FAQ 한국
EU 사이버 복원력법(CRA) — 한국 제조사를 위한 자주 묻는 질문
소비자 전자제품, 디스플레이, 커넥티드 차량, 산업 장비. ISMS-P는 조직 보안을 다루지만, CRA는 제품 수준의 사이버 보안을 요구합니다. 그 격차를 안내합니다.
무료 30분 상담 예약적용 범위
당사가 한국에 본사를 두고 있어도 EU 사이버 복원력법(CRA)이 적용됩니까?
그렇습니다. EU 시장에 디지털 요소가 포함된 제품을 출시하는 경우, 회사의 본사 소재지와 관계없이 CRA가 적용됩니다. "시장 출시"란 유통 파트너, 온라인 스토어, EU 내 리셀러를 통한 경우를 포함하여 EU 고객에게 처음으로 제품을 제공하는 것을 의미합니다.
비EU 원산지에 대한 면제 규정은 없습니다. 규정은 제조사의 소재지가 아닌 제품을 따릅니다.
당사 제품 중 어느 것이 적용 범위에 해당합니까?
CRA는 소프트웨어 또는 펌웨어를 포함하고 네트워크 또는 다른 기기에 연결할 수 있는 모든 제품을 대상으로 합니다. 한국 제조사의 경우 다음이 포함됩니다:
- 연결 기능이 있는 소비자 전자제품 (TV, 가전제품, 웨어러블, 카메라)
- 네트워크 인터페이스가 있는 디스플레이
- 커넥티드 차량 부품 및 자동차 전장 제품
- 산업 장비 및 로봇 공학
- EU 고객에게 판매하거나 라이선스하는 소프트웨어 제품
EU로 수출하는 하드웨어 또는 소프트웨어에 네트워크 기능이 있다면, 달리 증명되기 전까지 적용 범위 내에 있다고 가정하십시오.
EU 유통업체가 CE 마킹을 담당합니다. CRA 컴플라이언스 책임도 그쪽에 있습니까?
아닙니다. CRA에 따르면, 유통 또는 CE 마킹 행정을 누가 처리하든 관계없이 사이버 보안 요건에 대한 1차 책임은 제조사가 집니다. EU 유통업체는 제한적인 의무(실사 확인이지 기술적 컴플라이언스가 아님)를 지지만, 제13조~제15조에 따른 제조사의 의무를 대체할 수 없습니다.
제품이 미준수 상태인 경우, 시장 감시 당국은 제조사를 추적합니다. 유통업체는 제조사를 식별하는 데 협력하도록 요구받습니다.
삼성, LG 같은 대형 한국 제조사는 내부 컴플라이언스 팀이 있습니다. 이 컨설팅이 대형 기업에도 관련이 있습니까?
대형 한국 제조사들은 대체로 거버넌스 및 법적 컴플라이언스를 위한 내부 자원을 보유하고 있지만, 다음을 위한 기술적 전문성이 부족한 경우가 많습니다:
- 대규모로 CRA에 부합하는 DevSecOps 워크플로우 구현
- 여러 제품 라인에 걸쳐 SBOM 생성 자동화
- 펌웨어 및 임베디드 소프트웨어용 CI/CD 파이프라인에 취약점 모니터링 통합
- ENISA의 24시간 보고 의무를 위한 내부 선별 프로세스 설계
저희는 엔지니어링 계층에서 기존 컴플라이언스 및 법무팀과 함께, 그들을 대체하지 않고 협력합니다. CRA의 기술적 구현이 저희의 전문 분야입니다.
중견 제조사(매출 5억~50억 원)의 경우 전체 참여를 직접 진행하고, 대형 그룹의 경우 기존 컴플라이언스 프로그램에 내재된 기술 구현 파트너로 협력합니다.
일정 및 리스크
CRA의 주요 일정은 무엇입니까?
- 2026년 9월: 취약점 보고 의무 발효 — ENISA에 24시간 이내 보고
- 2027년 12월: CRA 전면 시행 — EU 시장에 출시되는 모든 제품이 준수해야 함
2027년 12월 이전에 이미 시장에 출시된 제품은 경과 유예 기간의 혜택을 받습니다. 2027년 12월 이후 처음으로 시장에 출시되는 제품은 첫날부터 준수해야 합니다.
두 시행일 사이의 15개월 격차는 중요합니다. 기술 문서와 적합성 평가가 완료되기 전에 보안 프로세스가 운영 가능한 상태여야 합니다.
제품이 미준수인 경우 어떻게 됩니까? EU 당국이 제품을 차단하거나 리콜할 수 있습니까?
그렇습니다. EU 시장 감시 당국은 광범위한 집행 권한을 가집니다:
- 제품의 시장 출시 금지
- EU 시장에서의 강제 회수
- 최종 사용자로부터의 강제 리콜
- 최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% 중 높은 금액의 과징금
집행은 EU 차원에서 조율됩니다 — 한 회원국의 결정이 27개 전체에 적용됩니다.
이미 EU 시장에 출시된 제품이 있습니다. 그 제품들도 컴플라이언스를 맞춰야 합니까?
2027년 12월 이전에 EU 시장에 출시된 제품은 경과 조항의 혜택을 받습니다. 다만:
- 2027년 12월 이후에도 동일 제품을 계속 판매한다면 준수해야 합니다
- 소프트웨어 또는 펌웨어의 중요한 업데이트를 출시하면 전면 컴플라이언스 의무가 발생할 수 있습니다
- 취약점 보고 의무(2026년 9월)는 이미 사용 중인 제품에도 적용됩니다
EU 판매량이 가장 많은 제품부터 지금 바로 컴플라이언스 평가를 시작하실 것을 권장합니다.
기술 요구사항
SBOM이란 무엇이며 CRA가 이를 요구하는 이유는 무엇입니까?
SBOM(Software Bill of Materials, 소프트웨어 자재 명세서)은 오픈소스 구성요소, 서드파티 라이브러리, 그 버전 정보를 포함하여 제품에 포함된 모든 소프트웨어 구성요소, 라이브러리, 의존성의 완전한 목록입니다.
CRA는 제조사에게 다음을 요구합니다:
- 제품별 SBOM 생성 및 유지
- 각 구성요소의 알려진 취약점 추적
- 요청 시 규제 당국에 SBOM 공개
- 취약점 관리의 운영 기반으로 활용
SBOM은 각 릴리스마다 업데이트되어야 합니다. 대부분의 하드웨어 제조사는 소프트웨어 구성요소를 체계적으로 추적한 적이 없습니다. 저희는 모든 참여를 SBOM 감사로 시작합니다.
당사는 ISMS-P 인증을 보유하고 있습니다. CRA 컴플라이언스가 어느 정도 충족됩니까?
ISMS-P(KISA 발급)는 조직 정보 보안 및 개인 정보 관리를 위한 강력한 기반입니다. 다만 제품 수준의 사이버 보안 요건은 다루지 않습니다.
CRA는 사이버 보안이 제품 자체에 내재되어야 함을 요구합니다:
- 각 제품 릴리스 시 SBOM 생성
- 펌웨어 및 소프트웨어에 내재된 취약점 관리
- ENISA 보고 의무 (24시간/72시간/14일 기한)
- CRA에 따른 CE 마킹
- EU 적합성 선언
이 중 어느 것도 ISMS-P의 범위에 포함되지 않습니다.
ISMS-P는 내부 보안 관리 시스템으로 이해하십시오 — 귀사의 조직이 보안을 잘 관리한다는 것을 시장에 알립니다. CRA는 외부 제품 인증 계층입니다 — 귀사의 제품이 안전하다는 것을 시장에 알립니다.
저희는 ISMS-P가 커버하는 부분과 CRA가 추가하는 부분을 정확히 파악하는 체계적인 격차 분석을 수행합니다.
기존 개발 파이프라인에 CRA 요건을 어떻게 통합합니까?
CRA 컴플라이언스는 일회성 감사가 아닙니다 — 개발 워크플로우에 내재된 지속적인 프로세스가 필요합니다:
- SBOM 생성: 빌드 시 자동화 (CycloneDX 또는 SPDX 형식), CI/CD에 통합
- 의존성 취약점 스캐닝: NVD/GHSA/ENISA EUVD 대비 지속적 모니터링
- 취약점 선별 및 대응: 정해진 기한과 SBOM에 연결된 문서화된 프로세스
- CI 내 보안 테스트: SAST, 의존성 감사, 컨테이너 스캐닝을 파이프라인 게이트로 적용
- 릴리스 문서화: CVE 해결 기록에 연결된 자동화된 변경 이력
저희는 GitHub Actions, GitLab CI, Jenkins 또는 유사한 시스템에 이러한 워크플로우를 직접 설계하고 구현합니다. 체크리스트만 전달하지 않습니다.
취약점 보고 의무와 기한은 무엇입니까?
CRA 제14조 — 기한은 협상 불가이며, 적극적 악용 사실을 인지한 순간부터 적용됩니다:
- 24시간: 제품의 적극적으로 악용되는 취약점을 ENISA에 통보
- 72시간: 예비 평가가 포함된 초기 취약점 보고서 제출
- 14일: 상세 기술 보고서 제출
대부분의 한국 제조사는 이 기한에 맞춘 취약점 공개 프로세스가 없습니다. 이것이 가장 위험한 격차입니다. 2026년 9월 시행이 2027년 12월 CRA 전면 시행보다 먼저 도래합니다.
저희는 CVD(조율된 취약점 공개) 정책 수립, 내부 선별 프로세스 구축, 이 기한 내에 운영할 수 있도록 팀 준비를 지원합니다.
협업 방식
전담 사이버 보안 또는 컴플라이언스 팀이 없습니다. 처음부터 시작하는 기업과 어떻게 협력합니까?
일반적인 참여는 4단계로 진행됩니다:
- 평가: 현재 제품, 개발 프로세스, 기존 인증(ISMS-P, KC 마크, 해당되는 경우 IEC 62443)을 감사합니다. CRA 요건과 대조하여 우선순위가 포함된 서면 격차 분석을 작성합니다.
- 워크플로우 통합: SBOM 생성, 취약점 추적, CI/CD 파이프라인 변경을 설계하고 구현합니다 — CRA를 문서 작업이 아닌 운영 워크플로우로 전환합니다.
- 문서화 및 법무: CRA가 요구하는 기술 문서를 준비하고, 법무팀과 협력하거나(또는 협력하는 EU 변호사를 연결하며), EU 시장 요건에 맞춰 기술 문서를 번역합니다.
- 지속적인 지원: 취약점 모니터링, 연간 검토, 신제품 출시 지원, 시장 감시 문의 대응 지원.
원격으로 작업합니다. 한국 참여를 위한 시간대 친화적 일정 조율이 가능합니다.
법무 및 문서 번역 측면에서는 어떻게 지원합니까?
CRA 컴플라이언스에는 기술적인 측면과 법적인 측면이 있습니다. 대부분의 기업은 두 가지 모두 필요합니다.
저희는 제품 안전 및 CE 마킹을 전문으로 하는 EU 자격 변호사와 협력합니다. 기술적 번역(엔지니어링 현실을 변호사에게 필요한 문서로 변환)을 처리하고 양측을 조율하여, 두 개의 별도 트랙을 관리하지 않아도 됩니다.
CRA 기술 문서는 제품이 판매되는 각 EU 회원국의 공식 언어로 제공되어야 합니다. 기술 문서, 적합성 선언, 사용자용 보안 정보의 번역을 처리합니다.
또한 EU 사업장이 없는 경우 EU 공인 대리인 지정을 지원합니다 — 이는 비EU 제조사 모두에 대한 CRA 요건입니다.
CRA는 CE 마킹 및 KC 마크와 어떤 관계입니까?
CRA는 CE 마킹 요건을 대체하지 않고, 그 위에 필수 사이버 보안 의무를 추가합니다.
KC 마크 인증을 보유하고 있다면 이미 제품 인증 절차를 이해하고 있다는 의미입니다. CRA는 유사한 적합성 평가 논리를 따릅니다: 기술 문서, 적합성 선언, CE 마킹. 보안 내용은 새롭지만 프로세스 구조는 익숙합니다.
- 전파 장비 지침(RED): 제3조 3항(d)(e)(f)에 따른 사이버 보안 요건이 2025년 8월 발효. 무선 제품의 경우 RED와 CRA가 상당 부분 겹칩니다 — 단일 기술 평가로 두 가지를 모두 충족할 수 있습니다.
- 산업 및 자동차 제품에 대한 IEC 62443: CRA 부속서 I 및 기계 규정에서 참조됨.
제품이 여러 EU 규정의 적용을 받는 경우, 참여 시작 시 중복 부분을 파악하여 컴플라이언스 작업이 중복되지 않도록 합니다.