"EU, 보안 취약점 관리 9월부터 의무화...S-BOM만으론 안돼"
유럽연합(EU)이 사이버복원력 법안(CRA,Cyber Resilience Act) 시행을 본격화하면서 소프트웨어 공급망 보안과 이에 대한 대응책에 기업들의 관심도 높아지고 있다. EU CRA는 2024년 12월 10일부로 공식 발효됐다. 세부 이행 요건은 2025년 12월 공표했다. 취약점 관리 의무는 올 9월부터 적용한다. 전체 적합성 요건에 대한 단계적 집행은 2026년 9월~2027년 12월에 걸쳐 이뤄질 예정이다. CRA는 유럽 시장에서 판매하는 모든 '디지털 요소를 가진 제품(products with digital elements)'에 대해 기본적인 사이버보안 요구사항을 의무화한 법이다. 유럽에서 소프트웨어·하드웨어·IoT 기기·산업제어 시스템·클라우드 연동 제품 등을 판매하려면 처음부터 보안을 고려해 설계하고, 취약점 관리와 보안 업데이트까지 지속적으로 제공해야 한다. CRA는 단순한 권고안이 아니라 '제품 판매 조건'에 가까운 규제다. 제조사는 제품 출시 전에 보안 위험을 평가해야 하며, 안전한 기본 설정(secure by default), 취약점 공개 정책, SBOM(소프트웨어 자재명세서), 보안 업데이트 체계 등을 갖춰야 한다. 또한 실제 공격에 악용되는 취약점이 발견되면 EU 사이버보안 기관인 ENISA에 일정 시간 내 보고해야 한다. 이를 지키지 않으면 최대 1500만 유로 또는 글로벌 연매출 2.5% 수준까지 과징금이 부과될 수 있다. 이러한 흐름 속에서 ICT 전문기업 쿠도커뮤니케이션은 AI 기반 애플리케이션 보안 분야의 글로벌 리더 '블랙덕(Black Duck)'과 함께 13일 기자간담회를 열고, SBOM(Software Bill of Materials)을 기반으로 하되 이를 넘어서는 확장 가능한 소프트웨어 공급망 보안 전략과 EU CRA 취약점 요구사항 충족 방안을 제시했다. 이번 행사에는 블랙덕의 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄(Head of Software Supply Chain Risk Strategy)가 방한해 직접 발표를 진행했다. 맥키는 소프트웨어 공급망 보안 분야의 글로벌 전문가다. RSA, Black Hat, Open Source Summit, KubeCon 등 주요 국제 컨퍼런스에서 발표를 했다. EU CRA를 포함한 글로벌 소프트웨어 보증 활동에 직접 참여하고 있다. 그는 EU CRA의 핵심 요구사항으로 ▲소프트웨어 구성 요소에 대한 투명성 확보 ▲취약점 관리 및 대응 체계 구축 ▲지속적인 보안 관리 체계 등을 제시, 이를 위한 핵심 수단으로 SBOM의 중요성을 강조하면서도, SBOM만으로는 CRA 요구사항을 완전히 충족할 수 없다고 밝혔다. CRA가 제시하는 기대 수준은 ▲제3자 취약점 제로(Zero) ▲기본 보안(Security by Default) ▲취약점 신속 보고 ▲테스트 의사결정 기록 관리 ▲강력한 오픈소스 거버넌스 ▲적합성 진술서(Conformity Statement) 확보 등이다. 맥키는 "EU CRA는 단순히 규제를 넘어 애플리케이션 및 운영 사이버보안 관행의 기준선이자, 제조사가 제품 전체 수명주기에 걸쳐 잘 설계되고 안전한 소프트웨어를 생산하겠다는 의지를 명확히 입증하는 수단으로 기능한다"고 설명했다. 이어 "포괄적인 취약점 및 리스크 관리 프로그램 일환으로 활용될 때, SBOM은 공급망 파트너 간 신뢰를 전달하는 역할을 한다"고 강조했다. 그는 또 CRA 준수를 위해서는 단순 SBOM 생성 이상의 다층적 접근이 필요하다고 설명했다. 구체적으로 △SCA(소프트웨어 구성 분석)를 통한 제3자 리스크 관리 및 취약점 매핑 △정적 분석(Coverity)을 통한 자사 코드 취약점 제거 및 안전한 API·데이터 처리 구현 △퍼징 테스트(Defensics)를 통한 프로토콜 수준의 공급망 검증 및 악조건 내 제품 동작 확인이 모두 요구된다. CRA는 올 9월부터 적용하는 취약점 공개 의무도 포함하며, 이는 유럽 취약점 데이터베이스(EUVD)를 포함한 다수 채널에 대한 보고를 의무화한다. 이어 “특히 글로벌 시장을 대상으로 서비스를 제공하는 기업의 경우, EU CRA 대응은 선택이 아닌 필수 요소가 될 것”이라고 덧붙였다. 한편 CRA는 EU/EEA 내 판매 여부를 기준으로 적용하며, 제품의 개발·생산·본사 소재지와는 무관하다. 이는 EU 시장에 소프트웨어 포함 제품을 판매하는 국내 기업에도 동일하게 적용된다는 점에서, 적극적인 선제 대응이 요구된다. 위반 시에는 허위 진술에 대해 전 세계 매출의 2.5%, 일반 적합성 위반에 대해 4%에 달하는 과징금이 부과될 수 있다. EU 공동시장 접근권 박탈이라는 최대 제재도 규정돼 있다. CRA 적합성 평가는 크게 세 가지 방식으로 구분된다. 제조사가 자체적으로 검증·선언하는 모듈 A(내부 통제 기반), 제3자 인증기관(Notified Body)이 설계 및 개발을 심사하는 모듈 B+C(EU형식 시험), 품질경영시스템 전반을 인증기관이 평가하는 모듈 H(전체 품질보증)가 있으며, 제품 유형 및 위험 분류에 따라 적절한 방식을 적용한다. 모든 방식에서 CE 마킹 획득이 최종 요건으로 명시되어 있다. 맥키는 “규제를 단순히 비용 요인으로 볼 것이 아니라 전략적 기회로 접근해야 한다. 자동차 산업이 차량 내 소프트웨어, 제조, 클라우드, 네트워크 인프라 전반에 걸쳐 보안 생태계를 구축한 것처럼, 소프트웨어를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 한다"고 말했다. 블랙덕은 오픈소스 소프트웨어 보안 및 관리 분야에서 약 25년에 가까운 경험을 바탕으로, SBOM 생성 및 관리, 취약점 분석, 오픈소스 컴포넌트 상태 관리 등 소프트웨어 공급망 전반에 대한 가시성과 통제 기능을 제공하고 있다. EU CRA 대응을 위한 블랙덕의 통합 접근법은 ▲파이프라인 보안(Pipeline Security)을 통한 빌드 워크플로우 리스크 제거 ▲SCA를 통한 소프트웨어 공급망 가시성·통제 확보 ▲악성 코드 및 취약점 탐지 ▲SBOM 관리를 통한 업스트림·다운스트림 공급망 투명성 강화로 구성된다. 이를 통해 기업은 SBOM, VDR(취약점 공개 보고서), VEX(취약점 익스플로잇 가능성 보고서), 적합성 진술서 등 CRA가 요구하는 핵심 문서를 체계적으로 생성·관리할 수 있다. 블랙덕 국내 공인 총판 쿠도커뮤니케이션 김철봉 부사장은 "EU CRA와 같은 글로벌 규제 환경 변화는 국내 기업에도 직접적인 영향을 미칠 것"이라며 "블랙덕과 함께 기업들이 선제적이고 체계적인 규제 대응 방식을 취할 수 있도록 지원을 강화해 나갈 계획"이라고 밝혔다.
