한국 제조업체를 위한 EU 사이버복원력법(CRA) 완전 가이드

Q: 우리 제품이 CRA 대상인가?

flowchart TD A["제품에 소프트웨어나\n펌웨어가 포함됩니까?"] -->|아니오| OUT1["CRA 적용 제외"] A -->|예| B["EU 시장에\n판매됩니까?"] B -->|아니오| OUT1 B -->|예| C{"적용 제외 해당?"} C -->|"의료기기(MDR/IVDR)\n차량 형식승인\n항공·방산"| OUT2["별도 규정 적용\nCRA 제외"] C -->|해당 없음| D["✅ CRA 적용 대상\n제품 분류 확인 필요"] 적용 대상 제품 예시: 스마트 TV, 스마트 가전, 산업용 PLC, IoT 센서, 네트워크 장비, 라우터, 소프트웨어 단독 제품 B2B 납품업체 주의: EU 최종 판매가 EU 수입업체를 통해 이루어져도 CRA 의무 일부가 귀사에 귀속될 수 있습니다. EU 수입업체들은 이미 계약서에 CRA 준수 조항을 삽입하기 시작했습니다.

EU 사이버복원력법(CRA)이 한국 제조업체에 미치는 영향과 단계별 준수 방법. 제품 적용 여부 확인부터 SBOM, EU DoC, CE 마킹까지 실전 로드맵을 제공합니다.

CRA Evidence Team

저자

2026년 3월 24일

5 분 분량

한국 제조업체를 위한 EU 사이버복원력법(CRA) 준수 가이드 — 회로 기판과 EU·한국 연결 일러스트레이션

이 기사의 목차

요약
우리 제품이 CRA 대상인가?
제품 분류: 어떤 심사가 필요한가?
두 개의 마감일을 혼동하지 마라
CRA가 요구하는 핵심 의무
SBOM: 무엇이고 어떻게 준비하는가
EU 공인대리인 — EU 사업장이 없는 경우
실전 준수 로드맵
위반 시 제재

한국 제조업체 대부분은 EU 사이버복원력법(CRA) 마감일을 2027년 8월로 알고 있습니다. 그런데 2027년 이전에 먼저 발효되는 의무가 있습니다.

2026년 9월 11일, 제품의 취약점과 심각 사고를 ENISA(EU 사이버보안청)에 직접 신고해야 하는 의무가 먼저 시작됩니다. 지금으로부터 약 5개월 후입니다. 이 날짜에 맞춰 프로세스와 ENISA 신고 채널을 갖추지 못하면 즉시 위반 상태가 됩니다.

이 가이드는 규제 개요가 아닙니다. 무엇을 언제까지 실제로 해야 하는지를 다룹니다.

요약

EU CRA는 소프트웨어·펌웨어가 포함된 제품을 EU에 판매하는 모든 제조업체에 적용됩니다
마감일은 두 개: 2026년 9월 11일(ENISA 신고 의무)과 2027년 8월 11일(전면 적용)
대부분의 한국 수출 제품은 일반 제품(자체 평가) 분류로 제3자 인증이 불필요합니다
핵심 준비 사항: SBOM 파이프라인, ENISA 신고 프로세스, EU 적합성 선언(EU DoC), 기술 파일
위반 시 최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% 과징금
KISA가 SBOM 구축 비용을 지원하는 정부 사업을 운영 중입니다

우리 제품이 CRA 대상인가?

flowchart TD
    A["제품에 소프트웨어나\n펌웨어가 포함됩니까?"] -->|아니오| OUT1["CRA 적용 제외"]
    A -->|예| B["EU 시장에\n판매됩니까?"]
    B -->|아니오| OUT1
    B -->|예| C{"적용 제외 해당?"}
    C -->|"의료기기(MDR/IVDR)\n차량 형식승인\n항공·방산"| OUT2["별도 규정 적용\nCRA 제외"]
    C -->|해당 없음| D["✅ CRA 적용 대상\n제품 분류 확인 필요"]

적용 대상 제품 예시: 스마트 TV, 스마트 가전, 산업용 PLC, IoT 센서, 네트워크 장비, 라우터, 소프트웨어 단독 제품

B2B 납품업체 주의: EU 최종 판매가 EU 수입업체를 통해 이루어져도 CRA 의무 일부가 귀사에 귀속될 수 있습니다. EU 수입업체들은 이미 계약서에 CRA 준수 조항을 삽입하기 시작했습니다.

제품 분류: 어떤 심사가 필요한가?

CRA는 제품을 위험 수준에 따라 분류합니다. 분류에 따라 자체 평가만 가능한지, 제3자 인증이 필수인지가 결정됩니다.

분류	근거	적합성 평가	한국 제품 예시
일반 제품	부속서 III/IV 미해당	자체 평가 가능	스마트 가전, IoT 센서, 스마트 TV
중요 제품 Class I	부속서 III 제1부	자체 평가 (조화 표준 적용 시)	스마트홈 허브, VPN 클라이언트
중요 제품 Class II	부속서 III 제2부	제3자 인증 필수	방화벽, IDS/IPS, 산업용 OS
핵심 제품	부속서 IV	EU 인증서 또는 제3자 인증	스마트카드 IC, HSM

중요: 부속서 III/IV에 해당하는 제품 목록은 생각보다 좁습니다. 대부분의 한국 소비가전·IoT 제품은 일반 제품으로 자체 적합성 평가가 가능합니다. 분류를 과대 평가해 불필요한 비용을 지출하지 않도록 하세요.

두 개의 마감일을 혼동하지 마라

flowchart LR
    NOW["📅 지금\n2026년 3월"] --> SEP["⚠️ 2026년 9월 11일\nENISA 신고 의무 발효"]
    SEP --> AUG["🔴 2027년 8월 11일\nCRA 전면 적용"]

    NOW -. "지금 시작" .-> A1["제품 분류\n취약점 대응 프로세스 설계\nENISA SRP 등록"]
    SEP -. "이 날까지" .-> A2["24h/72h 신고 SOP 완비\nENISA 담당자 지정"]
    AUG -. "이 날까지" .-> A3["SBOM · EU DoC\n기술 파일 · CE 마킹"]

CRA가 요구하는 핵심 의무

의무	근거	핵심 내용
보안 설계	부속서 I	알려진 취약점 없이 출시, 안전한 기본 설정, 최소 권한 원칙
SBOM	Art. 13(25), 부속서 I	제품 내 모든 소프트웨어 구성 요소 목록 생성·유지
취약점 처리 / 5년 지원	Art. 13(8)	출시 후 최소 5년간 무상 보안 업데이트, CVE 처리 프로세스
ENISA 신고	Art. 14	악용 취약점·심각 사고 발견 시 24h 조기 경보, 72h 완전 통지
EU 적합성 선언 (EU DoC)	Art. 28, 부속서 V	판매 회원국 언어별 작성, 10년 보관
기술 파일 (Technical File)	Art. 29, 부속서 VII	설계·위험평가·SBOM·적합성 평가 결과 포함
CE 마킹	Art. 30	적합성 평가 완료 후 부착

ENISA 신고 타임라인

flowchart LR
    T["악용 취약점\n또는 심각 사고 발견"] --> W["24시간\n조기 경보"]
    W --> N["72시간\n완전 통지"]
    N --> F1["취약점:\n수정 조치 후\n14일 이내 최종 보고"]
    N --> F2["심각 사고:\n통지 후\n30일 이내 최종 보고"]

2026년 9월 11일이 첫 번째 실질적 마감일입니다. 이 날부터 위 타임라인이 즉시 적용됩니다.

SBOM: 무엇이고 어떻게 준비하는가

SBOM(Software Bill of Materials)은 제품에 포함된 모든 소프트웨어 구성 요소의 목록입니다. CRA는 제품 출하 시 SBOM을 갖추고 시장 감시 기관 요청 시 제출할 것을 요구합니다(Art. 13(25)).

형식 선택:

CycloneDX — CRA 보안 컴플라이언스 목적에 권장. ENISA도 CycloneDX를 선호합니다
SPDX — 오픈소스 라이선스 컴플라이언스에 더 적합

무료 도구:

Syft — 컨테이너·파일시스템에서 CycloneDX/SPDX 자동 생성
cdxgen — Java, Python, Node.js, Go, Rust 등 다언어 지원
Trivy — SBOM 생성과 CVE 스캔 동시 처리

KISA 지원 사업: KISA(한국인터넷진흥원)가 SBOM 구축 비용을 지원하는 소프트웨어 공급망 보안 사업을 운영 중입니다. 중소기업이라면 먼저 지원 여부를 확인하세요.

EU 공인대리인 — EU 사업장이 없는 경우

EU 내 사업장이 없는 한국 제조업체는 EU 소재 공인대리인(Authorised Representative)을 임명할 수 있습니다(CRA Art. 18). 명시적 의무는 아니지만, EU 시장 감시 기관 조사나 사고 대응을 위한 EU 연락 창구가 사실상 필요합니다.

공인대리인은 기술 파일·EU DoC 보관, 시장 감시 기관 소통, 리콜·시정 조치 조율을 담당합니다.

실전 준수 로드맵

시기	작업
지금 ~ 2026년 5월	제품 포트폴리오 CRA 분류 / 취약점 대응 프로세스 설계
2026년 6월 ~ 8월	ENISA SRP 계정 개설·신고 SOP 수립 / SBOM 파이프라인 구축 시작
2026년 9월 11일	⚠️ ENISA 신고 의무 발효
2026년 하반기	기술 파일 초안 / EU DoC 초안 (판매 회원국 언어 포함)
2027년 상반기	적합성 평가 완료 / Class II 이상 인증기관 심사
2027년 7월	CE 마킹 부착, EU DoC 서명·보관
2027년 8월 11일	🔴 CRA 전면 적용

위반 시 제재

위반 유형	최대 과징금
부속서 I 필수 요구사항 및 Art. 13·14 위반	1,500만 유로 또는 전 세계 연매출의 2.5%
기타 의무 위반 (문서, CE 마킹 등)	1,000만 유로 또는 연매출의 2%
규제 기관에 허위·불완전 정보 제공	500만 유로 또는 연매출의 1%

CRA 핵심 용어(SBOM, EU DoC, CE 마킹, ENISA 등)가 낯설다면 한국어 CRA 용어집을 참고하세요.

지금 어디서부터 시작해야 할지 모르겠다면, 저희가 귀사의 현재 상태를 분석하고 정확히 무엇이 필요한지 알려드립니다. 비용 없이, 의무 없이.

CRA 적용 여부 무료 확인 →

무료 CRA 평가 신청하기 →

이 기사에서 다루는 주제

CRA 한국 제조업체 EU 수출 사이버보안 SBOM

이 기사 공유하기

귀사 제품에 CRA가 적용됩니까?

6가지 간단한 질문에 답하여 귀사 제품이 EU 사이버 복원력법(CRA) 적용 범위에 해당하는지 확인하십시오. 2분 이내에 결과를 확인하실 수 있습니다.

지금 확인하기

기사 목록으로 돌아가기