컨설팅 서비스 · CRA 대응 4단계

EU CRA 대응 컨설팅: 4단계 진행 방식과 산출물

진단 → 워크플로 통합 → 기술 문서화 → 지속 운영. 단계별 산출물, 기존 인증 매핑, 수행하지 않는 업무, 견적 흐름을 정리합니다. 마감일과 적용 범위는 홈에 정리되어 있으니 본 페이지에서는 작업 내용에 집중합니다.

스코프 견적 요청 단계별 산출물 보기
단계별 산출물

CRA 대응의 4단계와 단계별 산출물

각 단계에서 무엇을 수행하고 무엇을 제공하는지 명시합니다. 사내 검토 자료로 그대로 사용하실 수 있습니다.

PHASE 01

진단 · 현재 상태와 CRA 요건의 차이 가시화

현재 제품, 개발 프로세스, 기존 인증을 점검하고 CRA 부속서 I과 대조하여 우선순위가 부여된 서면 갭 분석을 작성합니다.

  • CRA 스코프 노트: 제품 라인별로 CRA 제13조 의무 적용 범위와 부속서 III 분류(중요 제품 Class I·Class II·일반 제품) 문서화
  • 갭 분석: CRA 부속서 I(필수 사이버보안 요구사항)과 현재 상태의 차이를 엔지니어가 실행할 수 있는 개선 계획과 함께 제시
  • 기존 인증 매핑: ISMS-P, IEC 62443, ISO 27001, KCMVP, Common Criteria로 충족 중인 요건을 식별하여 이중 작업 방지
  • 제품 분류 판정: 제품이 부속서 III·IV 해당 여부를 판정하고 적합성 평가 경로 제시 (제품 분류 가이드)
PHASE 02

워크플로 통합 · CRA 요건을 개발 프로세스에 내재화

CRA를 문서 작성 활동이 아닌 운영 워크플로로 전환합니다. 기존 CI/CD 파이프라인에 직접 통합합니다.

  • SBOM 생성: 빌드 시 자동 생성 (CycloneDX 또는 SPDX 형식), CI/CD 통합 (GitHub Actions, GitLab CI, Jenkins 등)
  • 취약점 스캔: NVD, GHSA, ENISA EUVD를 대상으로 한 의존성 지속 스캔
  • 파이프라인 게이트: SAST, 의존성 감사, 컨테이너 스캔을 CI 게이트로 설치
  • 취약점 트리아지 프로세스: SBOM과 연동된 타임라인 정의형 대응 절차 문서화
  • 취약점 공개(CVD) 정책: 협조적 취약점 공개 정책 수립과 공개 연락 창구 정비 (security.txt · RFC 9116)
PHASE 03

기술 문서화 · EU 바이어와 시장 감시 기관이 요구하는 서류 정비

CRA 부속서 VII에 준거한 기술 문서 일체와 EU 시장 요건에 맞춘 번역을 제공합니다. 법률사무소가 아니므로 법적 자문이나 규제 해석은 제공하지 않습니다.

  • 기술 파일: CRA 부속서 VII에 준거하고 엔지니어링 책임자가 서명 가능한 문서
  • EU 적합성 선언(EU DoC): CRA 기준에 따른 선언서 초안
  • 사용자용 보안 정보: 제품이 판매되는 EU 가맹국의 공용어로 제공 필수
  • 번역 대응: 보안 리스크 평가, 시험 보고서, 취약점 관리 기록, 적합성 선언, 사용자용 보안 정보의 EU 공용어 번역
  • EU 공인대리인 선정 지원: 공인대리인 후보 비교와 계약서 검토 지원 (역할 자체는 직접 수행하지 않습니다. 아래 §대상 외 참조)
  • 법무 연계: 사내 법무팀 또는 외부 변호사가 판단에 활용할 수 있는 형태로 기술 내용 정리
PHASE 04

지속 운영 지원 · 제품 라이프사이클(최소 5년) 동반

CRA는 일회성 감사가 아닙니다. 제품 수명 전 기간(최소 5년)에 걸친 보안 대응이 의무화되어 있습니다.

  • CVE 모니터링: 출하된 제품 구성 요소에 영향을 주는 신규 CVE 지속 감시
  • 제14조 신고 운영: 악용 취약점과 심각 사고의 ENISA 신고(24시간·72시간·14일) 운영 지원과 템플릿 제공
  • 연 단위 재검토: CRA 부속서 I 요구사항의 변화에 맞춘 정기 재검토
  • 신제품 출시 지원: 신제품 투입 시 재스코핑과 문서 추가
  • 시장 감시 기관 대응: EU 가맹국 시장 감시 기관의 문의와 요청 대응 지원
기존 인증 매핑

한국 인증에서 CRA까지의 갭: 무엇이 재활용되고 무엇이 신규인가

한국 제조업체가 보유한 인증은 CRA 요구사항의 일부를 커버합니다. 기존 인증을 출발점으로 갭을 식별하여 이중 작업을 줄입니다. KISA ISMS-P 자료는 거버넌스 기반 인증의 기준점입니다.

ISMS-P
거버넌스 기반으로 활용

KISA 정보보호·개인정보보호 관리체계 인증. 조직 레벨 거버넌스와 리스크 관리 프로세스를 제공하지만 제품 레벨 CRA 요구사항(SBOM, 기술 파일, EU 적합성 선언, 24시간 신고)은 범위 외. 접근 통제·로그·취약점 관리 증빙 일부 재활용. ISMS-P · CRA 매핑.

IEC 62443-4-1
CRA 부속서 I 제2부에 직접 매핑

보안 개발 라이프사이클(SDL)이 CRA 인증 매핑 중 가장 직접적입니다. 62443-4-1 보유 시 SDL 작업의 상당 부분 재활용 가능.

IEC 62443-2-1
조직 보안 관리

조직 차원의 보안 관리 영역을 커버하여 CRA 거버넌스 요구사항에 매핑. 제품 레벨 기술 요구사항(SBOM, 취약점 신고)은 별도 대응 필요.

ISO/IEC 27001
거버넌스 기반

조직 정보보호 관리 기반을 제공하지만 제품 레벨 CRA 요구사항은 범위 외. 조직 측 CRA 대응의 출발점.

KCMVP
암호모듈 부분만

국가용 암호모듈 검증제도. CRA 암호 요구사항에 부분 대응하지만 제품 전체 관점에서 커버리지는 제한적.

Common Criteria (CC)
특정 시점 평가

제품 보안을 특정 시점에 평가. CRA의 지속 운영 의무(CVE 모니터링, 5년 보안 지원, 24시간 신고)와는 범위가 다릅니다.

KISA SW 공급망 보안 가이드라인
SBOM·공급망 부분과 중첩

가이드라인 1.0의 SBOM·공급망 프로세스가 CRA 부속서 I 공급망 요구사항과 일부 겹칩니다. 중소기업은 KISA의 SW 공급망 보안 지원 사업 수혜 가능성을 먼저 점검하시기 바랍니다.

대상 외

수행하지 않는 업무

의뢰처 판단을 명확히 하기 위해 범위 외 업무를 먼저 명시합니다. 이 업무가 필요한 경우 별도 전문 기관에 의뢰해야 합니다.

인증기관 (Notified Body) 업무

CRA 제32조에 따른 적합성 평가(제3자 평가)는 수행하지 않습니다. 제품이 인증기관 평가를 요하는 경우(중요 제품 Class II 등) AENOR, Applus 등 스페인 소재 EU 인증기관을 비교 관점과 함께 소개하고 선정을 지원합니다.

법률사무소 업무

법적 자문, 규제 해석, 계약서 검토, 소송 대응은 제공하지 않습니다. 법무 영역은 사내 법무팀 또는 외부 변호사에 의뢰하시기 바랍니다. 변호사 사무소 선정의 논점 정리와 후보 비교 관점은 제공합니다.

EU 공인대리인 (Authorised Representative)

CRA 제18조 EU 공인대리인 역할은 직접 수행하지 않습니다. 공인대리인 선정 지원(후보 비교, 계약서 검토 관점)을 제공합니다.

진행 흐름

문의부터 컨설팅 개시까지

사내 품의를 거쳐 컨설팅 개시까지의 전 과정을 고객사 측 작업 내용과 함께 명시합니다.

STEP 01

문의

무료 45분 진단을 신청합니다. 사전 NDA 체결은 불필요합니다.

고객사: 대상 제품, 현재 인증 보유 현황, 사내 검토 현황 공유

STEP 02

무료 45분 진단

전화 또는 화상 회의로 제품의 CRA 분류, 주요 갭, 예상 스코프를 확인합니다.

저희: 회의 후 48시간 이내 서면 갭 요약과 스코프·견적 제안 제출

STEP 03

사내 검토

제안 자료는 인쇄·PDF·사내 공유가 가능한 형태로 전달합니다. 사내 품의를 위한 보충 질의에도 대응합니다.

고객사: 사내 관계자 합의 형성, 추가 질의 정리

STEP 04

컨설팅 개시

계약 체결 후 4단계 컨설팅을 개시합니다. 최초 산출물(갭 분석)은 2~4주 내 납품.

고객사: 엔지니어링 담당자와 창구 담당자 지정, 현재 자료 공유

비용

스코프 별 개별 견적

가격표는 공개하지 않습니다

컨설팅 형태는 고객사의 CRA상 역할(제조업체·수입업체·유통업체), 대상 제품의 기술적 복잡도, 제품 라인 수, 현재 준비 상태에 따라 크게 달라집니다. 임베디드 제품 1종과 SKU 12종은 완전히 다른 스코프입니다.

구체적인 금액은 무료 45분 진단 후 48시간 이내에 스코프·산출물·기간·가격이 담긴 서면 제안으로 전달합니다.

회사 정보

CRA Evidence 소개

CRA 전문 컨설팅 기업으로 2026년 설립

Senda Tech Solutions S.L.은 EU(스페인·오비에도)에 소재한 독립 컨설팅 기업입니다. EU 사이버복원력법 대응에 특화되어 있으며 범용 컨설팅을 병행하지 않습니다.

운영 법인
Senda Tech Solutions S.L.
소재지
Oviedo, Asturias, Spain (EU 역내)
설립 연도
2026년
전문 분야
사이버복원력법 (CRA · EU 규정 2024/2847) 대응
진행 방식
원격 (화상 회의, 이메일, 공유 문서)
대응 언어
한국어, 영어, 스페인어
컨설팅 진행 FAQ

컨설팅 진행에 관한 질문

규제 자체에 관한 Q&A는 한국 제조업체 FAQ에 정리되어 있습니다. 본 섹션은 저희와 일하는 방식에 관한 질문만 다룹니다.

NDA는 어느 단계에서 체결합니까?

무료 45분 진단까지는 NDA 없이 일반적인 갭 검토와 스코프 협의만 진행합니다. 구체적인 제품 자료(설계서, 코드, 시험 보고서) 검토가 필요한 단계부터 NDA를 체결하고, 양측 표준 서식 중 합의된 것을 사용합니다.

기존 거래 중인 법무법인이나 컨설팅사와 병행 가능합니까?

가능합니다. 저희는 법무가 아닌 기술·문서화 영역을 담당하므로, 법무법인의 규제 해석·계약 자문과 자연스럽게 보완됩니다. 일반 IT 컨설팅사와의 병행은 작업 분장이 명확한 경우에 한해 진행합니다(중복 산출물을 만들지 않기 위함).

한국어로 진행 가능합니까? 시간대 차이는 어떻게 처리합니까?

대응 언어는 한국어·영어·스페인어입니다. 한국 시간 오전 회의(스페인 자정 ~ 새벽)는 일반적으로 어렵고, 한국 시간 오후 4시 이후(스페인 오전 9시 이후)가 정기 회의 시간대로 적합합니다. 비동기 문서 검토는 시간대 영향이 없습니다.

최초 갭 분석까지 얼마나 걸립니까?

계약 체결 후 2~4주가 표준입니다. 제품 라인 수, 기존 자료 정비 상태, 사내 인터뷰 가능 일정에 따라 달라집니다. 진단 단계의 서면 제안서에 일정과 마일스톤이 포함됩니다.

계약 종료 후에도 운영 단계 지원이 가능합니까?

예. Phase 04(지속 운영 지원)는 연 단위 리테이너 형태로 별도 계약합니다. CVE 모니터링, ENISA 신고 운영 백업, 신제품 출시 시 재스코핑이 포함됩니다. Phase 01~03 계약과 동시 또는 후속으로 체결할 수 있습니다.

스코프와 견적을 서면으로 받아보십시오

무료 45분 진단 후 48시간 이내에 스코프·산출물·기간·가격이 담긴 제안서를 보내드립니다.

스코프 견적 요청