ISMS-P 인증이 EU CRA 준비에 어떻게 도움이 될까?

ISMS-P 인증을 보유한 한국 제조업체를 위한 EU 사이버복원력법(CRA) 준비 가이드. ISMS-P와 CRA의 겹치는 영역, 충족되지 않는 요구사항, 그리고 실전 체크리스트를 제공합니다.

CRA Evidence Team 게시됨 2026년 3월 24일 업데이트됨 2026년 5월 30일
ISMS-P 인증서와 EU CRA 준수 체크리스트를 비교 검토하는 한국 보안 담당자
이 기사의 목차

ISMS-P 인증을 보유한 한국 제조업체라면 EU 사이버복원력법(CRA) 준비의 상당 부분이 이미 완료된 상태입니다. 문제는 어느 부분이 충족됐고, 어느 부분이 아직 부족한지를 명확히 파악하는 것입니다.

이 가이드는 ISMS-P와 CRA의 요구사항을 직접 비교하여, 중복되는 영역과 새롭게 작업이 필요한 부분을 구체적으로 설명합니다.

요약

  • ISMS-P = 조직의 정보보호 관리체계 (내부 시스템과 데이터 중심)
  • CRA = 제품의 사이버보안 요구사항 (EU에 판매하는 제품 중심)
  • ISMS-P 인증이 CRA 준수를 자동으로 의미하지는 않습니다
  • 접근통제, 암호화, 사고 대응, 개발 보안 영역에서 상당한 중복이 있습니다
  • SBOM, EU 적합성 선언, CE 마킹, 기술 파일은 ISMS-P에 해당하는 요구사항이 없습니다
  • ISMS-P 인증 기업이라면 CRA 준비 시간과 비용을 크게 줄일 수 있습니다

먼저 확인: CRA가 내 제품에 적용되는가?

CRA는 모든 제품에 적용되지 않습니다. 아래 흐름도로 먼저 확인하십시오.

flowchart TD
    A["제품에 소프트웨어나\n펌웨어가 포함됩니까?"] -->|아니오| B["CRA 적용 제외\n(순수 기계식 하드웨어)"]
    A -->|예| C["EU 시장에\n최종 판매됩니까?"]
    C -->|아니오| B
    C -->|예| D["제품 분류 확인\n(부속서 III / IV 참조)"]
    D --> E["일반 제품\n(부속서 III/IV 미해당)"]
    D --> F["중요 제품 Class I/II\n(부속서 III 해당)"]
    D --> G["핵심 제품\n(부속서 IV 해당)"]
    E --> H["자체 적합성 평가 가능\nEU DoC + SBOM + 기술 파일"]
    F --> I["Class I: 조화 표준 적용 시 자체 평가\nClass II: 제3자 인증 필수"]
    G --> J["EU 사이버보안 인증서\n또는 제3자 인증 필수"]
    H --> K["2027년 12월부터 의무 적용"]
    I --> K
    J --> K

참고: 산업용 PLC, IoT 기기, 스마트 가전, 네트워크 장비 등 대부분의 한국산 수출 제품이 적용 대상에 해당합니다. 무료 적용 여부 확인 도구로 빠르게 확인하십시오.

CRA 제품 분류 기준

분류 근거 적합성 평가 방식 해당 제품 예시
일반 제품 부속서 III/IV 미해당 자체 적합성 평가 스마트 가전, 일반 IoT 센서
중요 제품 Class I 부속서 III 제1부 자체 평가 (조화 표준 적용 시) 또는 제3자 브라우저, 패스워드 관리자, 스마트홈 허브
중요 제품 Class II 부속서 III 제2부 제3자 인증 필수 방화벽, 침입탐지시스템(IDS), 산업용 OS
핵심 제품 부속서 IV EU 사이버보안 인증서 또는 제3자 인증 스마트카드 IC, HSM, 보안 라우터

ISMS-P와 CRA: 근본적인 차이

ISMS-P와 CRA는 보호 대상 자체가 다릅니다.

ISMS-P CRA
보호 대상 우리 회사의 정보 자산 우리가 판매하는 제품
핵심 질문 "우리 조직의 보안 관리는 충분한가?" "우리 제품은 사이버보안 요구사항을 충족하는가?"
규제 기관 KISA (한국인터넷진흥원) EU 시장 감시 기관 (국가별 지정)
인증 방식 KISA 지정 심사 기관 현장 심사 자체 평가 또는 제3자 인증
갱신 주기 3년 (연 1회 사후 심사) 제품 출시 전 + 중요 변경 시 재평가
적용 범위 인증 신청 조직 전체 개별 제품 단위

ISMS-P 인증은 "우리 회사는 정보보안 관리를 체계적으로 한다"는 것을 증명합니다. CRA는 "우리 제품은 EU 사이버보안 기준을 충족한다"는 것을 제품별로 증명해야 합니다. 조직 수준의 인증과 제품 수준의 규제는 관점이 근본적으로 다릅니다.

중복 영역: ISMS-P가 CRA를 충족하는 부분

아래 표는 ISMS-P 보호대책 요구사항(2.x)과 CRA 요구사항의 직접 매핑입니다. ISMS-P 2023 인증 기준(KISA) 기준으로 작성했습니다.

ISMS-P 영역 CRA 요구사항 충족 수준 비고
2.6 접근통제 CRA 부속서 I: 무단 접근 차단, 최소 권한 원칙 ✅ 강함 제품 접근 통제 증거로 직접 활용 가능
2.7 암호화 적용 CRA 부속서 I: 저장/전송 데이터 기밀성 및 무결성 ✅ 강함 암호화 정책 및 구현 증거로 활용 가능
2.8 시스템 도입·개발 보안 CRA 부속서 I: 보안 설계(Secure by Design), 취약점 없는 출시 ✅ 강함 보안 개발 프로세스 문서가 기술 파일에 포함됨
2.11 사고 예방 및 대응 ENISA 사고 신고 프로세스 ⚠️ 부분 프로세스는 있지만 ENISA 신고 타임라인·신고처 추가 필요
2.10 시스템·서비스 보안관리 CRA 부속서 I: 취약점 모니터링 및 패치 ⚠️ 부분 조직 수준이 아닌 제품별 CVE 추적 증거 필요
2.3 외부자 보안 소프트웨어 공급망 보안 ⚠️ 부분 공급업체 보안 관리는 있지만 SBOM은 별도 구성 필요
2.9 시스템·서비스 운영관리 CRA 부속서 I: 안전한 기본 설정 ⚠️ 부분 조직 IT 운영 기준을 제품 단위로 재적용 필요 
graph LR
    subgraph ISMS["ISMS-P 보호대책 요구사항"]
        A["2.6 접근통제"]
        B["2.7 암호화 적용"]
        C["2.8 개발 보안"]
        D["2.10 보안관리"]
        E["2.11 사고 대응"]
        F["2.3 외부자 보안"]
    end

    subgraph STRONG["CRA 충족 ✅ (강함)"]
        G["CRA\n접근통제 요구사항"]
        H["CRA\n데이터 기밀성·무결성"]
        I["CRA\n보안 설계 원칙"]
    end

    subgraph PARTIAL["CRA 부분 충족 ⚠️ (보완 필요)"]
        J["취약점 처리\n프로세스"]
        K["ENISA 신고\n체계"]
        L["공급망 보안 문서"]
    end

    A --> G
    B --> H
    C --> I
    D --> J
    E --> K
    F --> L

충족되지 않는 영역: ISMS-P만으로는 부족한 부분

이 부분이 핵심입니다. ISMS-P가 다루지 않는 CRA 고유 요구사항입니다.

CRA 요구사항 실무 기준 ISMS-P 해당 항목 이유
SBOM (소프트웨어 구성 요소 목록) CRA 취약점 관리 요구사항 없음 ISMS-P는 조직 IT 자산 목록을 다루지만, 출하 제품의 소프트웨어 구성 목록은 요구하지 않음
EU 적합성 선언(EU DoC) 출시 전 서명 문서 없음 EU 특유의 법적 문서. 한국 규제 프레임워크에 직접 대응 항목 없음
CE 마킹 적합성 평가 완료 후 표시 없음 EU 단일시장 적합성 표시. ISMS-P와 무관
기술 파일(Technical File) 제품별 문서 패키지 없음 제품 설계, 위험 평가, SBOM, 평가 결과를 묶는 문서 세트
ENISA 24시간 조기 경보 취약점 신고 절차 없음 적극적으로 악용되는 취약점 발견 시 ENISA에 24시간 내 신고
취약점 최종 보고 CRA 취약점 신고 절차 없음 수정 조치 가능 시 14일 이내 최종 보고서 제출
심각 사고 최종 보고 사고 신고 절차 없음 사고 신고 후 30일 이내 최종 보고서 제출
보안 업데이트 지원 기간 제품 지원 기간 운영 없음 제품 지원 기간 동안 보안 업데이트 제공. 원칙적으로 최소 5년이며, 제품 예상 사용 기간이 5년보다 짧으면 그 기간에 맞출 수 있음
EU 공인대리인 (임의) EU 단일 창구 운영 없음 EU 내 사업장이 없는 경우 운영상 권장. 선임은 임의이며 미선임 자체는 위반이 아님. 상세
DoC 언어 요건 회원국 언어 준비 없음 EU 적합성 선언은 판매하는 회원국의 공식 언어로 제공해야 함
사용자 설명서 사용자 이해 가능 언어 없음 제품 사용자가 쉽게 이해할 수 있는 언어로 작성 필요

핵심 메시지: ISMS-P는 '조직 보안'을 위한 프레임워크입니다. CRA는 '제품 보안'을 위한 규제입니다. 인증 조직은 보안 문화와 프로세스가 이미 갖춰져 있어 유리한 출발점에 있지만, EU 규제 특유의 문서와 신고 체계는 별도로 구축해야 합니다.

ENISA 신고 타임라인 상세

ENISA 신고는 3단계로 운영됩니다. ISMS-P 2.11 사고 대응 계획에 이 타임라인을 추가해야 합니다.

flowchart LR
    A["적극적으로 악용되는\n취약점 또는\n심각 사고 발견"] --> B["24시간 내\n조기 경보"]
    B --> C["72시간 내\n완전 통지"]
    C --> D{"유형"}
    D -->|취약점| E["수정 조치 가능 후\n14일 이내\n최종 보고"]
    D -->|심각 사고| F["통지 후\n30일 이내\n최종 보고"]

주의: 24시간 조기 경보 의무는 2026년 9월 11일부터 먼저 적용됩니다. 전면 CRA 적용(2027년 12월)보다 약 1년 3개월 앞섭니다.

전체 격차 분석 

ISMS-P → EU CRA 격차 분석

━━━ 강하게 충족 (추가 작업 최소) ━━━
✅ 접근통제 및 인증 (2.6) → CRA 접근통제 요구
✅ 암호화 정책 및 적용 (2.7) → CRA 데이터 보호 요구
✅ 보안 개발 프로세스 (2.8) → CRA 보안 설계 요구

━━━ 부분 충족 (제품 단위 증거 보완 필요) ━━━
⚠️  취약점 관리 (2.10) → 조직 수준이 아닌 제품별 CVE 추적 증거 필요
⚠️  사고 대응 (2.11) → ENISA 신고 요건(24h/72h/14일·30일) 추가 적용 필요
⚠️  공급망 보안 (2.3) → 타사 컴포넌트 SBOM 항목으로 구체화 필요

━━━ 새롭게 구축 필요 (ISMS-P 범위 외) ━━━
❌ SBOM: 제품 내 모든 소프트웨어 구성 요소 목록 생성 및 유지
❌ EU 적합성 선언(EU DoC): 판매 회원국 언어별 법적 문서
❌ 기술 파일(Technical File): 제품별 기술 문서 패키지
❌ CE 마킹: 적합성 평가 절차 완료 후 마킹
❌ 보안 업데이트 지원 약정: 지원 기간과 제품 예상 사용 기간 산정 근거 문서화
EU 공인대리인 (임의): EU 내 사업장이 없는 경우 운영상 권장됩니다. 미선임 자체는 위반이 아니며, EU 단일 창구 · 10년 문서 보관 · 시장 감시 기관 응답을 위임하는 선택지입니다. [상세](/ko/cra-authorised-representative)
❌ ENISA 신고 체계 SOP: 24h/72h/최종 보고 절차 문서화

주요 일정

시점 적용 내용
2026년 9월 11일 ENISA 취약점 및 심각 사고 신고 의무 조기 적용
2027년 12월 11일 CRA 전면 적용. 해당 제품은 반드시 CRA를 준수해야 EU 시장 판매 가능
지금 ~ 2026년 9월 ENISA 신고 SOP 수립, EU 공인대리인 선임 여부 판단 (임의 · CRA 제18조 제1항)
지금 ~ 2027년 12월 SBOM 파이프라인, 기술 파일, EU DoC, 보안 업데이트 지원 정책 구축

경고: 2027년 12월 이후 CRA 미준수 제품은 EU 시장에서 판매가 금지될 수 있으며, 최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% (높은 금액 기준)의 과징금이 부과됩니다. EU 수입업체들은 이미 납품업체에 CRA 준수 서류를 요청하기 시작했습니다.

ISMS-P가 주는 진짜 이점

ISMS-P 인증 기업이 CRA 준비에서 얻는 구체적인 이점은 다음과 같습니다.

시간 단축: 보안 문화, 위험 관리 방법론, 사고 대응 프로세스가 이미 갖춰져 있습니다. CRA 특유의 문서와 프로세스를 추가하는 작업만 남습니다.

비용 절감: 접근통제(2.6), 암호화(2.7), 개발 보안(2.8)에 대한 증거 문서가 이미 존재합니다. 기술 파일에 재활용 가능합니다.

바이어 신뢰: EU 수입업체와 바이어에게 ISMS-P 인증서는 조직 수준의 보안 성숙도를 증명합니다. CRA 적합성 선언을 제출할 때 신뢰도를 높이는 보완 자료가 됩니다.

심사 대비: ISMS-P 심사를 통해 외부 감사에 대응하는 프로세스가 형성되어 있습니다. EU 시장 감시 기관 조사에 대응하는 역량도 유사한 방식으로 작동합니다.

무료 도구

SBOM 생성 및 취약점 확인에 활용할 수 있는 무료 오픈소스 도구:

  • Syft: 컨테이너 이미지 및 코드베이스에서 SBOM 자동 생성 (SPDX, CycloneDX 지원)
  • cdxgen: CycloneDX 형식 SBOM 생성 (Java, Python, Node.js, Go, Rust 등 지원)
  • Trivy: 컨테이너 및 파일시스템의 CVE 취약점 스캔
  • OSV.dev: 패키지명과 버전으로 CVE 조회 (Google 운영)

CRA 적용 여부 무료 확인 →

자주 묻는 질문

ISMS-P 인증이 있으면 CRA 적합성 평가가 자동으로 충족됩니까?

자동 충족되지 않습니다. ISMS-P는 조직 정보보호 관리체계 인증이고, CRA는 제품 단위 사이버보안 규제입니다. ISMS-P 보호대책 요구사항 2.6(접근통제), 2.7(암호화), 2.8(개발 보안)은 CRA 부속서 I 일부와 강하게 중첩되지만, SBOM·EU 적합성 선언·CE 마킹·기술 문서·ENISA 신고는 ISMS-P에 대응 항목이 없습니다. 두 체계의 1대1 매핑은 본문 표를 참조하십시오.

ISMS-P 기준으로는 다루지 않는 CRA 고유 요구사항은 무엇입니까?

다섯 가지 영역이 새롭게 구축되어야 합니다. 첫째, CycloneDX 또는 SPDX 형식의 기계 판독 가능 SBOM. 둘째, RFC 9116 형식의 security.txt 파일 게시. 셋째, ENISA SRP 계정과 24시간/72시간/14일 신고 SOP. 넷째, 제품별 기술 문서. 다섯째, EU 적합성 선언과 CE 마킹. ISMS-P 운영 경험은 신규 구축 작업의 토대를 제공하지만 직접 대체하지는 않습니다.

ISMS-P 통제 증거를 CRA 기술 문서에 어디까지 재활용할 수 있습니까?

보호대책 2.6 접근통제 정책, 2.7 암호화 정책, 2.8 개발 보안 절차는 보안 설계 원칙(Secure by Design)과 기본 사이버보안 요구사항 충족 증거로 직접 인용 가능합니다. 다만 ISMS-P 증거는 조직 단위로 작성되어 있으므로, CRA 기술 문서는 제품 단위 적용 사례를 추가로 요구합니다. 조직 암호화 정책은 인용하되 본 제품에 적용된 알고리즘과 키 관리 방식은 별도로 기술해야 합니다.

ISMS-P의 P(개인정보) 영역과 CRA는 어떻게 구분됩니까?

ISMS-P의 P 영역은 개인정보 보호법 기반의 개인정보 처리 통제이며, CRA는 사이버보안 의무이고 개인정보 처리 자체를 다루지 않습니다. 두 체계의 교집합은 보안 사고 발생 시 개인정보 유출이 동반될 때 KISA 침해사고 신고(개인정보 보호법, 정보통신망법)와 ENISA 신고가 병행되는 영역에 한정됩니다. 따라서 ISMS-P의 P 영역 통제는 CRA 적합성 증빙에 직접 포함되지 않으며, 개인정보 처리 시스템과 CRA 대상 제품을 별도로 관리하는 것이 정확합니다.

KISA 침해사고 신고와 ENISA 통보는 어떤 관계입니까?

두 체계는 별도 의무이며 병행 이행해야 합니다. KISA(개인정보 보호법, 정보통신망법) 신고는 한국 규제 당국 의무이고, ENISA SRP는 EU 시장 감시 기관 의무입니다. 동일 사고에 대해 두 곳 모두 신고해야 하며 시한도 다릅니다. KISA는 24시간 이내 사이버 침해사고 신고, ENISA는 24시간 이내 조기 경보, 72시간 이내 본격 통보, 14일(취약점) 또는 30일(심각 사고) 이내 최종 보고입니다. 사고 대응 SOP 설계 시 두 신고 채널을 분리해 운영해야 합니다.

ISMS-P 보유 기업이 CRA 준비를 가장 빠르게 시작하려면 무엇부터 해야 합니까?

적용 여부 판정과 제품 분류부터 시작합니다. 일반·Class I·Class II·핵심 분류를 확정한 뒤, ISMS-P 통제 증거 중 기술 문서에 재활용 가능한 항목과 신규 구축이 필요한 항목(SBOM 파이프라인, ENISA SRP SOP, security.txt, EU 공인대리인 (임의))을 분리하십시오. 이 격차 분석을 서면으로 받아보려면 무료 평가에서 ISMS-P ↔ CRA 매핑 진단을 신청하십시오.

ISMS-P 운영 경험은 CRA 준비의 강력한 출발점입니다. 다음 단계는 ISMS-P 통제 증거 재활용과 CRA 고유 신규 작업을 분리해 진행하기 위한 실무 흐름입니다.

ISMS-P 보유 기업을 위한 7가지 실무 단계

  1. CRA 적용 여부 + 제품 분류 확정.EU 출시 제품의 일반·Class I·Class II·핵심 분류 결과를 ISMS-P 자산 목록과 별도 시트에 기록하십시오. Class II와 핵심 제품은 제3자 인증이 필수이며, 이 분류는 기술 문서의 첫 번째 입력값입니다.
  2. ISMS-P 통제 증거의 기술 문서 재활용 매핑.보호대책 2.6 접근통제, 2.7 암호화, 2.8 개발 보안, 2.11 사고 대응 문서를 기본 사이버보안 요구별로 인용 가능한 형태로 정리하고 제품 단위 적용 기술서로 보강하십시오. 이 매핑이 CRA 준비 시간을 가장 크게 단축합니다.
  3. SBOM 자동화 파이프라인 구축.Syft 또는 cdxgen을 CI/CD에 통합하여 빌드마다 CycloneDX 또는 SPDX 같은 기계 판독 가능 SBOM을 자동 생성하고, OSV.dev 또는 Trivy로 제품별 CVE 모니터링을 운영하십시오. ISMS-P 자산 관리에는 없는 신규 항목입니다.
  4. ENISA SRP 신고 SOP + RFC 9116 security.txt.24시간 조기 경보, 72시간 본격 통보, 14일/30일 최종 보고 절차를 ISMS-P 2.11 사고 대응 계획에 추가하고, 자사 공식 도메인의 `/.well-known/security.txt`에 RFC 9116 형식 연락처를 게시하십시오. KISA 침해사고 신고와는 별도 채널이며, 발효일은 2026년 9월 11일입니다.
  5. EU 공인대리인 (임의).EU 내 사업장이 없는 한국 제조업체는 서면 위임으로 EU 공인대리인 선임을 검토합니다. MDR · RED와 달리 임의이며, 미선임 자체는 CRA 위반이 아닙니다. 선임하는 경우 기술 문서 10년 보관, 시장 감시 기관 응대, 위험 제거 협조 범위를 서면 위임에 명시해야 합니다.
  6. EU 적합성 선언 + 기술 문서 + CE 마킹.판매 회원국 언어로 EU DoC를 작성하고 기술 문서를 완성한 뒤 CE 마킹을 부착합니다. 보안 업데이트 지원 약정, 제품 예상 사용 기간 산정 근거, 사용자 설명서 다국어 대응 계획도 함께 문서화합니다. 적합성 평가는 2027년 12월 11일 전면 적용일 전에 마쳐야 합니다.
  7. 참고 자료.한국 제조업체 전반의 대응 흐름은 한국 제조업체를 위한 EU CRA 완전 가이드, 부속서 III·IV 분류 절차는 CRA 제품 분류 가이드, 삼성·LG 생태계 협력사 입장의 ISMS-P 활용은 삼성·LG 협력사를 위한 EU CRA 대응 전략을 참고하십시오.

본 콘텐츠는 정보 제공을 목적으로 하며 법적 조언을 구성하지 않습니다. EU 제품 규제에 관한 구체적인 준수 요건에 대해서는 EU 규제에 정통한 법률 전문가에게 상담하시기 바랍니다.

CRA ISMS-P 한국 제조업체 보안 인증
Share

관련 기사

기사 목록으로 돌아가기

귀사 제품에 CRA가 적용됩니까?

6가지 간단한 질문에 답하여 귀사 제품이 EU 사이버복원력법(CRA) 적용 범위에 해당하는지 확인하십시오. 2분 이내에 결과를 확인하실 수 있습니다.

지금 확인하기