디지털 기술의 발전으로 우리의 삶은 편리해졌지만, 사이버 공격의 위험도 증가하고 있습니다. 이에 대응하기 위해 유럽연합(EU)은 사이버복원력법(CRA, Cyber Resilience Act)을 도입하였으며, 이 법은 디지털 요소가 포함된 제품의 보안을 강화하고, 제품 개발 초기부터 보안을 통합하는 것을 목표로 합니다. 또한 기업과 조직의 사이버 보안 체계를 강화하는데 중점을 두고 있습니다.

EU 이사회가 채택한 사이버복원력법이란?

2024년10월10일, 유럽연합(EU) 이사회는 디지털 요소가 있는 제품에 대한 수평적 사이버 보안 요구사항에 대한 EU의 새로운 규정(이하 "사이버복원력법")을 채택했습니다. 사이버복원력법은 다른 장치나 네트워크에 직접 또는 간접적으로 연결된 하드웨어 및 소프트웨어 제품(예: 연결된 홈 카메라, 냉장고, TV, 장난감 및 기타IoT 제품)의 설계, 개발, 생산, 제조 및 시장 출시 시 사이버 보안 문제를 규제합니다.

사이버복원력법은 2024년 11월 20일에 EU 저널에 공식적으로 발표되었으며, 2024년 12월 10일에 발효되었습니다. 이 법에 따른 주요 의무사항에 관한 대부분의 조항은 2027년 12월 11일부터 적용될 예정이나 인증기관(Notified Bodies)에 대한 요구사항은 2026년 6월 11일에, ‘사고 및 취약점 보고’ 규칙을 포함한 일부 조항은 2026년 9월 11일부터 적용됩니다.

• [사이버복원력법(CRA) 공표 일정]

• 날짜	내용
  2024년 3월 12일	유럽 의회에서 CRA 승인
  2024년 10월 14일	유럽 위원회가 디지털 요소가 포함된 제품에 대한 사이버보안 요구 사항 규정 채택
  2024년 11월 20일	EU 관보에 CRA 공식 게재
  2024년 12월 10일	CRA 공식 발효
  2026년 6월 11일	인증기관(Notified Bodies) 관련 요구사항 적용
  2026년 9월 11일	제조업체의 심각한 사고 및 취약점 보고 의무 적용
  2027년 12월 11일	CRA 주요 의무사항 전면 적용 디지털 요소가 포함된 제품에 대한 사이버보안 요구사항 준수 제품 전체 수명주기 동안 사이버보안 보장 CE 마크 부착을 통한 CRA 요구사항 준수 표시 제조업체, 수입업체, 유통업체의 사이버보안 의무 이행

사이버복원력법은 모든 EU 회원국에 직접 적용됩니다. 이 법의 요구사항을 준수하지 않을 경우, 회사의 이전 회계연도 전 세계 연간 매출액의 2.5% 또는 최대 1,500만 유로에 달하는 행정 벌금이 부과될 수 있으며, 이 중 더 높은 금액이 벌금으로 부과됩니다.

이 법은 EU 시장에서 판매되는 디지털 제품 및 서비스가 사이버 보안 기준을 충족하도록 규제하며 소비자와 기업이 더 안전한 디지털 제품을 선택할 수 있도록 하는 것을 목표로 합니다. 이미 사이버 보안 규제가 적용된 의료기기·항공 제품·자동차 등 일부를 제외하고 EU 지역에서 판매, 유통되는 모든 소프트웨어 또는 소프트웨어를 포함하는 모든 제품에 적용됩니다.

SBOM의 의무화와 중요성

특히 사이버복원력법은 메이저 사이트 순위 기업에 SBOM(Software Bill of Materials, 소프트웨어 자재 명세서)을 작성하고 제공할 것을 요구합니다. SBOM은 메이저 사이트 순위 제품에 포함된 모든 구성요소, 라이선스, 버전 정보에 대한 상세 목록을 말하는데요, 메이저 사이트 순위 구성요소와 출처를 명확히 해 공급망 투명성을 높이는 게 핵심입니다. 이를 통해 소비자가 디지털 요소가 포함된 제품을 선택하고 사용할 때 사이버 보안을 고려하게 되고, 해당 소프트웨어의 구성요소 및 이와 관련한 보안 취약점을 확인하여 보안대책을 세울 수 있게 됩니다.

사이버복원력법에서 SBOM은 규정 준수를 입증하고 측정하는 핵심 문서로 묘사되고 있습니다. 또한 SBOM 제공 대상은 공공과 민간을 구분하지 않고 유럽 내 유통되는 모든 제품으로 규정하고 있습니다. 미국 정부가 SBOM을 공공기관과 거래하는 소프트웨어에만 요구하는 것과 비교했을 때 적용 범위가 더 넓다고 볼 수 있습니다. 규제 강도도 더 높은 편인데, 사이버복원력법의 필수 사이버 보안 요건이나 책임 의무를 준수하지 않을 경우, 최대 1,500만 달러 또는 이상의 벌금이 부과될 수 있습니다.

사이버복원력법는 단순한 규제가 아니라, 사이버 보안의 표준을 높이고 디지털 제품의 안전성을 보장하는 중요한 법안으로 자리매김하며 디지털 제품의 새로운 시대를 열고 있습니다. 이러한 영향으로 가까운 시일 내에 대부분의 국가에서 소프트웨어 또는 소프트웨어를 포함하는 상품의 공급, 유통 시 SBOM 제출은 의무화가 될 것입니다.

우리 정부도 지난 2024년 2월 발표한 '국가 사이버안보전략'에 이어 '국가 사이버 안보 기본 계획'에서도 공급망 보안 강화를 중요한 전략적 목표 중 하나로 강조하는 등 대책 마련에 나서고 있습니다. 5월에는 국내 공공 및 민간 기관이 SBOM 기반으로 소프트웨어 공급망 보안을 높일 수 있도록 ‘소프트웨어 공급망 보안 강화’ 가이드라인을 공개하였습니다. 9월에는 국가정보원과 과학기술정보통신부 주도로 메이저 사이트 순위 공급망 보안 TF를 발족하고, 2025년 1월까지 공공분야 메이저 사이트 순위 보안 기준을 비롯한 보안 정책을 수립한다는 계획을 내놓았습니다. 2027년 시행을 목표로 단계별 로드맵을 준비중입니다. 국내 기업들도 이에 대한 대응이 필요할 것으로 보입니다.

SBOM 의무화, 기업의 대응 방안은?

소프트웨어 구성요소에 대한 투명성을 제고하기 위해 SBOM에 대한 채택은 EU를 넘어 글로벌 시장으로 확산되어 더욱 증가할 것입니다. 현재 소프트웨어는 다양한 오픈소스를 포함하고 있으므로 해당 소프트웨어의 오픈소스 명세가 SBOM의 핵심 요소가 될 것입니다. 그러므로 기업들은 자사 제품에 포함된 오픈소스의 가시성 확보가 상당히 중요해질 것입니다.

이제 SBOM은 기업에서 준비해야 할 필수 과제가 되었습니다. 소프트웨어 개발 시 오픈소스 라이선스 및 보안 취약점 등 오픈소스 구성 요소를 파악하는 것이 중요하며, 이를 통한 SBOM 관리는 IT 및 비 IT 기업 모두의 비즈니스에서 반드시 필요한 절차가 될 것입니다.

또한 제품 개발 초기 단계부터 보안을 핵심 요소로 고려하고 SBOM을 체계적으로 관리함으로써 글로벌 시장에서 경쟁력을 강화할 수 있습니다. 보안에 대한 투자는 선택이 아닌 필수가 되고 있으며, 이는 장기적인 성공을 위한 중요한 요소입니다.

기업들은 2025년을 규제에 선제적으로 대응하기 위한 시기로 삼아 관련 요구사항들을 파악하여 소프트웨어 개발 생명 주기 전반에서 SBOM을 지속적으로 관리하기 위한 정책을 마련해야 합니다