한국 제조업체를 위한 EU 사이버복원력법(CRA) 완전 가이드

EU 사이버복원력법(CRA)이 한국 제조업체에 미치는 영향과 단계별 준수 방법. 제품 적용 여부 확인부터 SBOM, EU DoC, CE 마킹까지 실전 로드맵을 제공합니다.

CRA Evidence Team 게시됨 2026년 3월 24일 업데이트됨 2026년 6월 7일

한국 제조업체를 위한 EU 사이버복원력법(CRA) 준수 가이드. 회로 기판과 EU·한국 연결 일러스트레이션

이 기사의 목차

요약
우리 제품이 CRA 대상인가?
제품 분류: 어떤 심사가 필요한가?
두 개의 마감일을 혼동하지 마라
CRA가 요구하는 핵심 의무
SBOM: 무엇이고 어떻게 준비하는가
EU 공인대리인: EU 사업장이 없는 경우
실전 준수 로드맵
위반 시 제재
자주 묻는 질문

한국 제조업체 대부분은 EU 사이버복원력법(CRA) 마감일을 2027년 12월로 알고 있습니다. 그런데 2027년 이전에 먼저 발효되는 의무가 있습니다.

2026년 9월 11일, 제품의 취약점과 심각 사고를 ENISA(EU 사이버보안청)에 직접 신고해야 하는 의무가 먼저 시작됩니다. 이 날짜가 첫 번째 실무 마감일입니다. 이 날짜에 맞춰 프로세스와 ENISA 신고 채널을 갖추지 못하면 즉시 위반 상태가 됩니다.

이 가이드는 규제 개요가 아닙니다. 무엇을 언제까지 실제로 해야 하는지를 다룹니다.

요약

EU CRA는 소프트웨어·펌웨어가 포함된 제품을 EU에 판매하는 모든 제조업체에 적용됩니다
마감일은 두 개: 2026년 9월 11일(ENISA 신고 의무)과 2027년 12월 11일(전면 적용)
대부분의 한국 수출 제품은 일반 제품(자체 평가) 분류로 제3자 인증이 불필요합니다
핵심 준비 사항: SBOM 파이프라인, ENISA 신고 프로세스, EU 적합성 선언(EU DoC), 기술 파일
위반 시 최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% 과징금
KISA는 소프트웨어 공급망 보안 모델 발굴·지원 사업을 공고해 왔습니다. 지원 대상과 규모는 연도별 공고를 직접 확인해야 합니다

우리 제품이 CRA 대상인가?

flowchart TD
    A["제품에 소프트웨어나\n펌웨어가 포함됩니까?"] -->|아니오| OUT1["CRA 적용 제외"]
    A -->|예| B["EU 시장에\n판매됩니까?"]
    B -->|아니오| OUT1
    B -->|예| C{"적용 제외 해당?"}
    C -->|"의료기기(MDR/IVDR)\n차량 형식승인\n항공·방산"| OUT2["별도 규정 적용\nCRA 제외"]
    C -->|해당 없음| D["✅ CRA 적용 대상\n제품 분류 확인 필요"]

적용 대상 제품 예시: 스마트 TV, 스마트 가전, 산업용 PLC, IoT 센서, 네트워크 장비, 라우터, 소프트웨어 단독 제품

B2B 납품업체 주의: EU 최종 판매가 EU 수입업체를 통해 이루어져도 CRA 의무 일부가 귀사에 귀속될 수 있습니다. EU 수입업체들은 이미 계약서에 CRA 준수 조항을 삽입하기 시작했습니다.

제품 분류: 어떤 심사가 필요한가?

CRA는 제품을 위험 수준에 따라 분류합니다. 분류에 따라 자체 평가만 가능한지, 제3자 인증이 필수인지가 결정됩니다.

분류	근거	적합성 평가	한국 제품 예시
일반 제품	부속서 III/IV 미해당	자체 평가 가능	스마트 가전, IoT 센서, 스마트 TV
중요 제품 Class I	부속서 III 제1부	자체 평가 (조화 표준 적용 시)	스마트홈 허브, VPN 클라이언트
중요 제품 Class II	부속서 III 제2부	제3자 인증 필수	방화벽, IDS/IPS, 산업용 OS
핵심 제품	부속서 IV	EU 인증서 또는 제3자 인증	스마트카드 IC, HSM

중요: 부속서 III/IV에 해당하는 제품 목록은 생각보다 좁습니다. 대부분의 한국 소비가전·IoT 제품은 일반 제품으로 자체 적합성 평가가 가능합니다. 분류를 과대 평가해 불필요한 비용을 지출하지 않도록 하십시오.

두 개의 마감일을 혼동하지 마라

flowchart LR
    NOW["📅 준비 단계\n2026년 상반기"] --> SEP["⚠️ 2026년 9월 11일\nENISA 신고 의무 발효"]
    SEP --> DEC["🔴 2027년 12월 11일\nCRA 전면 적용"]

    NOW -. "지금 시작" .-> A1["제품 분류\n취약점 대응 프로세스 설계\nENISA SRP 등록"]
    SEP -. "이 날까지" .-> A2["24h/72h 신고 SOP 완비\nENISA 담당자 지정"]
    DEC -. "이 날까지" .-> A3["SBOM · EU DoC\n기술 파일 · CE 마킹"]

CRA가 요구하는 핵심 의무

의무	운영 포인트	핵심 내용
보안 설계	기본 사이버보안 요구	알려진 취약점 없이 출시, 안전한 기본 설정, 최소 권한 원칙
SBOM	취약점 관리 필수 요구사항	제품 내 모든 소프트웨어 구성 요소 목록 생성·유지
취약점 처리 / 지원 기간	제품 지원 기간 운영	원칙적으로 최소 5년간 무상 보안 업데이트, CVE 처리 프로세스. 제품 예상 사용 기간이 5년보다 짧으면 그 기간에 맞출 수 있음
ENISA 신고	2026년 9월부터 선적용	악용 취약점·심각 사고 발견 시 24h 조기 경보, 72h 완전 통지
EU 적합성 선언 (EU DoC)	출시 전 서명 문서	판매 회원국 언어별 작성, 10년 보관
기술 파일 (Technical File)	제품 규제 준수 증거 묶음	설계·위험평가·SBOM·적합성 평가 결과 포함
CE 마킹	적합성 평가 완료 후	적합성 평가 완료 후 부착

ENISA 신고 타임라인

flowchart LR
    T["악용 취약점\n또는 심각 사고 발견"] --> W["24시간\n조기 경보"]
    W --> N["72시간\n완전 통지"]
    N --> F1["취약점:\n수정 조치 후\n14일 이내 최종 보고"]
    N --> F2["심각 사고:\n통지 후\n1개월 이내 최종 보고"]

2026년 9월 11일이 첫 번째 실질적 마감일입니다. 이 날부터 위 타임라인이 즉시 적용됩니다.

SBOM: 무엇이고 어떻게 준비하는가

SBOM(Software Bill of Materials)은 제품에 포함된 모든 소프트웨어 구성 요소의 목록입니다. CRA의 취약점 관리 요구사항은 제조업체가 제품의 구성 요소와 취약점을 식별·문서화하고, 일반적으로 쓰이는 기계 판독 가능 형식의 SBOM을 갖추도록 요구합니다. 기술 파일에도 SBOM과 취약점 처리 프로세스가 설명되어야 합니다.

형식 선택:

CycloneDX: 취약점 관리와 보안 규제 준수 워크플로에 자주 사용
SPDX: 오픈소스 라이선스 규제 준수에 더 적합하며, 기계 판독 가능 SBOM 형식으로도 활용 가능

무료 도구:

Syft: 컨테이너·파일시스템에서 CycloneDX/SPDX 자동 생성
cdxgen: Java, Python, Node.js, Go, Rust 등 다언어 지원
Trivy: SBOM 생성과 CVE 스캔 동시 처리

KISA 지원 사업: KISA(한국인터넷진흥원)는 소프트웨어 공급망 보안 모델 발굴·지원 사업을 공고해 왔습니다. 지원 대상, 규모, 신청 요건은 연도별 공고에서 직접 확인해야 합니다.

EU 공인대리인: EU 사업장이 없는 경우

EU 내 사업장이 없는 한국 제조업체는 CRA 제18조 제1항에 따라 EU 소재 공인대리인(Authorised Representative) 선임을 검토합니다. 선임은 임의이며, MDR 제11조 · RED 제5조처럼 역외 제조업체에 의무로 부과되지 않습니다. 다만 시장 감시 기관 응답 창구, 제18조 제3항(a)의 10년 문서 보관, 기존 MDR/RED 대리인과의 운영 일체화 등 운영상 이점이 있어 다수의 역외 제조업체가 자발적으로 선임합니다.

공인대리인은 기술 파일·EU DoC 보관, 시장 감시 기관 소통, 리콜·시정 조치 조율을 담당합니다.

실전 준수 로드맵

시기	작업
즉시 착수	제품 포트폴리오 CRA 분류 / 취약점 대응 프로세스 설계
2026년 6월 ~ 8월	ENISA SRP 계정 개설·신고 SOP 수립 / SBOM 파이프라인 구축 시작
2026년 9월 11일	⚠️ ENISA 신고 의무 발효
2026년 하반기	기술 파일 초안 / EU DoC 초안 (판매 회원국 언어 포함)
2027년 상반기	적합성 평가 완료 / Class II 이상 인증기관 심사
2027년 7월	CE 마킹 부착, EU DoC 서명·보관
2027년 12월 11일	🔴 CRA 전면 적용

위반 시 제재

위반 유형	최대 과징금
핵심 사이버보안 요구 및 신고 의무 위반	1,500만 유로 또는 전 세계 연매출의 2.5%
기타 의무 위반 (문서, CE 마킹 등)	1,000만 유로 또는 연매출의 2%
규제 기관에 허위·불완전 정보 제공	500만 유로 또는 연매출의 1%

자주 묻는 질문

EU 수입업체를 통해서만 판매하는 경우 CRA가 저희에게 적용됩니까?

CRA의 제조업체 의무는 EU 시장에서 제품을 자기 이름으로 출시하는 주체에 귀속됩니다. EU 고객이 자체 브랜드로 EU 시장에 출하하는 OEM 공급 구조라면 CRA상 제조업체는 EU 고객이 되지만, 한국 제조원은 SBOM과 취약점 정보를 적시에 제공할 계약상 의무를 부담합니다. 자체 브랜드로 EU에 직접 수출한다면 수입업체가 개재하더라도 제조업체로서의 의무는 유지됩니다. 제품 분류 기준은 CRA 제품 분류 가이드를 참고하십시오.

두 개의 마감일 중 어느 쪽을 먼저 준비해야 합니까?

2026년 9월 11일이 첫 번째 실질적 마감일입니다. 이 날부터 악용 취약점과 심각 사고를 ENISA에 24시간 조기 경보·72시간 완전 통지해야 합니다. CE 마킹과 EU 적합성 선언(EU DoC), 기술 파일은 2027년 12월 11일까지 준비하면 되지만, ENISA 신고 프로세스와 SBOM 파이프라인은 지금 바로 착수해야 합니다.

ISMS-P 인증을 보유하면 CRA를 대체할 수 있습니까?

대체하지 못합니다. ISMS-P는 조직 단위의 정보보호·개인정보보호 관리체계 인증이고, CRA는 제품 단위의 사이버보안 요구사항입니다. 인증 범위, 대상, 증빙 구조가 다르므로 별도 트랙으로 준비해야 합니다. 다만 일부 통제(접근 통제, 로그 관리, 취약점 관리)는 증빙으로 재활용 가능합니다. 상세 매핑은 ISMS-P와 CRA 연결 가이드를 참고하십시오.

KISA가 발급한 Common Criteria 인증서를 EUCC나 CRA에 그대로 사용할 수 있습니까?

그대로 사용할 수는 없습니다. 한국은 Common Criteria Recognition Arrangement(CCRA)의 인증서 발급국(Authorizing Nation)으로, KISA 발급 CC 인증서는 다른 CCRA 회원국의 조달에서 인정됩니다. 그러나 CCRA 가입국 지위 자체가 EUCC나 CRA 인정으로 이어지지는 않습니다. EUCC는 Regulation (EU) 2019/881과 Commission Implementing Regulation (EU) 2024/482에 기반한 별도의 EU 인증 제도이며, CRA 적합성 평가는 그와 독립된 절차입니다. KISA CC 인증서를 보유한 한국 제조업체는 평가 증빙(보안 목표, 보호 프로파일, 평가 보고서)을 EUCC 평가에 재활용할 수 있는 경우가 많지만, 인증서 자체는 EUCC 경로로 이전되지 않습니다.

SBOM은 CycloneDX와 SPDX 중 무엇을 사용해야 합니까?

CRA는 현재 SBOM을 기계 판독 가능한 일반 형식으로 준비하도록 요구하지만, 조문상 단일 형식을 지정하지는 않습니다. CycloneDX는 취약점 관리 워크플로에 적합하고, SPDX는 오픈소스 라이선스 규제 준수에 적합합니다. 두 목적을 모두 다뤄야 한다면 이중 생성도 실무상 안전합니다. Syft, cdxgen, Trivy 같은 무료 도구로 CI/CD 파이프라인에서 자동 생성할 수 있으며, KISA의 소프트웨어 공급망 보안 지원 사업은 연도별 공고에서 지원 여부를 확인해야 합니다.

EU 공인대리인 임명은 필수 의무입니까?

아닙니다. CRA 제18조 제1항은 "제조업체는 서면 위임으로 공인대리인을 선임할 수 있다"고 규정하며, 선임은 임의입니다(MDR 제11조 · RED 제5조와 같은 의무 조항은 CRA 본문에 존재하지 않습니다). 제18조 제3항의 업무, 즉 기술 파일 · EU DoC 10년 보관, 시장 감시 기관 응답, 위험 제거 협조는 선임 시 서면 위임 범위의 상한이며, 제18조 제2항에 따라 제13조의 실체적 사이버보안 의무는 위임 대상에서 제외됩니다. 운영상 EU 단일 창구가 필요하다고 판단하는 경우 자발적으로 선임합니다. 제14조 24시간 ENISA 신고는 공인대리인 선임 여부와 독립적으로 제조업체에 적용됩니다. 자세한 내용은 공인대리인 해설 페이지를 참조하십시오.

위반 시 최대 과징금은 얼마입니까?

부속서 I 필수 요구사항 및 제13조·제14조 위반에 대해서는 최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% 중 높은 금액이 부과됩니다. 기타 의무 위반(문서, CE 마킹 등)은 1,000만 유로 또는 매출의 2%, 허위·불완전 정보 제공은 500만 유로 또는 매출의 1%입니다. 제품 포트폴리오의 CRA 적용 여부를 한 번에 점검하려면 CRA Evidence 무료 진단을 신청하십시오.

2026년 9월 11일 전에 사내에서 끝내야 할 7가지

제품 포트폴리오 인벤토리 및 분류 확정. EU에 판매하는 모든 소프트웨어·펌웨어 포함 제품을 목록화하고, 일반·중요 Class I/II·핵심 제품 분류를 확정합니다. 담당자, 초도 출하일, 현재 버전을 함께 기록합니다. 상세 기준은 CRA 제품 분류 가이드를 참고하십시오.
SBOM 자동 생성 CI/CD 통합. Syft 또는 cdxgen을 빌드 파이프라인에 추가하여 CycloneDX SBOM을 매 릴리스마다 생성합니다. 최소한 최상위 의존성을 빠짐없이 포함하는지 출력을 검증합니다.
security.txt(RFC 9116) 게시 및 취약점 수신 채널 공개. 협조적 취약점 공개 정책에 대응하는 공개 창구를 마련하고, 내부 트리아지 담당과 KrCERT/CC 연락선을 사전 매핑합니다.
ENISA 신고 권한자 사전 지정. 24시간 조기 경보를 위해 내부 결재 없이 ENISA와 국가 CSIRT에 신고할 수 있는 책임자 1명과 대체자 1명 이상을 경영진 승인으로 지정합니다. 권한 범위와 에스컬레이션 경로를 문서화합니다.
EU 공인대리인 선임 검토 (임의). CRA 제18조 제1항은 임의 선임입니다. 운영상 EU 단일 창구를 두기로 판단하는 경우, 후보 사무소 비교(시장 감시 기관 응답 능력, 제18조 제3항(a)의 10년 보관 체제, 기존 MDR/RED 대리인과의 운영 일체화 가능성)를 적용 시점 전에 마무리합니다. 선임하지 않는 경우에는 EU 수입업자(제19조)를 통한 응답 경로 또는 본사 직접 응답 체제를 명문화합니다. 선임 판단 가이드.
24시간 대응 당직 체계 정비. 주말, 공휴일, 추석·설날을 포함한 365일 오프 지명 로테이션을 구성합니다. 유럽 국가 CSIRT 연락처와 ENISA SRP 로그인 정보를 당직 매뉴얼에 등록합니다.
2026년 6월~8월 TTX(탁상 훈련) 실시. 시나리오: "금요일 17시 고객으로부터 자체 제품의 이상 동작 보고. 다음 주 월요일은 추석 연휴 다음날." 24시간 시계를 실측하고 ENISA SRP 제출 경로의 실제 작동 여부를 확인합니다.

이 글은 정보 제공을 위한 것이며 법률 자문이 아닙니다. EU 제품 규제 준수에 관한 구체적인 판단은 EU 규제에 정통한 법률 전문가와 상담하십시오.

CRA 한국 제조업체 EU 수출 사이버보안 SBOM

귀사 제품에 CRA가 적용됩니까?

6가지 간단한 질문에 답하여 귀사 제품이 EU 사이버복원력법(CRA) 적용 범위에 해당하는지 확인하십시오. 2분 이내에 결과를 확인하실 수 있습니다.

지금 확인하기