[비즈니스포스트] 유럽연합(EU)이 오는 9월부터 디지털 요소가 포함된 제품의 사이버 보안을 강화하기 위한 법적 규제를 본격 시행한다.

이에 따라 유럽 시장에 제품을 공급하는 기업들은 시장 경쟁력을 유지하기 위해 소프트웨어 세부 구성 요소를 기록하는 ‘소프트웨어 자재 명세서(SBOM)’를 중심으로 한 소프트웨어 공급망 보안 체계를 서둘러 구축해야 한다는 제언이 나왔다.

팀 맥키 블랙덕 소프트웨어 공급망 위협 전략부문 총괄은 13일 경기 과천시 쿠도커뮤니케이션 과천사옥에서 ‘EU CRA와 소프트웨어 공급망 보안 전략’을 주제로 기자간담회를 열었다.

유럽연합의 사이버 복원력 법안(CRA)는 디지털 요소가 포함된 제품을 설계부터 폐기까지 전 수명주기에서 보안 요건을 강제하고 취약점 관리·보고 의무를 부과하는 규제다. 올해 9월부터 취약점·사고 보고가 단계적으로 적용되고 2027년 12월부터는 전면 시행된다. 

맥키 총괄은 CRA의 핵심 요구사항으로 △소프트웨어 구성 요소에 대한 투명성 확보 △취약점 관리 및 대응 체계 구축 △지속적 보안 관리 체계 등을 꼽았다.

맥키 총괄은 “EU CRA는 단순한 규제를 넘어 애플리케이션 및 운영 사이버보안 관행의 기준선”이라며 “제조사가 제품 전체 수명주기에 걸쳐 잘 설계되고 안전한 소프트웨어를 생산하겠다는 의지를 명확히 입증하는 수단으로 기능한다”고 설명했다.

그는 기업들이 SBOM을 제출하는 것만으로는 CRA가 요구하는 수준을 완벽하게 충족할 수 없다고 밝혔다.

그는 CRA 준수를 위해서는 단순 SBOM 생성 이상의 접근이 필요하다고 설명했다. 

구체적으로 △소프트웨어 구성 분석를 통한 제3자 리스크 관리 및 취약점 매핑 △정적 분석을 통한 자체 코드 취약점 제거 및 안전한 API·데이터 처리 구현 △퍼징 테스트를 통한 프로토콜 수준의 공급망 검증 및 악조건 내 제품 동작 확인이 모두 요구된다고 강조했다.
  맥키 총괄은 CRA는 유럽 시장 내 판매 여부를 기준을 적용되기 때문에 제품의 개발·생산·본사 소재지와는 무관하다는 점에서 유럽 시장에서 제품을 판매하는 기업들은 CRA에 적극 대응할 필요가 있다고 했다.

CRA를 위반할 경우 허위 진술에 대해 전 세계 매출의 2.5%, 일반 적합성 위반에 대해서는 4%에 이르는 과징금이 부과될 수 있으며, 유럽연합 공동시장 접근권 박탈이라는 최대 제재도 받을 수 있다.

맥키 총괄은 “규제를 단순한 비용 요인으로 볼 것이 아니라 전략적 기회로 접근해야 한다”며 “소프트웨어를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 한다”고 말했다.

블랙덕 국내 공인 총판인 쿠도커뮤니케이션의 김철봉 부사장은 “EU CRA와 같은 글로벌 규제 환경 변화는 국내 기업에도 직접적 영향을 미칠 것”이라며 “블랙덕과 함께 기업들이 선제적이고 체계적 규제 대응 방식을 취할 수 있도록 지원을 강화해 나갈 것”이라고 말했다. 조승리 기자