ISMS-P 인증이 EU CRA 준비에 어떻게 도움이 될까?
ISMS-P 인증을 보유한 한국 제조업체를 위한 EU 사이버복원력법(CRA) 준비 가이드. ISMS-P와 CRA의 겹치는 영역, 충족되지 않는 요구사항, 그리고 실전 체크리스트를 제공합니다.
이 기사의 목차
ISMS-P 인증을 보유한 한국 제조업체라면 EU 사이버복원력법(CRA) 준비의 상당 부분이 이미 완료된 상태입니다. 문제는 어느 부분이 충족됐고, 어느 부분이 아직 부족한지를 명확히 파악하는 것입니다.
이 가이드는 ISMS-P와 CRA의 요구사항을 직접 비교하여, 중복되는 영역과 새롭게 작업이 필요한 부분을 구체적으로 설명합니다.
요약
- ISMS-P = 조직의 정보보호 관리체계 (내부 시스템과 데이터 중심)
- CRA = 제품의 사이버보안 요구사항 (EU에 판매하는 제품 중심)
- ISMS-P 인증이 CRA 준수를 자동으로 의미하지는 않습니다
- 접근통제, 암호화, 사고 대응, 개발 보안 영역에서 상당한 중복이 있습니다
- SBOM, EU 적합성 선언, CE 마킹, 기술 파일은 ISMS-P에 해당하는 요구사항이 없습니다
- ISMS-P 인증 기업이라면 CRA 준비 시간과 비용을 크게 줄일 수 있습니다
먼저 확인: CRA가 내 제품에 적용되는가?
CRA는 모든 제품에 적용되지 않습니다. 아래 흐름도로 먼저 확인하세요.
flowchart TD
A["제품에 소프트웨어나\n펌웨어가 포함됩니까?"] -->|아니오| B["CRA 적용 제외\n(순수 기계식 하드웨어)"]
A -->|예| C["EU 시장에\n최종 판매됩니까?"]
C -->|아니오| B
C -->|예| D["제품 분류 확인\n(부속서 III / IV 참조)"]
D --> E["일반 제품\n(부속서 III/IV 미해당)"]
D --> F["중요 제품 Class I/II\n(부속서 III 해당)"]
D --> G["핵심 제품\n(부속서 IV 해당)"]
E --> H["자체 적합성 평가 가능\nEU DoC + SBOM + 기술 파일"]
F --> I["Class I: 조화 표준 적용 시 자체 평가\nClass II: 제3자 인증 필수"]
G --> J["EU 사이버보안 인증서\n또는 제3자 인증 필수"]
H --> K["2027년 12월부터 의무 적용"]
I --> K
J --> K
참고: 산업용 PLC, IoT 기기, 스마트 가전, 네트워크 장비 등 대부분의 한국산 수출 제품이 적용 대상에 해당합니다. 무료 적용 여부 확인 도구로 빠르게 체크할 수 있습니다.
CRA 제품 분류 기준
| 분류 | 근거 | 적합성 평가 방식 | 해당 제품 예시 |
|---|---|---|---|
| 일반 제품 | 부속서 III/IV 미해당 | 자체 적합성 평가 | 스마트 가전, 일반 IoT 센서 |
| 중요 제품 Class I | 부속서 III 제1부 | 자체 평가 (조화 표준 적용 시) 또는 제3자 | 브라우저, 패스워드 관리자, 스마트홈 허브 |
| 중요 제품 Class II | 부속서 III 제2부 | 제3자 인증 필수 | 방화벽, 침입탐지시스템(IDS), 산업용 OS |
| 핵심 제품 | 부속서 IV | EU 사이버보안 인증서 또는 제3자 인증 | 스마트카드 IC, HSM, 보안 라우터 |
ISMS-P와 CRA: 근본적인 차이
ISMS-P와 CRA는 보호 대상 자체가 다릅니다.
| ISMS-P | CRA | |
|---|---|---|
| 보호 대상 | 우리 회사의 정보 자산 | 우리가 판매하는 제품 |
| 핵심 질문 | "우리 조직의 보안 관리는 충분한가?" | "우리 제품은 사이버보안 요구사항을 충족하는가?" |
| 규제 기관 | KISA (한국인터넷진흥원) | EU 시장 감시 기관 (국가별 지정) |
| 인증 방식 | KISA 지정 심사 기관 현장 심사 | 자체 평가 또는 제3자 인증 |
| 갱신 주기 | 3년 (연 1회 사후 심사) | 제품 출시 전 + 중요 변경 시 재평가 |
| 적용 범위 | 인증 신청 조직 전체 | 개별 제품 단위 |
ISMS-P 인증은 "우리 회사는 정보보안 관리를 체계적으로 한다"는 것을 증명합니다. CRA는 "우리 제품은 EU 사이버보안 기준을 충족한다"는 것을 제품별로 증명해야 합니다. 조직 수준의 인증과 제품 수준의 규제는 관점이 근본적으로 다릅니다.
중복 영역: ISMS-P가 CRA를 충족하는 부분
아래 표는 ISMS-P 보호대책 요구사항(2.x)과 CRA 요구사항의 직접 매핑입니다. ISMS-P 2023 인증 기준(KISA) 기준으로 작성했습니다.
| ISMS-P 영역 | CRA 요구사항 | 충족 수준 | 비고 |
|---|---|---|---|
| 2.6 접근통제 | CRA 부속서 I: 무단 접근 차단, 최소 권한 원칙 | ✅ 강함 | 제품 접근 통제 증거로 직접 활용 가능 |
| 2.7 암호화 적용 | CRA 부속서 I: 저장/전송 데이터 기밀성 및 무결성 | ✅ 강함 | 암호화 정책 및 구현 증거로 활용 가능 |
| 2.8 시스템 도입·개발 보안 | CRA 부속서 I: 보안 설계(Secure by Design), 취약점 없는 출시 | ✅ 강함 | 보안 개발 프로세스 문서가 기술 파일에 포함됨 |
| 2.11 사고 예방 및 대응 | CRA Article 14: 사고 신고 프로세스 | ⚠️ 부분 | 프로세스는 있지만 ENISA 신고 타임라인·신고처 추가 필요 |
| 2.10 시스템·서비스 보안관리 | CRA 부속서 I: 취약점 모니터링 및 패치 | ⚠️ 부분 | 조직 수준이 아닌 제품별 CVE 추적 증거 필요 |
| 2.3 외부자 보안 | CRA Article 13(5): 소프트웨어 공급망 보안 | ⚠️ 부분 | 공급업체 보안 관리는 있지만 SBOM은 별도 구성 필요 |
| 2.9 시스템·서비스 운영관리 | CRA 부속서 I: 안전한 기본 설정 | ⚠️ 부분 | 조직 IT 운영 기준을 제품 단위로 재적용 필요 |
graph LR
subgraph ISMS["ISMS-P 보호대책 요구사항"]
A["2.6 접근통제"]
B["2.7 암호화 적용"]
C["2.8 개발 보안"]
D["2.10 보안관리"]
E["2.11 사고 대응"]
F["2.3 외부자 보안"]
end
subgraph STRONG["CRA 충족 ✅ (강함)"]
G["부속서 I\n접근통제 요구사항"]
H["부속서 I\n데이터 기밀성·무결성"]
I["부속서 I\n보안 설계 원칙"]
end
subgraph PARTIAL["CRA 부분 충족 ⚠️ (보완 필요)"]
J["Art. 13(5)\n취약점 처리 프로세스"]
K["Art. 14\n사고 신고 체계"]
L["공급망 보안 문서"]
end
A --> G
B --> H
C --> I
D --> J
E --> K
F --> L
충족되지 않는 영역: ISMS-P만으로는 부족한 부분
이 부분이 핵심입니다. ISMS-P가 다루지 않는 CRA 고유 요구사항입니다.
| CRA 요구사항 | 근거 조항 | ISMS-P 해당 항목 | 이유 |
|---|---|---|---|
| SBOM (소프트웨어 구성 요소 목록) | Art. 13(25), 부속서 I | 없음 | ISMS-P는 조직 IT 자산 목록을 다루지만, 출하 제품의 소프트웨어 구성 목록은 요구하지 않음 |
| EU 적합성 선언(EU DoC) | Art. 28, 부속서 V | 없음 | EU 특유의 법적 문서. 한국 규제 프레임워크에 직접 대응 항목 없음 |
| CE 마킹 | Art. 30 | 없음 | EU 단일시장 적합성 표시. ISMS-P와 무관 |
| 기술 파일(Technical File) | Art. 29, 부속서 VII | 없음 | 부속서 VII 형식의 제품별 문서 패키지 |
| ENISA 24시간 조기 경보 | Art. 14(2)(a) | 없음 | 적극적으로 악용되는 취약점 발견 시 ENISA에 24시간 내 신고 |
| 취약점 최종 보고 | Art. 14(3) | 없음 | 수정 조치 가능 시 14일 이내 최종 보고서 제출 |
| 심각 사고 최종 보고 | Art. 14(4) | 없음 | 사고 신고 후 30일 이내 최종 보고서 제출 |
| 5년 보안 업데이트 의무 | Art. 13(8) | 없음 | 제품 출시 후 최소 5년간 보안 업데이트 제공 (제품 예상 수명이 5년 미만인 경우 제외) |
| EU 공인대리인 | Art. 18 | 없음 | EU 내 사업장이 없는 경우 지정 권장. EU 시장 감시 기관의 연락 창구 역할 |
| DoC 언어 요건 | Art. 28(2) | 없음 | EU 적합성 선언은 판매하는 회원국의 공식 언어로 제공해야 함 |
| 사용자 설명서 | Art. 13(18) | 없음 | 제품 사용자가 쉽게 이해할 수 있는 언어로 작성 필요 |
핵심 메시지: ISMS-P는 '조직 보안'을 위한 프레임워크입니다. CRA는 '제품 보안'을 위한 규제입니다. 인증 조직은 보안 문화와 프로세스가 이미 갖춰져 있어 유리한 출발점에 있지만, EU 규제 특유의 문서와 신고 체계는 별도로 구축해야 합니다.
ENISA 신고 타임라인 상세
CRA Article 14는 3단계 신고 체계를 규정합니다. ISMS-P 2.11 사고 대응 계획에 이 타임라인을 추가해야 합니다.
flowchart LR
A["적극적으로 악용되는\n취약점 또는\n심각 사고 발견"] --> B["24시간 내\n조기 경보\nArt. 14(2)(a)"]
B --> C["72시간 내\n완전 통지\nArt. 14(2)(b)"]
C --> D{"유형"}
D -->|취약점| E["수정 조치 가능 후\n14일 이내\n최종 보고 Art. 14(3)"]
D -->|심각 사고| F["통지 후\n30일 이내\n최종 보고 Art. 14(4)"]
주의: 24시간 조기 경보 의무는 2026년 9월 11일부터 먼저 적용됩니다. 전면 CRA 적용(2027년 12월)보다 약 1년 3개월 앞섭니다.
전체 격차 분석
ISMS-P → EU CRA 격차 분석
━━━ 강하게 충족 (추가 작업 최소) ━━━
✅ 접근통제 및 인증 (2.6) → CRA 부속서 I 접근통제
✅ 암호화 정책 및 적용 (2.7) → CRA 부속서 I 데이터 보호
✅ 보안 개발 프로세스 (2.8) → CRA 부속서 I 보안 설계
━━━ 부분 충족 (제품 단위 증거 보완 필요) ━━━
⚠️ 취약점 관리 (2.10) → 조직 수준이 아닌 제품별 CVE 추적 증거 필요
⚠️ 사고 대응 (2.11) → ENISA 신고 요건(24h/72h/14일·30일) 추가 적용 필요
⚠️ 공급망 보안 (2.3) → 타사 컴포넌트 SBOM 항목으로 구체화 필요
━━━ 새롭게 구축 필요 (ISMS-P 범위 외) ━━━
❌ SBOM: 제품 내 모든 소프트웨어 구성 요소 목록 생성 및 유지
❌ EU 적합성 선언(EU DoC): 부속서 V 형식의 법적 문서 (판매 회원국 언어별)
❌ 기술 파일(Technical File): 부속서 VII 항목의 제품 문서 패키지
❌ CE 마킹: 적합성 평가 절차 완료 후 마킹
❌ 5년 보안 업데이트 약정: 제품 지원 정책 문서화
❌ EU 공인대리인: EU 내 연락 창구 지정 (EU 사업장 없는 경우 강력 권장)
❌ ENISA 신고 체계 SOP: 24h/72h/최종 보고 절차 문서화
ISMS-P 보유 기업을 위한 실전 체크리스트
ISMS-P 인증을 이미 보유하고 있다면 아래 순서로 진행하세요.
1단계: 적용 여부 및 제품 분류 확인
- [ ] 수출 제품에 소프트웨어/펌웨어가 포함되어 있는가?
- [ ] EU 시장에 직접 또는 간접 판매(EU 수입업체 경유)되는가?
- [ ] 제품이 부속서 III(중요 제품) 또는 부속서 IV(핵심 제품)에 해당하는가?
- Class II 또는 핵심 제품 → 제3자 인증 필수
2단계: 기존 ISMS-P 문서 활용
- [ ] 2.6 접근통제 정책 → 부속서 I 접근통제 요구사항 증거로 활용
- [ ] 2.7 암호화 정책 → 부속서 I 데이터 보호 구현 증거로 활용
- [ ] 2.8 개발 보안 절차 → 보안 설계(Secure by Design) 증거로 기술 파일에 포함
- [ ] 2.11 사고 대응 계획 → CRA Article 14 신고 절차 기반으로 활용 (ENISA 타임라인 추가)
3단계: CRA 고유 작업 신규 구축
- [ ] SBOM 생성 도구 도입 (Syft, cdxgen 등) 및 CI/CD 자동화 파이프라인 구성
- [ ] 제품별 CVE 모니터링 체계 구축 (OSV.dev, Trivy 등)
- [ ] EU 적합성 선언(EU DoC) 초안 작성. 부속서 V 형식, 판매 회원국 언어별
- [ ] 기술 파일(Technical File) 구성. 부속서 VII 항목 기준
- [ ] ENISA 신고 SOP 작성: 24시간 조기 경보 → 72시간 완전 통지 → 최종 보고(취약점 14일, 사고 30일)
- [ ] EU 공인대리인 계약 검토 (EU 사업장 없는 경우 강력 권장, Art. 18)
- [ ] 사용자 설명서 언어 대응 계획 수립
4단계: 격차 검증 및 적합성 평가
- [ ] 내부 격차 분석(Gap Analysis) 완료 및 문서화
- [ ] 제품 분류에 따른 적합성 평가 방식 결정 (자체 평가 vs. 제3자 인증)
- [ ] EU DoC 최종 서명 및 보관 (10년 보관 의무)
- [ ] CE 마킹 부착
주요 일정
| 시점 | 적용 내용 |
|---|---|
| 2026년 9월 11일 | ENISA 취약점 및 심각 사고 신고 의무 조기 적용 |
| 2027년 12월 11일 | CRA 전면 적용. 해당 제품은 반드시 CRA를 준수해야 EU 시장 판매 가능 |
| 지금 ~ 2026년 9월 | ENISA 신고 SOP 수립, EU 공인대리인 계약 검토 |
| 지금 ~ 2027년 12월 | SBOM 파이프라인, 기술 파일, EU DoC, 5년 지원 정책 구축 |
경고: 2027년 12월 이후 CRA 미준수 제품은 EU 시장에서 판매가 금지될 수 있으며, 최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% (높은 금액 기준)의 과징금이 부과됩니다. EU 수입업체들은 이미 납품업체에 CRA 준수 서류를 요청하기 시작했습니다.
ISMS-P가 주는 진짜 이점
ISMS-P 인증 기업이 CRA 준비에서 얻는 구체적인 이점은 다음과 같습니다.
시간 단축: 보안 문화, 위험 관리 방법론, 사고 대응 프로세스가 이미 갖춰져 있습니다. CRA 특유의 문서와 프로세스를 추가하는 작업만 남습니다.
비용 절감: 접근통제(2.6), 암호화(2.7), 개발 보안(2.8)에 대한 증거 문서가 이미 존재합니다. 기술 파일에 재활용할 수 있습니다.
바이어 신뢰: EU 수입업체와 바이어에게 ISMS-P 인증서는 조직 수준의 보안 성숙도를 증명합니다. CRA 적합성 선언을 제출할 때 신뢰도를 높이는 보완 자료가 됩니다.
심사 대비: ISMS-P 심사를 통해 외부 감사에 대응하는 프로세스가 형성되어 있습니다. EU 시장 감시 기관 조사에 대응하는 역량도 유사한 방식으로 작동합니다.
무료 도구
SBOM 생성 및 취약점 확인에 활용할 수 있는 무료 오픈소스 도구:
- Syft: 컨테이너 이미지 및 코드베이스에서 SBOM 자동 생성 (SPDX, CycloneDX 지원)
- cdxgen: CycloneDX 형식 SBOM 생성 (Java, Python, Node.js, Go, Rust 등 지원)
- Trivy: 컨테이너 및 파일시스템의 CVE 취약점 스캔
- OSV.dev: 패키지명과 버전으로 CVE 조회 (Google 운영)
ISMS-P 인증을 보유하고 있지만 CRA 준비를 어디서부터 시작해야 할지 모르겠다면, 저희가 현재 상태를 분석하고 무엇이 필요한지 정확히 알려드립니다. 비용 없이, 의무 없이.
본 콘텐츠는 정보 제공을 목적으로 하며 법적 조언을 구성하지 않습니다. EU 제품 규제에 관한 구체적인 준수 요건에 대해서는 EU 규제에 정통한 법률 전문가에게 상담하시기 바랍니다.
관련 기사
한국 제조업체를 위한 EU 사이버복원력법(CRA) 완전 가이드
EU 사이버복원력법(CRA)이 한국 제조업체에 미치는 영향과 단계별 준수 방법. 제품 적용 여부 확인부터 SBOM, EU DoC, CE...
5 분귀사 제품에 CRA가 적용됩니까?
6가지 간단한 질문에 답하여 귀사 제품이 EU 사이버 복원력법(CRA) 적용 범위에 해당하는지 확인하십시오. 2분 이내에 결과를 확인하실 수 있습니다.