TL;DR
본 용어집은 EU 사이버 복원력법(CRA)의 핵심 용어를 다룹니다: 소프트웨어 부품표(SBOM), CycloneDX, SPDX, 취약점 익스플로잇 가능성 교환(VEX), 취약점 지식 베이스(VKB), CSAF, CVE, EPSS, KEV, TR-03183, ENISA 보고, CE 마킹, 조화 표준, 인증 기관(Notified Body), 위험 평가, 기술 문서 요건 및 적합성 평가. 2027년 12월 기한 전에 CRA 컴플라이언스를 준비할 때 본 참고 자료를 활용하십시오.
CRA 컴플라이언스 용어집
EU 사이버 복원력법, 소프트웨어 공급망 보안 표준 및 컴플라이언스 요건을 이해하기 위한 필수 용어입니다.
A
부속서 VII
CRA 부속서 VII는 디지털 요소 제품에 대해 제조업자가 작성해야 하는 EU 적합성 선언의 최소 기재 사항을 규정합니다. 제품 식별 정보, 제조업자 세부 사항, 적용 표준 및 공인 대리인의 서명이 포함됩니다.
제13조 - 제조업자의 의무
CRA 제13조는 제조업자의 핵심 의무를 규정합니다: 보안 설계, SBOM 유지 관리, 취약점 대응, 제품 수명 주기 전반에 걸친 보안 업데이트 제공, 기술 문서의 최소 10년간 보관.
제14조 - 보고 의무
CRA 제14조는 제조업자에게 적극적으로 악용되는 취약점을 24시간 이내(조기 경보), 72시간 이내(상세 보고서), 14일 이내(최종 보고서)에 ENISA에 보고할 것을 의무화합니다. 심각한 인시던트도 동일한 패턴을 따르지만 최종 보고서 기한은 30일입니다.
C
CE 마킹
EU 법령 준수를 나타내는 유럽 적합 마크입니다. CRA에 따라 디지털 요소 제품은 EU 시장에서 합법적으로 판매하기 위해 CE 마킹을 부착해야 합니다. 적합성 평가 완료 및 EU 적합성 선언이 필요합니다.
적합성 평가
제품이 CRA의 필수 사이버 보안 요건을 충족하는지 검증하는 프로세스입니다. 기본 범주 제품는 자체 평가(모듈 A)를 사용할 수 있으나, 중요 클래스 I, 클래스 II 및 중요 제품(크리티컬)는 인증 기관(Notified Body)의 제3자 평가가 필요합니다.
CRA - 사이버 복원력법(CRA)
유럽연합에서 판매되는 디지털 요소 제품(PDE)에 대해 강제적인 사이버 보안 요건을 규정하는 EU 규정 2024/2847입니다. 2024년 12월 10일 발효. 주요 의무는 2027년 12월 11일부터 적용됩니다. 네트워크 연결이 있는 하드웨어 및 소프트웨어 제품을 대상으로 합니다.
CSAF - 공통 보안 권고 프레임워크
기계 가독형 보안 권고의 OASIS 표준입니다. 취약점 공개의 자동화된 처리를 가능하게 합니다. CRA 요건에 따른 협조적 취약점 공개(CVD) 및 ENISA 보고에 활용됩니다.
CSIRT - 컴퓨터 보안 침해 사고 대응팀
CRA 제14조에 따라 제조업자가 적극적으로 악용되는 취약점 및 중대 인시던트를 통보해야 하는 지정 사이버 보안 기관으로, EU 차원의 취약점 대응에서 ENISA와 협력합니다.
CVD - 협조적 취약점 공개
공개 발표 전에 보안 취약점을 책임감 있게 벤더에게 공개하는 프로세스입니다. CRA 제13조 제8항은 제조업자에게 보안 연락처 정보를 포함한 CVD 정책을 수립하고 공개할 것을 의무화합니다.
CVE - 공통 취약점 및 노출
공개적으로 알려진 사이버 보안 취약점의 표준화된 식별자입니다(예: CVE-2024-12345). MITRE Corporation이 관리합니다. 취약점 추적, 공개 및 보완 조정을 위해 전 세계적으로 사용됩니다.
CVSS - 공통 취약점 평가 시스템
취약점 심각도를 0~10 척도로 평가하는 업계 표준입니다. CVSS 4.0이 최신 버전입니다. 기본, 시간적, 환경적 지표를 제공합니다. 긴급(9.0~10.0), 높음(7.0~8.9), 보통(4.0~6.9), 낮음(0.1~3.9).
CycloneDX
소프트웨어 부품표(SBOM) 및 관련 산출물을 작성하기 위한 OWASP 표준입니다. SBOM, VEX, HBOM, SaaSBOM 등을 지원합니다. 버전 1.5 이상 권장. BSI TR-03183에서 CRA 준수를 위한 권장 형식으로 참조됩니다.
중요 제품(크리티컬) — CRA 부속서 IV
다른 제품, 네트워크 또는 서비스를 위해 필수 사이버 보안 기능을 수행하는 디지털 요소 제품입니다. CRA 부속서 IV에 열거되어 있으며, 하드웨어 보안 모듈(HSM), 스마트카드 리더, 보안 요소, 보안 박스가 있는 하드웨어 장치 등이 포함됩니다. 중요 제품(크리티컬)은 적용 가능한 체계 하의 유럽 사이버 보안 인증 또는 해당 체계가 없는 경우 인증 기관(Notified Body)의 제3자 적합성 평가가 필요합니다.
D
기본 제품 범주
CRA 부속서 III 및 IV에서 정의된 중요 또는 크리티컬 범주에 해당하지 않는 디지털 요소 제품입니다. 기본 범주 제품은 제3자 관여 없이 CRA 부속서 VIII에 따른 제조업자의 내부 통제(자체 평가)를 통해 적합성 평가를 받을 수 있습니다. 소비자용 및 상업용 소프트웨어와 하드웨어의 대부분이 이에 해당합니다.
유통업자
제조업자 또는 수입업자 이외에 디지털 요소 제품을 EU 시장에서 이용 가능하게 하는 공급망 내 사업자입니다. 판매업자는 제품을 유통하기 전에 CE 마킹이 부착되어 있고 EU 적합성 선언이 첨부되어 있는지 확인해야 합니다. 판매업자가 제품을 수정한 경우 CRA에 따라 제조업자가 됩니다.
E
ENISA - EU 사이버 보안 기관
사이버 보안 정책 및 인시던트 조정을 담당하는 EU 기관입니다. CRA에 따라 제조업자는 적극적으로 악용되는 취약점을 24시간 이내에, 심각한 인시던트를 72시간 이내에 ENISA에 보고해야 합니다. 보고 의무는 2026년 9월 11일부터 시작됩니다.
EPSS - 악용 예측 점수 시스템
취약점이 향후 30일 이내에 실제로 악용될 확률(0~100%)을 추정하는 FIRST.org 모델입니다. CVSS와 함께 위험 기반 취약점 우선순위 결정에 활용됩니다. EPSS가 높을수록 보완 조치 우선순위가 높습니다.
EU 적합성 선언
제품이 CRA를 포함한 관련 EU 법령을 준수함을 표명하는 공식 문서입니다. 제조업자 또는 공인 대리인이 서명해야 합니다. CE 마킹에 필요합니다. 적용되는 조화 표준을 참조해야 합니다.
H
HBOM - 하드웨어 부품표
프로세서, 메모리, 집적 회로 및 펌웨어를 포함한 제품 내 하드웨어 구성 요소의 기계 가독형 목록입니다. 완전한 제품 투명성을 위해 SBOM을 보완합니다. CycloneDX는 HBOM 형식을 지원합니다.
조화 표준
공인 표준화 기관(CEN, CENELEC, ETSI)이 채택하고 EU 관보에서 참조되는 유럽 표준입니다. 조화 표준을 준수하는 제품은 해당 CRA 필수 요건에 대한 적합성 추정의 혜택을 받아 적합성 평가가 간소화됩니다.
I
수입업자
EU 외부 제조업자의 디지털 요소 제품을 유럽 시장에 유통시키는 EU 설립 사업자입니다. 수입업자는 제조업자가 적합성 평가를 수행하고, CE 마킹이 적용되며, 기술 문서가 이용 가능한지 확인해야 합니다. 부적합 제품에 대해 연대 책임을 집니다.
중요 제품 클래스 I — CRA 부속서 III 제I부
사이버 보안 관련 기능을 수행하거나 높은 위험을 수반하는 디지털 요소 제품입니다. 클래스 I에는 ID 관리 시스템, VPN, 네트워크 관리 도구, SIEM 시스템, 부트 관리자, CRA 부속서 III 제I부에 열거된 기타 범주가 포함됩니다. 제조업자는 모든 필수 요건을 포괄하는 조화 표준을 적용(자체 평가 가능)하거나 인증 기관(Notified Body)의 제3자 적합성 평가를 받아야 합니다.
중요 제품 클래스 II — CRA 부속서 III 제II부
중요한 사이버 보안 기능을 수행하고 중대한 위험을 수반하는 디지털 요소 제품입니다. 클래스 II에는 운영 체제, 하이퍼바이저, 방화벽, 침입 탐지 시스템, 마이크로컨트롤러, 산업용 자동화 시스템, CRA 부속서 III 제II부에 열거된 기타 범주가 포함됩니다. 조화 표준의 존재 여부와 관계없이 항상 인증 기관(Notified Body)의 제3자 적합성 평가가 필요합니다.
K
KEV - 알려진 악용 취약점
실제 환경에서 적극적으로 악용되는 취약점의 CISA 권위 있는 카탈로그입니다. 확인된 실제 위협을 나타내므로 보완 조치의 최우선 순위입니다. 연방 기관은 지정된 기간 내에 KEV 취약점을 보완해야 합니다.
M
제조업자
디지털 요소 제품을 개발 또는 생산하여 자사 명칭이나 상표로 EU 시장에 출시하는 사업자입니다. 제조업자는 CRA의 주요 의무를 부담합니다: 위험 평가 실시, SBOM 유지 관리, 취약점 대응, 최소 5년간 보안 업데이트 제공, 악용된 취약점의 ENISA 보고.
N
NVD - 국가 취약점 데이터베이스
NIST가 관리하는 미국 정부의 취약점 데이터 저장소입니다. CVE 식별자를 기반으로 합니다. CVSS 점수, CPE(영향 제품) 정보, CWE 분류 및 보완 지침을 제공합니다.
인증 기관(Notified Body)
제품이 규제 요건을 충족하는지 평가하기 위해 EU 회원국이 지정한 독립적인 적합성 평가 기관입니다. CRA 부속서 III 및 IV에 따른 중요 클래스 I, 클래스 II 및 중요 제품(크리티컬)의 제3자 적합성 평가에 필요합니다.
O
OSV.dev - 오픈 소스 취약점 데이터베이스
Google이 유지 관리하는 오픈 소스 취약점 데이터베이스입니다. GitHub(GHSA), Go, Rust, PyPI 등 15개 이상의 에코시스템의 보안 권고를 단일 조회 가능한 API로 집계합니다. CRA Evidence는 NVD와 함께 보조 취약점 출처로 OSV.dev를 활용하여 에코시스템별 데이터베이스가 CVE ID를 부여받기 전에 추적하는 권고를 포착합니다.
P
디지털 요소 제품 - 디지털 요소 제품
다른 장치 또는 네트워크에 직접 또는 간접적으로 연결되는 모든 소프트웨어 또는 하드웨어 제품입니다. CRA 규정의 핵심 적용 범위입니다. IoT 장치, 산업 장비, 소비자 전자 제품 및 독립형 소프트웨어가 포함됩니다.
PURL - 패키지 URL
에코시스템 전반에 걸쳐 소프트웨어 패키지를 식별하기 위한 표준화된 형식입니다(예: pkg:npm/lodash@4.17.21). SBOM에서 구성 요소를 고유하게 식별하는 데 사용됩니다. 자동화된 취약점 매칭 및 라이선스 컴플라이언스를 지원합니다.
R
RDPS - 원격 데이터 처리 솔루션
디지털 요소 제품의 일부로 원격에서 데이터를 처리하는 클라우드 또는 SaaS 기능입니다. 세 가지 기준을 충족하는 경우 해당 제품의 CRA 적합성 평가 범위에 포함됩니다: 데이터가 '원격'으로 처리되고, 제품은 이 기능 없이 핵심 기능을 상실하며, 제조업자가 설계하거나 책임을 집니다. 이 기준을 충족하지 않는 제3자 SaaS도 제13조 제5항의 실사에 따라 구성 요소로 취급해야 합니다.
위험 평가
디지털 요소 제품과 관련된 사이버 보안 위험을 식별, 분석 및 평가하는 체계적인 프로세스입니다. CRA 제13조 제2항에서 요구하며 기술 문서에 기재해야 합니다. 제품 수명 주기 전반에 걸쳐 위협, 취약점, 잠재적 영향 및 위험 완화 조치를 다룹니다.
S
SBOM - 소프트웨어 부품표(SBOM)
버전, 라이선스 및 관계를 포함한 소프트웨어 구성 요소와 의존성의 공식적인 기계 가독형 목록입니다. 취약점 관리 및 공급망 투명성을 위해 CRA 제13조 제4항에서 요구합니다. CycloneDX 또는 SPDX 형식으로 작성할 수 있습니다.
SPDX - 소프트웨어 패키지 데이터 교환
소프트웨어 부품표(SBOM) 정보를 전달하기 위한 ISO/IEC 5962:2021 표준입니다. Linux Foundation이 개발했습니다. 라이선스 컴플라이언스 및 취약점 추적에 널리 사용됩니다. CRA 준수에는 버전 2.2.1 이상 권장.
T
기술 문서
CRA 준수를 증명하는 완전한 문서 패키지입니다. 위험 평가, SBOM, 보안 설계 문서, 취약점 처리 절차, 테스트 결과 및 EU 적합성 선언이 포함됩니다. 10년 또는 제품 수명(더 긴 쪽) 동안 보관해야 합니다.
TR-03183
SBOM 작성 및 관리에 관한 상세한 요건을 제공하는 독일 BSI(연방 정보 보안청) 기술 지침입니다. CRA 제13조 준수를 위한 모범 사례로 널리 참조됩니다. 최소 SBOM 필드, 형식 및 업데이트 요건을 규정합니다.
V
VKB - 취약점 지식 베이스(VKB)
NVD/cvelistV5, OSV.dev, GitHub Advisories, CISA KEV, EPSS 등 여러 출처의 권고를 단일 조회 가능한 지식 베이스로 집계하는 지속적으로 업데이트되는 취약점 데이터베이스입니다. 단일 출처에 대해 온디맨드로 의존성을 스캔하는 대신, 취약점 지식 베이스(VKB)는 알려진 모든 취약점의 로컬 미러를 유지하고 새로운 CVE가 게시될 때마다 소프트웨어 구성 요소와 대조합니다. 이를 통해 탐지 지연 시간이 수 시간 또는 수 일에서 수 분으로 단축되고, 여러 출처의 교차 참조를 통해 누락된 권고의 위험이 낮아집니다.
VEX - 취약점 익스플로잇 가능성 교환(VEX)
특정 제품의 취약점 악용 가능성 상태를 전달하는 문서입니다. CVE가 해당 제품에 영향을 미치는지 여부를 명시합니다(영향 있음, 영향 없음, 수정됨, 조사 중). 하위 사용자가 오탐으로 인한 경보 피로를 줄이는 데 도움을 줍니다.