“보안 성적표 없으면 유럽 수출 길 막힌다”... EU CRA발 과징금 비상

유럽 시장 진출을 준비 중인 국내 가전업체 A사는 최근 비상이 걸렸다. 2024년 12월 발효된 유럽연합(EU) ‘사이버 복원력 법안(CRA·Cyber Resilience Act)’의 본격 적용 시기가 다가오면서, 소프트웨어를 탑재한 제품 전반에 새로운 보안 의무가 부과되기 때문이다. 보안 요건을 충족하지 못하면 전 세계 매출의 일정 비율에 달하는 과징금을 물거나, 극단적으로는 유럽 시장에서 퇴출될 수 있다는 경고등이 켜졌다.

ICT 전문기업 쿠도커뮤니케이션과 글로벌 애플리케이션 보안 기업 블랙덕(Black Duck)은 13일 서울에서 기자간담회를 열고 EU CRA 시행에 따른 국내 기업의 대응 전략을 제시했다. CRA는 올해 9월을 전후해 취약점 관리 의무화 등 핵심 조항이 단계적으로 집행될 예정이다.

SBOM은 기본…“다층적 검증 없으면 유럽 문턱 못 넘는다”
발표자로 나선 팀 맥키(Tim Mackey) 블랙덕 소프트웨어 공급망 위협 전략 부문 총괄은 소프트웨어 명세서(SBOM·Software Bill of Materials) 확보만으로는 규제 대응에 한계가 있다고 지적했다. 팀 맥키 총괄은 “CRA는 제품 전체 수명주기에 걸쳐 제조사가 보안 의지를 입증할 것을 요구한다”며 “단순한 구성 요소 목록인 SBOM을 넘어, 실제 취약점 제거와 관리 체계를 갖추는 것이 핵심”이라고 강조했다.

CRA의 요구 수준은 ‘제3자 취약점 제로(Zero)’와 ‘기본 보안(Security by Default)’로 요약된다. 이를 충족하기 위해 제조사는 ▲SCA(소프트웨어 구성 분석)를 통한 외부 구성요소·오픈소스 리스크 관리 ▲정적 분석(Coverity)을 활용한 자사 코드 보안 강화 및 안전한 API·데이터 처리 구현 ▲퍼징 테스트(Defensics)를 통한 프로토콜 수준의 검증과 악조건에서의 동작 점검을 병행해야 한다는 설명이다.

특히 오는 9월 이후에는 보안 취약점이 발견될 경우 일정 기한 안에 유럽 취약점 데이터베이스(EUVD) 등 지정 채널에 신속 보고해야 하는 의무가 부과될 전망이다. 단순히 패치를 내는 것에서 끝나는 것이 아니라, 취약점 공개·조치·커뮤니케이션까지 포함한 일련의 프로세스를 갖춘 기업만이 규제 리스크를 통제할 수 있다는 메시지다.

매출 연동 과징금 리스크…“보안이 곧 수출 경쟁력”
규제 위반에 따른 대가는 가볍지 않다. CRA는 적합성 위반, 허위 진술 등 위반 유형에 따라 전 세계 매출액의 일정 비율을 상한으로 하는 과징금 부과를 규정하고 있다. 일부 법률·해설 자료에서는 일반 위반 시 최대 수% 수준의 과징금이 거론되며, 반복 위반이나 중대한 허위 진술의 경우 더 엄격한 제재가 뒤따를 수 있다고 설명한다.

가장 강력한 제재는 EU 공동시장 접근 제한이다. 제품이 어디에서 개발·생산됐는지, 본사가 어느 국가에 있는지와 관계없이, EU·EEA 내에서 판매되는 모든 소프트웨어 탑재 제품이 CRA 적용 대상이다. 글로벌 매출 비중에서 유럽 비중이 크지 않은 기업이라도, 향후 시장 확대 가능성을 고려하면 무시하기 어려운 요인이다.

적합성 평가는 위험 분류에 따라 세 가지 방식으로 이뤄진다. 제조사가 내부 통제에 기반해 자체적으로 적합성을 선언하는 모듈 A, 제3자 인증기관(Notified Body)이 설계·개발을 심사하는 모듈 B+C(EU형식시험), 품질경영시스템 전반을 인증기관이 평가하는 모듈 H(전체 품질보증)다. 어떤 방식을 적용하든 최종적으로는 ‘CE(Conformité Européenne) 마킹’을 획득해야만 유럽 시장 판매가 가능하다.

팀 맥키 총괄은 “자동차 산업이 차량 내 소프트웨어부터 제조, 클라우드, 네트워크 인프라 전반에 걸쳐 보안 생태계를 구축한 것처럼, 소프트웨어를 포함하는 모든 제조사는 보안을 개발 프로세스에 내재화해야 한다”며 “규제를 단순 비용 요인이 아니라, 제품 신뢰성을 입증하는 전략적 기회로 봐야 한다”고 말했다.

공급망 투명성이 승부처…SBOM 이후 과제
블랙덕은 약 25년에 걸친 오픈소스 관리 경험을 바탕으로, 파이프라인 보안과 SBOM 관리를 통합한 소프트웨어 공급망 보안 솔루션을 제공하고 있다. 개발 단계에서부터 빌드·배포 파이프라인을 관통하는 보안 검증을 적용해, 악성 코드와 취약점을 조기에 발견·차단하는 것이 목표다.

CRA 대응과 관련해 블랙덕은 SBOM 생성·관리뿐 아니라, 취약점 공개 보고서(VDR), 취약점 익스플로잇 가능성 보고서(VEX), 적합성 진술서 등 주요 문서를 일관된 형식으로 생성·추적할 수 있는 체계를 제안한다. SBOM을 통해 구성 요소를 투명하게 공개하는 것을 넘어, “어떤 취약점이 어디에 있고, 실제로 악용 가능한지, 어떤 조치를 했는지”까지 설명 가능한 상태를 만드는 것이 핵심이라는 의미다.

김철봉 쿠도커뮤니케이션 부사장은 “글로벌 규제 환경 변화는 국내 수출 기업에 직접적인 영향을 미칠 수밖에 없다”며 “CRA, NIS2 등 유럽 규제를 시작으로 각국의 소프트웨어 공급망 규제가 확산될 가능성을 고려하면, 선제적으로 규제 대응 체계를 갖춰 두는 것이 결국 수출 경쟁력을 지키는 길”이라고 말했다. 산업계에서는 CRA 시행이 국내 소프트웨어 공급망 보안 수준을 글로벌 규제 기준에 맞추는 계기가 될 수 있을 것으로 보고 있다.