EU, 사이버 위협 관리 안한 제품은 판매 금지
앞으로 유럽연합(EU)에 수출하는 노트북, 모바일기가, 홈카메라, 냉장고, TV 등 디지털 요소가 포함된 모든 제품은 사이버 보안 위협을 관리한 후 CE인증을 받아야 한다. EU에서 사이버 보안 규제가 확대되고 있는 가운데 국내 기업이 수출 경쟁력 유지하려면 대처가 시급하다. EU 이사회는 지난 10일 역내 판매되는 디지털 제품의 사이버 보안 요구사항을 담은 사이버복원력법(Cyber Resilience Act, CRA)을 승인했다. 공급망 보안을 강화한 조치다. 앞으로 몇 주안에 EU 관보에 해당 내용이 게시되며 올해부터 효력이 발효된다. CRA에 따라 사이버 보안 관리를 하지 않은 디지털 요소가 들어간 제품은 유럽 시장 진출 필수 인증인 CE마크를 획득할 수 없다. EU에 디지털 제품을 수출하는 기업은 CRA 규정에 맞춰 소프트웨어자재명세서(SBOM)를 작성하는 것은 물론 지속적인 사이버 보안 취약점 관리를 해야 한다. 소프트웨어코드의 취약점부터 SBOM 관리는 개발과 공급망 프로세스 전반에 내재화해야 하는 과정으로 단 시간에 이뤄지지 않는다. 완제품을 수출하는 기업은 물론이고 소프트웨어나 부품을 납품하는 기업 모두 SBOM을 관리하고 취약점을 지속 관리해야 한다. 국내 기업은 법이 본격 적용되는 2027년 전까지 2~3년간 개발 프로세스 전 과정을 개선해야 한다. CRA는 디지털 제품에 대한 사이버 보안 관리를 의무화하는 세계 최초의 법안이다. 하드웨어와 소프트웨어 제품의 생애 주기 동안 필수적인 사이버 보안 요구사항을 도입하는 법안으로 노트북, 모바일 기기, 센서, 카메라, 라우터, 펌웨어, 어플리케이션, 비디오 게임, 비디오 카드, 컴퓨터 처리 장치와 같은 모든 디지털 요소가 들어간 제품에 적용된다. EU는 디지털 요소가 포함된 모든 제품의 보안 취약성을 줄이고, 제조업체, 수입업체, 유통업체가 제품의 생애 주기 동안 사이버 보안을 적절하게 관리하도록 CRA를 마련했다. 이를 통해 소비자와 기업, 공공부분에 미치는 사이버 위협을 사전에 대응할 계획이다. 기존 사이버 보안은 제품을 운영하는 쪽에서 규제를 준수했다. CRA로 제조업체까지 사이버보안 관리 주체가 확대됐다. EU 시장에 디지털 요소를 포함한 제품을 출시하는 모든 기업은 알려진 사이버 보안 취약점 수정은 물론이고 소프트웨어 업데이트 제공, 제품 감사와 인증을 받아야 한다. 유통사와 수입업체에도 같은 의무가 적용된다. 이희조 고려대 컴퓨터학과 교수는 “기업은 자체 개발 소프트웨어는 물론이고 협력 기업이 납품한 디지털 요소 등에 대해 모두 취약점을 관리하고 SBOM을 작성해야 한다"면서 “제품 개발 전 과정에서 사이버 보안을 관리하는 체계로 전환해야 한다"고 말했다. 이어 “기업은 보안을 고려한 개발프로세스(SDL), SBOM 생성 및 관리, 취약점신고관리 프로그램(vulnerability disclosure program) 구축까지 개발에서 유통, 운영단계별로 취약점관리프로그램을 수립해야 한다"면서 “프로그램을 내재화는 1~2년이 걸리는 작업으로 EU 시장에 대응하려면 지금부터 준비를 서둘러야 한다"고 말했다.
