해당 사항이 있습니까?
제품에 소프트웨어 또는 펌웨어가 포함되어 있고 EU 국가에 판매하는 경우 적용 대상일 가능성이 높습니다. 적용 여부 확인 도구를 사용하여 확인하십시오.
CRA가 귀사 제품에 적용되는지 확인하십시오 →귀사의 역할: 제조업자입니까, 수입업자입니까?
EU 유통업자 또는 수입업자를 통해 판매하더라도, 2027년 이후 주문 전에 준수 문서를 계약상 요구받게 됩니다.
기존 한국 인증과 CRA의 격차
ISMS-P는 조직 보안의 강력한 기반이지만 제품 레벨 CRA 요건(SBOM, 기술 파일, CE 마킹)은 범위 밖입니다. 기존 인증에서 시작해 차이를 체계적으로 정리합니다.
ISMS-P(KISA)
KC 마크
IEC 62443-4-1
KCMVP
Common Criteria(CC)
각 인증의 CRA 적용 범위 상세 보기 →
EU 공인대리인 (CRA 제18조 · 임의)
EU 역내에 사업장이 없는 제조업체는 CRA 제18조 제1항에 따라 서면 위임을 통해 EU 공인대리인을 선임할 수 있습니다. 선임은 임의이며, MDR 제11조 또는 RED 제5조와 같은 의무 조항은 CRA 본문에 존재하지 않습니다. 제18조 제3항의 문서 보관 · 당국 응답 · 위험 제거 협조 업무를 EU 단일 창구로 집약하는 운영상의 선택지로 위치합니다. 제18조 제2항에 따라 제13조의 실체적 사이버보안 의무는 위임 대상에서 제외되며, 제조업체가 최종 책임 주체로 남습니다.
CRA가 요구하는 문서
- SBOM(소프트웨어 부품표) — 제품에 포함된 모든 소프트웨어 구성 요소의 완전한 목록
- 취약점 공개 프로세스 및 공개 연락처
- 제품 설계 및 보안 조치를 문서화한 기술 문서
- EU 적합성 선언(EU DoC)
- 제품에 CE 마킹 부착
- 필요한 EU 시장 언어로 된 사용자 설명서
지속적인 의무
- 출하된 구성 요소에 영향을 미치는 새로운 CVE 모니터링
- 제품 수명 기간(최소 5년) 동안 보안 업데이트 제공
- 적극적으로 악용되는 취약점이 발견된 경우 24시간 이내에 ENISA에 통지
- 보안 사고 보고: 24시간 조기 경보, 72시간 전체 통지, 30일 최종 보고서
주요 용어
유용한 무료 도구
- Syft 및 cdxgen — 코드베이스 또는 컨테이너에서 SBOM 생성
- Trivy — 구성 요소에 대한 CVE 스캔
- OSV.dev — 패키지 이름 및 버전으로 CVE 조회