[현장] 탄소 규제 이어 이번엔 ‘보안 장벽’…EU CRA에 떠는 韓 제조업
과징금 최대 매출 4%…유럽시장 퇴출 가능성
“SBOM만으론 부족”…공급망 전체 감시체계 필요
![블랙덕 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄. [출처=이수진 기자]](https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/13/552778-MxRVZOo/20260513140138956gjwi.jpg)
"유럽연합(EU)의 사이버 복원력 법안(CRA)은 제조사가 제품 전체 수명주기에 걸쳐 안전한 소프트웨어를 생산하겠다는 의지를 명확히 입증하는 수단으로 기능할 것입니다."
팀 맥키 블랙덕 소프트웨어 공급망 위협 전략 부문 총괄은 13일 열린 간담회에서 이같이 강조하며 국내 기업들의 선제적 대응을 촉구했다. 오는 9월부터 취약점 관리 의무가 본격적으로 적용됨에 따라 유럽 시장에 진출한 우리 기업들의 대응 시간이 얼마 남지 않았다는 분석이다.
◆"9월 첫 규제 실효…준수 못 하면 EU 시장 퇴출 위험"
EU CRA는 2024년 12월 공식 발효됐으며, 오는 9월부터는 신규 취약점이 발견될 경우 24시간 이내에 보고해야 하는 엄격한 의무가 발생한다. 이 규제는 제품의 개발지나 본사 위치와 관계없이 EU 시장에서 소프트웨어가 포함된 제품을 판매하는 모든 제조사에 적용된다.
과거 유럽 규제가 환경·탄소 중심이었다면, 이제는 소프트웨어 보안 자체가 새로운 수출 장벽으로 부상하고 있다는 분석이 나온다. 특히 AI·로봇·스마트 제조 확산으로 산업 제품의 소프트웨어 의존도가 높아지는 가운데, 공급망 보안 대응 능력 자체가 향후 글로벌 제조 경쟁력을 좌우할 변수로 떠오르고 있다.
규제를 위반할 경우 부과되는 과징금은 상당한 수준이다. 허위 진술 시 전 세계 매출의 2.5%, 일반 적합성 위반 시 4%에 달하는 과징금이 부과될 수 있으며, 최악의 경우 유럽 공동시장 접근권이 박탈돼 제품 판매가 전면 금지될 수 있다. 특히 제조사가 의무를 이행하지 못하면 그 책임이 수입사와 총판사로까지 확대돼 공급망 전체에 영향을 미치게 된다.
팀 맥키 총괄은 현대의 소프트웨어 공급망을 선형적인 구조가 아닌 복잡하게 얽힌 '공급 메시(Supply Mesh)'로 정의했다. 그는 "하나의 소프트웨어에 수천 개의 보급사가 연결된 상황에서 가시성과 투명성을 확보하는 것이 핵심"이라며 단순히 소프트웨어 구성 요소 명세서(SBOM)를 생성하는 기술적 단계를 넘어 지속적인 모니터링과 문서화가 병행돼야 한다고 역설했다.
![블랙덕 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄. [출처=쿠도커뮤니케이션]](https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/13/552778-MxRVZOo/20260513140140281tubv.jpg)
공급망 보안 구축에 한계가 있는 소규모 협력사의 경우 법안의 유연성을 활용할 수 있다.
CRA는 인원 50인 미만, 연 매출 100만 유로 미만의 영세 기업에 대해서는 전체 컴플라이언스 의무를 경감해 주는 예외 조항을 두고 있다. 국내에서는 파트너사가 오너십을 갖는 매니지드 서비스 형태의 라이선스를 통해 예산이 부족한 기업들의 부담을 덜어주는 방안도 마련돼 있다.
취약점 모니터링 채널의 다변화도 필수적이다. 과거 미국 정부의 셧다운 사태로 인한 데이터 업데이트 중단 경험을 바탕으로, 유럽은 독자적인 취약점 데이터베이스인 EUVD를 구축했다.
팀 맥키 총괄은 "미국 NVD가 공공 조달과 무관한 정보를 배제하기 시작한 만큼, NVD와 EUVD를 동시에 모니터링해야만 24시간이라는 보고 시한을 맞출 수 있을 것"이라고 설명했다.
최근 화두인 에이전틱 AI 기반 보안 서비스에 대해서는 맥락 파악의 한계를 지적하며 신중한 접근을 보였다. 블랙덕의 '시그널(Signal)'과 같은 AI 도구는 코드 리뷰와 아키텍처 결함 식별에 강력한 성능을 발휘하지만, 이는 기존 애플리케이션 보안 도구를 완전히 대체하기보다는 보완하는 수단으로 활용돼야 한다는 진단이다.
◆25년 데이터 기반 '4시간 이내 대응'…초격차 보안 경쟁력 확보
블랙덕은 지난 25년간 축적된 8억5000만 건 이상의 소프트웨어 릴리즈 데이터를 바탕으로 경쟁사와의 격차를 벌리고 있다. 특히 벨파스트 연구팀은 취약점이 일반에 공개되기 수일 전부터 정보를 확보해, 실제 공개 시점에는 4시간 이내에 글로벌 고객들에게 업데이트를 제공하는 체계를 갖추고 있다.
이러한 경쟁력은 CRA의 핵심 요건인 '알려진 취약점이 없는 제품 출하'를 가능하게 한다. 블랙덕은 자체 연구를 통해 모든 릴리즈의 악용 가능성을 검증하며, 이를 기반으로 취약점 공개 보고서(VDR)와 취약점 익스플로잇 가능성 보고서(VEX) 등 규제 대응에 필수적인 문서를 실시간으로 생성·관리할 수 있도록 지원한다.
김철봉 쿠도커뮤니케이션 부사장은 "EU CRA와 같은 글로벌 규제 환경 변화는 국내 기업에도 직접적인 영향을 미칠 것"이라며 "블랙덕과 함께 기업들이 선제적이고 체계적인 규제 대응 방식을 취할 수 있도록 지원을 강화해 나갈 계획"이라고 밝혔다.
Copyright © EBN