CRA 취약점, KrCERT에 신고하면 될까? EU 신고 대상 CSIRT 정하는 법

CRA 취약점을 자국 CERT, 즉 KISA가 운영하는 KrCERT/CC에 신고하면 된다는 생각은 틀렸습니다. KrCERT/CC는 CRA 신고 체계에서 아무 역할도 하지 않습니다. EU 시장에 제품을 공급하는 한국 제조사가 악용 중인 취약점을 인지하면, 신고는 EU 조정 CSIRT 한 곳으로 가야 합니다.

핵심은 단순합니다. ENISA 단일 신고 플랫폼(SRP)을 통해, EU 조정 CSIRT 한 곳에, 한 번만 신고합니다. ENISA가 동시에 접수하고, 그 한 곳의 조정 CSIRT가 제품을 판매하는 나머지 EU 국가 CSIRT로 전달합니다. 27개국에 27번 신고하는 것이 아닙니다.

EU 사업장이 없는 한국 제조사는 공인대리인, 수입업체, 유통업체, 사용자 수 순서로 신고 대상 CSIRT를 정합니다. 아래 표에서 27개 회원국의 현재 후보를 확인하십시오.

한 곳에 한 번만 신고한다는 원칙

CRA 신고는 분산 신고가 아닙니다. 악용 중인 취약점을 인지하면, 제조사는 ENISA SRP을 통해 단 하나의 EU 조정 CSIRT에 제출합니다. 같은 제출이 ENISA에 동시에 접수됩니다.

접수한 조정 CSIRT는 제조사가 제품을 판매한다고 표시한 모든 EU 회원국의 CSIRT로 그 신고를 전달합니다. 제조사가 직접 각국에 보내는 것이 아닙니다. 전달은 조정 CSIRT의 책임입니다.

실무상 의미는 명확합니다. 제품을 EU 10개국에 판다고 해서 10곳에 신고서를 보낼 필요가 없습니다. 한 곳에 한 번 제출하면, 나머지는 플랫폼과 조정 CSIRT가 처리합니다.

신고처를 정하는 법: 먼저 EU 사업장부터

신고처 결정의 첫 갈림길은 EU 사업장 여부입니다.

제품의 사이버보안 관련 결정을 주로 내리는 EU 법인이 있다면, 그 회원국의 조정 CSIRT가 신고처입니다. 이 경우 아래의 폭포식 절차는 작동하지 않습니다. 한국 본사에서 보안 결정을 내리고 EU에는 판매 법인만 둔 경우라면 이 분기에 해당하지 않을 가능성이 큽니다.

EU에 그런 주된 사업장이 없을 때만 4단계 순서가 적용됩니다. 순서는 엄격한 우선순위 폭포식이며, 가장 먼저 회원국이 나오는 단계에서 멈춥니다.

1. 공인대리인. 해당 제조사 제품을 가장 많이 취급하는 공인대리인이 설립된 회원국.
2. 수입업체. 그다음, 해당 제조사 제품을 가장 많이 출시하는 수입업체가 설립된 회원국.
3. 유통업체. 그다음, 해당 제조사 제품을 가장 많이 공급하는 유통업체가 설립된 회원국.
4. 사용자. 마지막으로, 해당 제조사 제품의 사용자가 가장 많은 회원국.

윗단계에서 회원국이 정해지면 아랫단계는 보지 않습니다. 예를 들어 공인대리인이 독일에 있고 가장 큰 수입업체가 네덜란드에 있다면, 신고처는 독일입니다. 공인대리인이 1순위이기 때문입니다. 이 경우 독일의 BSI, 즉 CERT-Bund에 신고합니다. 네덜란드는 신고처가 아닙니다.

이 순서는 사고가 나기 전에 확정해야 합니다. 통로 분포를 미리 파악해 두지 않으면 24시간 안에 신고 대상을 정하기 어렵습니다.

EU 27개국 신고 대상 CSIRT

각 회원국은 신고를 받는 조정 CSIRT를 지정합니다. 아래 표는 2026년 6월 기준 각국의 신고 대상 CSIRT입니다. 상태 열의 의미는 다음과 같습니다.

• 확정: 지정이 입법으로 확정된 경우.
• 예상: 각국의 NIS2 취약점 공개 조정 기관이며, 전환 입법이 진행 중인 경우. ENISA 공식 목록 공개 시 업데이트.
• 미확정: 모델이 분리되었거나 아직 지정되지 않은 경우.

집계하면 17개국이 확정, 8개국이 예상, 2개국이 미확정입니다. 확정 비율이 다수이지만, 예상·미확정 10개국은 공식 목록이 나올 때까지 재확인이 필요합니다.

잘못 신고하기 쉬운 곳

이름이 비슷한 기관이 많아 신고처를 헷갈리기 쉽습니다. 자주 틀리는 지점을 모았습니다.

• 스페인. INCIBE-CERT와 CCN-CERT가 분리되어 있습니다. 어느 쪽이 조정 CSIRT인지 공식 확정 전이므로 SRP 페이지에서 확인해야 합니다.
• 체코. GovCERT.CZ가 조정 기관이며 CSIRT.CZ가 아닙니다. 두 기관은 다릅니다.
• 크로아티아. NCSC-HR이 신고처이며 CERT.hr(CARNET)이 아닙니다.
• 루마니아. DNSC가 신고처이며 과거의 CERT-RO가 아닙니다.
• 그리스. NCSA 산하 CSIRT가 신고처이며 군이 운영하는 Hellenic CSIRT가 아닙니다.
• 룩셈부르크. CIRCL이 신고처이며 GOVCERT.LU가 아닙니다.
• 덴마크. CSIRT가 국방정보국(FE) 안에 있어 일반 행정 채널과 다릅니다.
• 스웨덴. 옛 MSB에서 MCF로 기관 명칭이 바뀌었습니다. CERT-SE가 그 안에 있습니다.

자국 CERT 신고와 공인대리인에 대한 오해

자주 틀리는 지점은 두 가지입니다.

첫째, 자국 CERT는 별개입니다. KrCERT/CC, 즉 KISA는 CRA 신고에서 아무 역할도 하지 않습니다. 한국 국내법이 KISA나 KrCERT/CC에 대한 별도 신고 의무를 부과할 수 있습니다. 그 의무는 CRA와 병렬로 추가될 뿐, CRA 의무를 충족하거나 대신하지 못합니다. 두 경로를 모두 운영해야 합니다.

둘째, "공인대리인의 나라로 신고한다"는 말은 "공인대리인에게 신고서를 보낸다"는 뜻이 아닙니다. 신고는 ENISA SRP 한 곳으로만 갑니다. 공인대리인의 별도 플랫폼 같은 것은 없습니다. 공인대리인은 법적 연락 창구이자 문서 보관 주체입니다. 적합성 선언과 기술 파일을 보관하고 시장 감시 기관에 응대하는 역할이지, 취약점 신고 창구가 아닙니다.

신고 내용도 SBOM이 아닙니다. 제출하는 것은 24시간 조기 경보, 72시간 상세 신고, 그리고 14일 또는 1개월 최종 보고서입니다. SBOM은 신고서로 보내지 않습니다. 기술 파일 안에 보관됩니다.

솔직하게: 아직 확정되지 않은 부분

이 표는 살아 있는 문서입니다. ENISA는 CRA SRP의 전자 신고 종단점 공식 목록을 아직 공개하지 않았습니다. 공개는 2026년 9월 11일 전으로 예상됩니다.

표에 적은 CSIRT는 각국의 NIS2 취약점 공개 조정 기관입니다. 이들이 CRA 신고 종단점이 될 것으로 예상되지만, 신고 시점에 ENISA SRP 페이지에서 직접 확인해야 합니다. 표는 2026년 6월에 마지막으로 확인했습니다. 예상과 미확정 행은 공식 목록이 나오면 갱신됩니다.

아직 확정되지 않은 항목이 몇 가지 있습니다. 공인대리인을 여러 곳 둔 경우 어떻게 처리하는지는 아직 정리되지 않았습니다. "가장 많은 제품"의 집계 기준(품목 수, 출하 수량, 제품군)과 "사용자"의 정의도 명시되어 있지 않습니다. 정해진 비율 규칙은 없습니다. 실무에서는 "가장 많은 제품을 취급하는 사업자"라는 기준으로 보수적으로 판단하는 편이 안전합니다.

신고 전 미리 끝낼 것

신고처는 사고 발생 전에 확정해 두어야 합니다. 24시간 시계가 돌기 시작한 뒤에는 결정할 시간이 없습니다.

□ 공인대리인·수입업체·유통업체의 EU 분포를 지금 파악하십시오.
  → 1순위가 공인대리인 소재지이므로, 분포를 모르면 신고처를 정할 수 없습니다.
□ SRP가 개설되면 사전 등록하십시오.
  → 사고 당일 계정을 만들려 하면 24시간 안에 제출하지 못합니다.
□ 조기 경보 기재 항목을 미리 준비하십시오.
  → 영향받는 회원국, 악용 의심 여부 등 초기 정보를 템플릿으로 갖춰 두면 작성 시간이 줄어듭니다.

24시간·72시간·14일 신고 구조와 한국 기업의 결재 지연 문제는 EU CRA 24시간 취약점 신고 의무에서 자세히 다룹니다.

CRA Evidence의 컨설팅 지원

CRA Evidence는 한국 제조사의 ENISA 신고 체계 설계를 지원합니다. EU 내 공인대리인·수입업체·유통업체 분포를 기준으로 신고처가 되는 조정 CSIRT를 사전에 확정하고, 조기 경보 템플릿과 SRP 등록 절차를 점검하며, 자국 신고와의 조정 규칙까지 함께 정리합니다. 제품 포트폴리오의 적용 여부와 신고 준비 상태를 한 번에 점검하려면 CRA Evidence 무료 진단을 신청하십시오.

이 글은 정보 제공을 위한 것이며 법률 자문이 아닙니다. EU 제품 규제 준수에 관한 구체적인 판단은 EU 규제에 정통한 법률 전문가와 상담하십시오.