1차 판정은 CRA 적용 여부 무료 확인에서 시작할 수 있습니다.

일반 제품과 중요 Class I 제품 모두 Module A 자체 평가를 적용할 수 있습니까?

일반 제품은 Module A 자체 평가만으로 EU 적합성 선언과 CE 마킹이 가능합니다. 중요 Class I 제품은 두 조건이 동시에 성립할 때만 Module A를 적용할 수 있습니다. 첫째, 해당 제품 카테고리의 EU 조화표준이 발효되어 있을 것. 둘째, 제품이 해당 조화표준을 완전히 준수할 것. 2026년 4월 현재 CEN/CENELEC와 ETSI에서 CRA 조화표준이 제정 중이지만 발효된 표준은 없습니다. 따라서 Class I 제품은 사실상 Module B+C 또는 Module H 제3자 평가가 요구됩니다.

일반 기능과 Class I 기능을 동시에 가진 제품은 어떻게 분류됩니까?

다기능 규칙에 따라 어떤 기능이라도 더 높은 카테고리를 촉발하면 제품 전체가 해당 등급으로 분류됩니다. 기본 자동화 제어(일반)에 VPN 기능(중요 Class I)이 추가된 스마트홈 허브는 전체가 중요 Class I로 분류됩니다. 분류 근거(촉발 기능, 다기능 조합)는 부속서 VII 기술 문서에 명시해야 합니다. 컴포넌트 수준에서 보안 관련 기능을 가진 마이크로컨트롤러나 마이크로프로세서가 포함된 경우에도 분류가 상향될 수 있습니다.

KC 인증이나 정보통신망법 보안 점검을 통과한 제품도 별도의 CRA 평가가 필요합니까?

필요합니다. KC 인증은 전기 안전과 전자파 적합성(EMC)을 다루며 사이버보안은 다루지 않으므로 CRA를 대체할 수 없습니다. 정보통신망법과 KISA 보안 점검은 한국 시장의 정보통신서비스 사업자 의무이며, CRA가 요구하는 제품 단위 사이버보안 증빙(부속서 I 필수 요구, SBOM, EU DoC)과는 범위가 다릅니다. 다만 보안 개발 수명주기 문서나 취약점 관리 기록 등은 부속서 VII 기술 문서의 보조 증빙으로 재활용할 수 있습니다. ISMS-P와의 연계 분석은 ISMS-P와 CRA 연결 가이드를 참고하십시오.

분류 결과는 부속서 VII 기술 문서에 어떻게 반영해야 합니까?

부속서 VII은 기술 문서에 제품 분류 근거, 적용된 적합성 평가 모듈(A / B+C / H / EUCC), SBOM(CycloneDX 또는 SPDX 기계 판독 형식), 위험 평가, 보안 업데이트 정책, CVD 정책을 포함하도록 요구합니다. 기술 문서는 EU 시장 출시 후 최소 10년 보관 의무가 있으며 시장 감시 기관이 언제든 제출을 요구할 수 있습니다. 중요 Class II 및 핵심 제품의 경우 인증 기관(Notified Body) 평가 인증서를 추가로 첨부해야 합니다.

분류를 잘못하면 어떤 제재가 적용됩니까?

CRA 제64조는 부속서 I 필수 요구 또는 제13조·제14조 위반에 대해 최대 1,500만 유로 또는 전 세계 연매출 2.5%(높은 금액 기준) 과징금을 규정합니다. 분류를 낮게 판정한 경우 시장 감시 기관이 제3자 평가 재실시와 CE 마킹 절차 재이행을 명령할 수 있고, 제품 회수·판매 중지 처분이 가능합니다. 초기 감사에서 분류 오류가 적발되면 보완 비용과 일정 충격이 본래 제3자 평가 비용보다 큰 경우가 일반적입니다. 분류 판정에 의문이 있다면 무료 평가에서 서면 격차 분석을 받아볼 수 있습니다.

다음 단계

분류 결과를 부속서 VII 기술 문서, 인증 기관 협의 일정, EU 측 법률·통보 체계로 연결하기 위한 실무 작업입니다.

분류 확정 후 7가지 실무 단계

  1. 부속서 III·IV 매핑 시트 작성.EU 시장에 출시 예정인 모든 제품을 부속서 III(중요 Class I·II)와 부속서 IV(핵심) 목록과 1대1로 대조하여 분류 결과와 근거를 기록하십시오. 분류 기록은 부속서 VII 기술 문서에 포함되며 시장 감시 기관이 언제든 요구할 수 있습니다. 1차 스코핑은 CRA 적용 여부 무료 확인으로 시작합니다.
  2. 다기능 및 컴포넌트 보안 기능 정밀 점검.VPN, 패스워드 관리, 암호화 처리, 생체 인식, 보안 부트 등의 기능이 포함된 제품은 부속서 III Part I의 19개 카테고리와 항목별로 대조하십시오. 보안 관련 기능을 가진 마이크로컨트롤러·마이크로프로세서·ASIC·FPGA가 통합된 제품은 컴포넌트 수준의 보안 기능 목록을 별도로 문서화해야 합니다.
  3. CEN/CENELEC 조화표준 발효 상태 분기별 추적(CRA 제27조).중요 Class I 제품의 Module A 자체 평가 자격은 조화표준 발효 여부에 직접 의존합니다. CEN/CENELEC TC 13, ETSI TC CYBER, EUCC의 진행 상황을 분기별로 점검하는 추적 시트를 운영하십시오. 표준 발효 전까지 Class I 제품 예산은 제3자 평가 기준으로 편성되어야 합니다.
  4. 부속서 VII 기술 문서 템플릿 사전 준비.제품 설명, 의도된 용도, 위험 평가, SBOM(CycloneDX 또는 SPDX), 적합성 평가 결과, 5년 보안 업데이트 정책, RFC 9116 형식 security.txt를 포함한 CVD 정책을 부속서 VII 항목 순서대로 구성하십시오. 보관 의무는 EU 시장 출시 후 최소 10년입니다.
  5. 인증 기관(Notified Body) 사전 접촉.중요 Class II와 핵심 제품, 그리고 조화표준이 없는 Class I 제품은 인증 기관이 수행하는 제3자 평가가 필수입니다. NANDO 데이터베이스에서 CRA 지정 기관을 확인한 뒤 2026년 하반기까지 평가 일정을 협의하십시오. CRA 초기에는 인증 기관 가용성이 제한적이므로 평가 기간 6~12개월을 가정해야 합니다.
  6. EU 공인대리인 (CRA 제18조 · 임의).EU 내 사업장이 없는 한국 제조업체는 CRA 제18조 제1항에 따라 서면 위임으로 EU 공인대리인을 선임할 수 있습니다(MDR 제11조 · RED 제5조와 달리 임의이며, 미선임 자체는 CRA 위반이 아닙니다). 선임하는 경우 제18조 제3항의 업무 범위(기술 문서 10년 보관, 시장 감시 기관 응대, 위험 제거 협조)를 서면 위임에 명시해야 합니다.
  7. 참고 자료.한국 제조업체 전반의 대응 흐름은 한국 제조업체를 위한 EU CRA 완전 가이드, 삼성·LG 생태계 협력사 입장의 분류 적용은 삼성·LG 협력사를 위한 EU CRA 대응 전략, ISMS-P 인증 보유 기업의 격차 분석은 ISMS-P와 CRA 연결 가이드를 참고하십시오.

본 콘텐츠는 정보 제공을 목적으로 하며 법적 조언을 구성하지 않습니다. EU 제품 규제에 관한 구체적인 준수 요건에 대해서는 EU 규제에 정통한 법률 전문가에게 상담하시기 바랍니다.

CRA 제품 분류 적합성 평가 CE 마킹
Share

관련 기사

기사 목록으로 돌아가기

귀사 제품에 CRA가 적용됩니까?

6가지 간단한 질문에 답하여 귀사 제품이 EU 사이버 복원력법(CRA) 적용 범위에 해당하는지 확인하십시오. 2분 이내에 결과를 확인하실 수 있습니다.

지금 확인하기