 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
18일 관련 업계에 따르면 유럽연합 이사회는 지난 10일(현지시간) 디지털 제품에 대한 사이버보안 요구 사항을 담은 CRA를 새 법률로 채택했다. 이사회는 "새 규정은 격차를 메우고, 연계성을 명확히 하고, 기존 사이버보안 입법 프레임워크를 일관되게 할 것"이라며 "공급망은 물론, 수명주기 전반에 걸쳐 디지털 구성 요소가 있는 제품을 보호하는 것이 목표"라고 강조했다.
CRA가 처음 언급된 시점은 2021년이다. 당시 폰 데어 라이엔 EU 집행위원장은 연방의회 연설에서 관련 법안의 필요성을 시사했고, 위원회는 2022년 9월 기존 EU 사이버보안 프레임워크를 보완할 CRA를 제안했다. 올해에는 CRA 확정 및 승인 절차를 거쳤다.
이번 채택으로 CRA 입법안은 이사회와 유럽의회 의장 서명을 거쳐, EU 공식 발표문에 게재된다. 새 규정은 36개월 후 본격 효력이 발생하며, 일부 조항은 이보다 일찍 적용될 전망이다.
CRA는 하드웨어와 소프트웨어 제품을 설계, 개발, 생산, 출시할 때 지켜야 할 사이버보안 조건을 담은 것이 특징이다. 여러 장치나 네트워크에 연결된 모든 제품이 대상이다. 홈 카메라, 냉장고, TV 등 사물인터넷(IoT) 장비도 모두 CRA 적용을 받게 된다.
소프트웨어자재명세서(SBOM) 제출을 명문화한 점도 주목할 부분이다. SBOM은 개발 과정에서 외부 오픈소스 등을 통해 유입될 수 있는 보안 및 라이선스 위협요인을 관리하는 일종의 자재명세서다. 제조업에서 사용하는 부품표(BOM)을 착안한 용어로, 위협이 발생하면 SW 구성요소를 즉각 식별할 수 있어 보안 체계를 강화할 대안으로 주목받고 있다.
CRA 세부 내용을 살펴보면, 시장감시당국은 규정에 따라 디지털 요소가 포함된 제품 제조업체에 SBOM를 제출하도록 요청할 수 있다. 제조업체는 SBOM을 작성해 구성 요소를 식별한 뒤 문서화해야 하고, 공급망 차원에서 제3자로부터 취약점이 탑재되지 않았다는 점을 보장해야 한다.
EU가 CRA 채택을 발표하면서, 주요국을 중심으로 SW 공급망 보안을 제도화하려는 움직임이 빨라질 전망이다. 현재 SW 공급망 보안에서 선두를 달리고 있는 대표 국가는 미국이다. 미국은 행정명령을 통해 연방정부에 납품되는 SW에 대해 SBOM을 제출하도록 했고, 보안관리 자체증명서(Self Attestation Form)를 확정하기도 했다.
한국도 후발주자로 나섰다. 정부는 올해 'SW 공급망 보안 가이드라인 1.0'을 공개했고, 국가정보원(이하 국정원)과 과학기술정보통신부(이하 과기정통부)는 SW 공급망 보안 태스크포스(TF)를 발족해 보안 정책과 지원 방안을 마련하고 있다. 2027년 시행을 목표로 단계별 로드맵도 공개된다.
다만 미국과 EU 등 주요국과 비교했을 때 아직 걸음마 단계에 있다는 점은 부담이다. 국내 대기업의 경우 해당 국가에 오랜 기간 제품을 수출해온 만큼 SW 공급망 보안에 대한 대비를 갖추고 있지만, 시장 영향력을 늘려야 하는 중소 및 중견 기업은 그렇지 못한 상황이다. 국내 제도화 작업이 본격화된다면, 사이버 보안 태세를 강화하는 것은 물론 글로벌 사업을 전개할 때에도 대비책을 세울 수 있지 않겠냐는 목소리가 나오는 이유다.
사이버 보안이 취약해지는 이유로 SW를 지목하는 목소리는 더욱 커질 것으로 보인다. 보안매체 사이버익스프레스에 따르면 젠 이스털리(Jen Easterly) 사이버보안인프라보호청(CISA) 국장은 "예방 가능한 SW 결함으로 인해 병원, 학교, 중요 인프라에 대한 마비 공격이 계속되고 있다"며 "이런 사고를 멈춰야 할 때"라고 강조했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
