한국 제조업체를 위한 EU 사이버복원력법(CRA) 완전 가이드

Q: 우리 제품이 CRA 대상인가?

flowchart TD A["제품에 소프트웨어나\n펌웨어가 포함됩니까?"] -->|아니오| OUT1["CRA 적용 제외"] A -->|예| B["EU 시장에\n판매됩니까?"] B -->|아니오| OUT1 B -->|예| C{"적용 제외 해당?"} C -->|"의료기기(MDR/IVDR)\n차량 형식승인\n항공·방산"| OUT2["별도 규정 적용\nCRA 제외"] C -->|해당 없음| D["✅ CRA 적용 대상\n제품 분류 확인 필요"] 적용 대상 제품 예시: 스마트 TV, 스마트 가전, 산업용 PLC, IoT 센서, 네트워크 장비, 라우터, 소프트웨어 단독 제품 B2B 납품업체 주의: EU 최종 판매가 EU 수입업체를 통해 이루어져도 CRA 의무 일부가 귀사에 귀속될 수 있습니다. EU 수입업체들은 이미 계약서에 CRA 준수 조항을 삽입하기 시작했습니다.

EU 사이버복원력법(CRA)이 한국 제조업체에 미치는 영향과 단계별 준수 방법. 제품 적용 여부 확인부터 SBOM, EU DoC, CE 마킹까지 실전 로드맵을 제공합니다.

CRA Evidence Team 게시됨 2026년 3월 24일 업데이트됨 2026년 5월 1일

한국 제조업체를 위한 EU 사이버복원력법(CRA) 준수 가이드. 회로 기판과 EU·한국 연결 일러스트레이션

이 기사의 목차

요약
우리 제품이 CRA 대상인가?
제품 분류: 어떤 심사가 필요한가?
두 개의 마감일을 혼동하지 마라
CRA가 요구하는 핵심 의무
SBOM: 무엇이고 어떻게 준비하는가
EU 공인대리인: EU 사업장이 없는 경우
실전 준수 로드맵
위반 시 제재
자주 묻는 질문
다음 단계
CRA Evidence의 컨설팅 지원

한국 제조업체 대부분은 EU 사이버복원력법(CRA) 마감일을 2027년 12월로 알고 있습니다. 그런데 2027년 이전에 먼저 발효되는 의무가 있습니다.

2026년 9월 11일, 제품의 취약점과 심각 사고를 ENISA(EU 사이버보안청)에 직접 신고해야 하는 의무가 먼저 시작됩니다. 지금으로부터 약 5개월 후입니다. 이 날짜에 맞춰 프로세스와 ENISA 신고 채널을 갖추지 못하면 즉시 위반 상태가 됩니다.

이 가이드는 규제 개요가 아닙니다. 무엇을 언제까지 실제로 해야 하는지를 다룹니다.

요약

EU CRA는 소프트웨어·펌웨어가 포함된 제품을 EU에 판매하는 모든 제조업체에 적용됩니다
마감일은 두 개: 2026년 9월 11일(ENISA 신고 의무)과 2027년 12월 11일(전면 적용)
대부분의 한국 수출 제품은 일반 제품(자체 평가) 분류로 제3자 인증이 불필요합니다
핵심 준비 사항: SBOM 파이프라인, ENISA 신고 프로세스, EU 적합성 선언(EU DoC), 기술 파일
위반 시 최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% 과징금
KISA가 SBOM 구축 비용을 지원하는 정부 사업을 운영 중입니다

우리 제품이 CRA 대상인가?

flowchart TD
    A["제품에 소프트웨어나\n펌웨어가 포함됩니까?"] -->|아니오| OUT1["CRA 적용 제외"]
    A -->|예| B["EU 시장에\n판매됩니까?"]
    B -->|아니오| OUT1
    B -->|예| C{"적용 제외 해당?"}
    C -->|"의료기기(MDR/IVDR)\n차량 형식승인\n항공·방산"| OUT2["별도 규정 적용\nCRA 제외"]
    C -->|해당 없음| D["✅ CRA 적용 대상\n제품 분류 확인 필요"]

적용 대상 제품 예시: 스마트 TV, 스마트 가전, 산업용 PLC, IoT 센서, 네트워크 장비, 라우터, 소프트웨어 단독 제품

B2B 납품업체 주의: EU 최종 판매가 EU 수입업체를 통해 이루어져도 CRA 의무 일부가 귀사에 귀속될 수 있습니다. EU 수입업체들은 이미 계약서에 CRA 준수 조항을 삽입하기 시작했습니다.

제품 분류: 어떤 심사가 필요한가?

CRA는 제품을 위험 수준에 따라 분류합니다. 분류에 따라 자체 평가만 가능한지, 제3자 인증이 필수인지가 결정됩니다.

분류	근거	적합성 평가	한국 제품 예시
일반 제품	부속서 III/IV 미해당	자체 평가 가능	스마트 가전, IoT 센서, 스마트 TV
중요 제품 Class I	부속서 III 제1부	자체 평가 (조화 표준 적용 시)	스마트홈 허브, VPN 클라이언트
중요 제품 Class II	부속서 III 제2부	제3자 인증 필수	방화벽, IDS/IPS, 산업용 OS
핵심 제품	부속서 IV	EU 인증서 또는 제3자 인증	스마트카드 IC, HSM

중요: 부속서 III/IV에 해당하는 제품 목록은 생각보다 좁습니다. 대부분의 한국 소비가전·IoT 제품은 일반 제품으로 자체 적합성 평가가 가능합니다. 분류를 과대 평가해 불필요한 비용을 지출하지 않도록 하십시오.

두 개의 마감일을 혼동하지 마라

flowchart LR
    NOW["📅 지금\n2026년 3월"] --> SEP["⚠️ 2026년 9월 11일\nENISA 신고 의무 발효"]
    SEP --> DEC["🔴 2027년 12월 11일\nCRA 전면 적용"]

    NOW -. "지금 시작" .-> A1["제품 분류\n취약점 대응 프로세스 설계\nENISA SRP 등록"]
    SEP -. "이 날까지" .-> A2["24h/72h 신고 SOP 완비\nENISA 담당자 지정"]
    DEC -. "이 날까지" .-> A3["SBOM · EU DoC\n기술 파일 · CE 마킹"]

CRA가 요구하는 핵심 의무

의무	근거	핵심 내용
보안 설계	부속서 I	알려진 취약점 없이 출시, 안전한 기본 설정, 최소 권한 원칙
SBOM	Art. 13(25), 부속서 I	제품 내 모든 소프트웨어 구성 요소 목록 생성·유지
취약점 처리 / 5년 지원	Art. 13(8)	출시 후 최소 5년간 무상 보안 업데이트, CVE 처리 프로세스
ENISA 신고	Art. 14	악용 취약점·심각 사고 발견 시 24h 조기 경보, 72h 완전 통지
EU 적합성 선언 (EU DoC)	Art. 28, 부속서 V	판매 회원국 언어별 작성, 10년 보관
기술 파일 (Technical File)	Art. 29, 부속서 VII	설계·위험평가·SBOM·적합성 평가 결과 포함
CE 마킹	Art. 30	적합성 평가 완료 후 부착

ENISA 신고 타임라인

flowchart LR
    T["악용 취약점\n또는 심각 사고 발견"] --> W["24시간\n조기 경보"]
    W --> N["72시간\n완전 통지"]
    N --> F1["취약점:\n수정 조치 후\n14일 이내 최종 보고"]
    N --> F2["심각 사고:\n통지 후\n30일 이내 최종 보고"]

2026년 9월 11일이 첫 번째 실질적 마감일입니다. 이 날부터 위 타임라인이 즉시 적용됩니다.

SBOM: 무엇이고 어떻게 준비하는가

SBOM(Software Bill of Materials)은 제품에 포함된 모든 소프트웨어 구성 요소의 목록입니다. CRA는 제품 출하 시 SBOM을 갖추고 시장 감시 기관 요청 시 제출할 것을 요구합니다(Art. 13(25)).

형식 선택:

CycloneDX: CRA 보안 컴플라이언스 목적에 권장. ENISA도 CycloneDX를 선호합니다
SPDX: 오픈소스 라이선스 컴플라이언스에 더 적합

무료 도구:

Syft: 컨테이너·파일시스템에서 CycloneDX/SPDX 자동 생성
cdxgen: Java, Python, Node.js, Go, Rust 등 다언어 지원
Trivy: SBOM 생성과 CVE 스캔 동시 처리

KISA 지원 사업: KISA(한국인터넷진흥원)가 SBOM 구축 비용을 지원하는 소프트웨어 공급망 보안 사업을 운영 중입니다. 중소기업이라면 먼저 지원 여부를 확인하십시오.

EU 공인대리인: EU 사업장이 없는 경우

EU 내 사업장이 없는 한국 제조업체는 CRA 제18조 제1항에 따라 EU 소재 공인대리인(Authorised Representative)을 임명할 수 있습니다. 선임은 임의이며, MDR 제11조 · RED 제5조처럼 역외 제조업체에 의무로 부과되지 않습니다. 다만 시장 감시 기관 응답 창구, 제18조 제3항(a)의 10년 문서 보관, 기존 MDR/RED 대리인과의 운영 일체화 등 운영상 이점이 있어 다수의 역외 제조업체가 자발적으로 선임합니다.

공인대리인은 기술 파일·EU DoC 보관, 시장 감시 기관 소통, 리콜·시정 조치 조율을 담당합니다.

실전 준수 로드맵

시기	작업
지금 ~ 2026년 5월	제품 포트폴리오 CRA 분류 / 취약점 대응 프로세스 설계
2026년 6월 ~ 8월	ENISA SRP 계정 개설·신고 SOP 수립 / SBOM 파이프라인 구축 시작
2026년 9월 11일	⚠️ ENISA 신고 의무 발효
2026년 하반기	기술 파일 초안 / EU DoC 초안 (판매 회원국 언어 포함)
2027년 상반기	적합성 평가 완료 / Class II 이상 인증기관 심사
2027년 7월	CE 마킹 부착, EU DoC 서명·보관
2027년 12월 11일	🔴 CRA 전면 적용

위반 시 제재

위반 유형	최대 과징금
부속서 I 필수 요구사항 및 Art. 13·14 위반	1,500만 유로 또는 전 세계 연매출의 2.5%
기타 의무 위반 (문서, CE 마킹 등)	1,000만 유로 또는 연매출의 2%
규제 기관에 허위·불완전 정보 제공	500만 유로 또는 연매출의 1%

자주 묻는 질문

EU 수입업체를 통해서만 판매하는 경우 CRA가 저희에게 적용됩니까?

CRA 제13조의 의무는 "제조업체"에 귀속됩니다. EU 고객이 자체 브랜드로 EU 시장에 출하하는 OEM 공급 구조라면 CRA상 제조업체는 EU 고객이 되지만, 한국 제조원은 SBOM과 취약점 정보를 적시에 제공할 계약상 의무를 부담합니다. 자체 브랜드로 EU에 직접 수출한다면 수입업체가 개재하더라도 제조업체로서의 의무는 유지됩니다. 제품 분류 기준은 CRA 제품 분류 가이드를 참고하십시오.

두 개의 마감일 중 어느 쪽을 먼저 준비해야 합니까?

2026년 9월 11일이 첫 번째 실질적 마감일입니다. 이 날부터 악용 취약점과 심각 사고를 ENISA에 24시간 조기 경보·72시간 완전 통지해야 합니다. CE 마킹과 EU 적합성 선언(EU DoC), 기술 파일은 2027년 12월 11일까지 준비하면 되지만, ENISA 신고 프로세스와 SBOM 파이프라인은 지금 바로 착수해야 합니다.

ISMS-P 인증을 보유하면 CRA를 대체할 수 있습니까?

대체할 수 없습니다. ISMS-P는 조직 단위의 정보보호·개인정보보호 관리체계 인증이고, CRA는 제품 단위의 사이버보안 요구사항입니다. 인증 범위, 대상, 증빙 구조가 다르므로 별도 트랙으로 준비해야 합니다. 다만 일부 통제(접근 통제, 로그 관리, 취약점 관리)는 증빙을 재활용할 수 있습니다. 상세 매핑은 ISMS-P와 CRA 연결 가이드를 참고하십시오.

SBOM은 CycloneDX와 SPDX 중 무엇을 사용해야 합니까?

ENISA와 EU 시장 감시 기관은 CycloneDX를 선호합니다. 오픈소스 라이선스 컴플라이언스를 병행해야 한다면 SPDX를 추가로 생성하는 이중 트랙도 실무상 안전합니다. Syft, cdxgen, Trivy 같은 무료 도구로 CI/CD 파이프라인에서 자동 생성할 수 있으며, KISA가 SBOM 구축 비용을 지원하는 소프트웨어 공급망 보안 사업을 운영 중이므로 중소기업은 먼저 지원 여부를 확인하십시오.

EU 공인대리인 임명은 필수 의무입니까?

아닙니다. CRA 제18조 제1항은 "제조업체는 서면 위임으로 공인대리인을 선임할 수 있다"고 규정하며, 선임은 임의입니다(MDR 제11조 · RED 제5조와 같은 의무 조항은 CRA 본문에 존재하지 않습니다). 제18조 제3항의 업무, 즉 기술 파일 · EU DoC 10년 보관, 시장 감시 기관 응답, 위험 제거 협조는 선임 시 서면 위임 범위의 상한이며, 제18조 제2항에 따라 제13조의 실체적 사이버보안 의무는 위임 대상에서 제외됩니다. 운영상 EU 단일 창구가 필요하다고 판단하는 경우 자발적으로 선임합니다. 제14조 24시간 ENISA 신고는 공인대리인 선임 여부와 독립적으로 제조업체에 적용됩니다. 자세한 내용은 공인대리인 해설 페이지를 참조하십시오.

위반 시 최대 과징금은 얼마입니까?

부속서 I 필수 요구사항 및 제13조·제14조 위반에 대해서는 최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% 중 높은 금액이 부과됩니다. 기타 의무 위반(문서, CE 마킹 등)은 1,000만 유로 또는 매출의 2%, 허위·불완전 정보 제공은 500만 유로 또는 매출의 1%입니다. 제품 포트폴리오의 CRA 적용 여부를 한 번에 점검하려면 CRA Evidence 무료 진단을 신청하십시오.

다음 단계

2026년 9월 11일 전에 사내에서 끝내야 할 7가지

제품 포트폴리오 인벤토리 및 분류 확정. EU에 판매하는 모든 소프트웨어·펌웨어 포함 제품을 목록화하고, 부속서 III·IV와 대조하여 일반·중요 Class I/II·핵심 제품 분류를 확정합니다. 담당자, 초도 출하일, 현재 버전을 함께 기록합니다. 상세 기준은 CRA 제품 분류 가이드를 참고하십시오.
SBOM 자동 생성 CI/CD 통합. Syft 또는 cdxgen을 빌드 파이프라인에 추가하여 CycloneDX SBOM을 매 릴리스마다 생성합니다. 부속서 I 제2부의 "최소한 최상위 의존성" 요구를 충족하는지 출력을 검증합니다.
security.txt(RFC 9116) 게시 및 취약점 수신 채널 공개. 부속서 I 제2부의 협조적 취약점 공개 정책 요구사항에 대응하는 공개 창구를 마련하고, 내부 트리아지 담당과 KrCERT/CC 연락선을 사전 매핑합니다.
ENISA 신고 권한자 사전 지정. 제14조제2항의 24시간 조기 경보를 위해 내부 결재 없이 ENISA와 국가 CSIRT에 신고할 수 있는 책임자 1명과 대체자 1명 이상을 경영진 승인으로 지정합니다. 권한 범위와 에스컬레이션 경로를 문서화합니다.
EU 공인대리인 선임 검토 (임의). CRA 제18조 제1항은 임의 선임입니다. 운영상 EU 단일 창구를 두기로 판단하는 경우, 후보 사무소 비교(시장 감시 기관 응답 능력, 제18조 제3항(a)의 10년 보관 체제, 기존 MDR/RED 대리인과의 운영 일체화 가능성)를 적용 시점 전에 마무리합니다. 선임하지 않는 경우에는 EU 수입업자(제19조)를 통한 응답 경로 또는 본사 직접 응답 체제를 명문화합니다. 선임 판단 가이드.
24시간 대응 당직 체계 정비. 주말, 공휴일, 추석·설날을 포함한 365일 오프 지명 로테이션을 구성합니다. 유럽 국가 CSIRT 연락처와 ENISA SRP 로그인 정보를 당직 매뉴얼에 등록합니다.
2026년 6월~8월 TTX(탁상 훈련) 실시. 시나리오: "금요일 17시 고객으로부터 자체 제품의 이상 동작 보고. 다음 주 월요일은 추석 연휴 다음날." 24시간 시계를 실측하고 ENISA SRP 제출 경로의 실제 작동 여부를 확인합니다.

CRA Evidence의 컨설팅 지원

CRA 핵심 용어(SBOM, EU DoC, CE 마킹, ENISA 등)가 낯설다면 한국어 CRA 용어집을 참고하십시오.

CRA Evidence는 한국 제조업체를 위한 CRA 준비 컨설팅을 제공합니다. 컨설팅 범위는 다음과 같습니다.

CRA 적용 여부 및 분류 진단: 제품 포트폴리오를 부속서 III·IV와 대조하여 일반·중요 Class I/II·핵심 제품 여부를 판정합니다.
SBOM 자문: 기존 빌드 파이프라인에 SPDX 또는 CycloneDX SBOM 생성을 통합하는 방안을 설계합니다.
ENISA 신고 프로세스 설계: 24시간 조기 경보 및 72시간 사고 신고 의무에 대응하는 내부 SOP와 ENISA SRP 계정 개설 절차를 수립합니다.
기술 파일 초안 검토: 부속서 VII 기준에 따른 기술 파일과 EU 적합성 선언 초안을 검토하고 보완점을 제시합니다.

첫 단계로 45분 무료 평가 통화를 통해 현재 상태와 우선순위를 정리해 드립니다. 비용 없이, 의무 없이.

CRA 적용 여부 무료 확인 →

무료 CRA 평가 신청하기 →

CRA 한국 제조업체 EU 수출 사이버보안 SBOM

귀사 제품에 CRA가 적용됩니까?

6가지 간단한 질문에 답하여 귀사 제품이 EU 사이버 복원력법(CRA) 적용 범위에 해당하는지 확인하십시오. 2분 이내에 결과를 확인하실 수 있습니다.

지금 확인하기