EU CRA 대응 본격화… SBOM 넘어선 소프트웨어 공급망 보안 전략 부상
유럽연합(EU)의 사이버 복원력 법안(CRA, Cyber Resilience Act) 도입이 본격화되면서, 소프트웨어 공급망 보안과 규제 대응 전략에 대한 기업들의 관심이 높아지고 있다. EU CRA는 2024년 12월 10일 공식 발효됐으며, 세부 이행 요건은 2025년 12월 공표됐다. 취약점 관리 의무는 2026년 9월부터 적용되고, 전체 적합성 요건은 2026년 9월부터 2027년 12월까지 단계적으로 시행될 예정이다.
이러한 흐름 속에서 쿠도커뮤니케이션은 블랙덕(Black Duck)과 함께 최근 국내 기업들을 대상으로 SBOM(Software Bill of Materials, 소프트웨어 자재명세서) 기반 소프트웨어 공급망 보안 전략과 EU CRA 대응 방안을 소개했다.
이번 행사에는 블랙덕의 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄이 방한해 직접 발표를 진행했다. 그는 RSA, Black Hat, Open Source Summit, KubeCon 등 주요 글로벌 보안 행사에서 발표를 이어온 공급망 보안 분야 전문가로, EU CRA를 포함한 글로벌 소프트웨어 보증 활동에도 참여하고 있다.
팀 맥키는 EU CRA의 핵심 요구사항으로 △소프트웨어 구성 요소에 대한 투명성 확보 △취약점 관리 및 대응 체계 구축 △지속적인 보안 관리 체계 등을 제시했다. 이어 이를 위한 핵심 수단으로 SBOM의 중요성을 강조하면서도, SBOM만으로는 CRA 요구사항을 완전히 충족할 수 없다고 설명했다.
그는 CRA가 요구하는 수준으로 △제3자 취약점 최소화 △기본 보안(Security by Default) △취약점 신속 보고 △테스트 및 의사결정 기록 관리 △오픈소스 거버넌스 강화 △적합성 진술서 확보 등을 제시했다.
또한 CRA 준수를 위해서는 단순 SBOM 생성 이상의 다층적 접근이 필요하다고 강조했다. 구체적으로 △SCA(소프트웨어 구성 분석)를 통한 제3자 리스크 관리 및 취약점 매핑 △정적 분석(Coverity)을 통한 자사 코드 취약점 제거 △퍼징 테스트(Defensics)를 통한 프로토콜 수준 검증 등이 함께 요구된다고 설명했다. 특히 CRA는 2026년 9월부터 취약점 공개 의무를 포함하고 있으며, 유럽 취약점 데이터베이스(EUVD) 등 다수 채널에 대한 보고 체계를 요구한다고 전했다.
팀 맥키는 “EU CRA는 단순한 규제를 넘어 애플리케이션과 운영 사이버보안 관행의 기준선 역할을 한다”며, “SBOM은 포괄적인 취약점 및 리스크 관리 프로그램 안에서 공급망 신뢰를 전달하는 핵심 요소로 기능한다”고 말했다.
그는 이어 “규제를 단순 비용이 아닌 전략적 기회로 접근해야 한다”며, “자동차 산업이 소프트웨어·제조·클라우드·네트워크 전반에 걸쳐 보안 생태계를 구축한 것처럼, 소프트웨어를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 한다”고 덧붙였다.
CRA는 EU·EEA 시장 내 판매 여부를 기준으로 적용되며, 개발·생산 국가와 관계없이 EU 시장에 소프트웨어 포함 제품을 판매하는 국내 기업에도 동일하게 적용된다. 위반 시에는 허위 진술에 대해 전 세계 매출의 2.5%, 일반 적합성 위반에 대해서는 최대 4% 수준의 과징금이 부과될 수 있으며, EU 공동시장 접근 제한 조치도 가능하다.
블랙덕의 EU CRA 대응 전략은 △파이프라인 보안(Pipeline Security) △SCA 기반 공급망 가시성 확보 △악성 코드 및 취약점 탐지 △SBOM 기반 업스트림·다운스트림 공급망 투명성 강화 등을 포함한다. 이를 통해 SBOM, VDR(취약점 공개 보고서), VEX(취약점 익스플로잇 가능성 보고서), 적합성 진술서 등 CRA 대응에 필요한 핵심 문서를 체계적으로 관리할 수 있다는 설명이다.
김철봉 쿠도커뮤니케이션 부사장은 “EU CRA와 같은 글로벌 규제 변화는 국내 기업에도 직접적인 영향을 미칠 것”이라며, “블랙덕과 함께 국내 기업들이 선제적이고 체계적인 대응 체계를 구축할 수 있도록 지원을 강화해 나갈 계획”이라고 말했다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
