사이버복원력법 (CRA, Cyber Resilience Act)

유럽 사이버복원력법(CRA, Cyber Resilience Act)은 2024년 3월 유럽 의회에서 투표되었으며, EU 이사회에서 채택되고 EU OJ에 공표되면 3년의 전환 기간이 주어질 예정입니다. 이 법적 프레임워크는 유럽 연합(EU) 내에서 디지털 요소를 포함한 하드웨어 및 소프트웨어 제품에 대한 사이버 보안 요구 사항을 설정하게 됩니다.

CRA가 시행되면, EU 시장에 있는 하드웨어 및 소프트웨어 제품의 제조업체, 수입업체, 유통업체는 36개월 내에 그 요구 사항을 준수해야 합니다. CRA에 대비하기 위해 알아야 할 사항은 다음과 같습니다.

사이버복원력법(CRA)이란 무엇인가요?

What is Cyber Resilience Act 사이버복원력법(CRA)은 하드웨어 및 소프트웨어 제품의 생애 주기 동안 필수적인 EU 사이버 보안 요구 사항을 도입하는 법적 프레임워크입니다. 이 법안은 노트북, 모바일 기기, 센서 및 카메라, 라우터, 펌웨어, 어플리케이션, 비디오 게임, 비디오 카드, 컴퓨터 처리 장치와 같은 디지털 요소 제품(PDE) 또는 하드웨어 및 소프트웨어 제품을 제조, 수입 및 유통하는 경우에 적용됩니다.

궁극적으로, 디지털 요소가 포함된 제품 또는 소프트웨어를 EU 시장에 출시할 때 통합된 사이버 보안 지침을 준수하는 것이 목적입니다. CRA 규정은 디지털 제품이 새로운 표준을 준수함을 나타내기 위해 CE 마킹을 요구합니다.

CRA의 주요 목표는 디지털 요소가 포함된 제품의 보안 취약성을 줄이고, 제조업체, 수입업체, 유통업체가 제품의 생애 주기 동안 사이버 보안을 적절히 관리하는 것입니다. CRA는 하드웨어 및 소프트웨어 제품의 보안성과 신뢰성에 대한 투명성을 개선하여 사용자를 보호하는 것이 목표입니다.

사이버복원력법(CRA)이 왜 중요한가요?

CRA의 핵심은 EU의 국가, 기업, 그리고 주요 인프라의 사이버 보안을 강화하기 위한 포괄적인 접근입니다. 하드웨어 및 소프트웨어 제품의 생애 주기 전반에 걸쳐 필수 보안 요구 사항을 도입함으로써 CRA는 커넥티드 장치의 사이버 보안을 강화하여 EU를 더 안전하고 회복력 있게 만듭니다.

누가 그리고 무엇이 영향을 받나요?

CRA는 EU 시장에서 하드웨어 및 소프트웨어 제품의 제조업체, 수입업체, 유통업체에 영향을 미칠 것입니다. CRA의 요구 사항을 보다 잘 준수하기 위해서 고객의 제품이 그 법적 프레임워크의 범위에 포함되는지 알아야 합니다.

CRA는 디지털 요소를 포함한 소프트웨어 또는 하드웨어 제품과 원격 데이터 처리 솔루션에 적용됩니다. 분류 체계에 따라 제품은 비중요 제품(Non-critical products)과 중요 제품(Critical products)으로 분류됩니다.:

비중요 제품(Non-critical products)은 하드 드라이브, 스마트 홈 어시스턴트 및 기타 커넥티드 장치를 포함하여 디지털 제품의 약 90%를 포함합니다. 이 범주에 해당하는 제조업체는 자가 평가를 통해 제품이 CRA 요구 사항을 충족하는지 확인해야 합니다.

중요 제품(Critical products)은 CRA에 따라 class I, class II 제품으로 분류됩니다:
- Class I은 신원 관리, 독립 실행형 및 임베디드 브라우저, 비밀번호 관리자, 악성 소프트웨어를 검색, 제거 또는 격리하는 소프트웨어, 디지털을 포함하며 가상 사설망(VPN) 기능이 있는 제품, 네트워크 관리 시스템 등이 포함됩니다.
- Class II는 운영 체제 및 유사 환경의 가상화를 지원하는 하이퍼바이저 및 컨테이너 런타임 시스템, 방화벽, 침입 탐지 또는 방지 시스템, 변조 방지 마이크로프로세서, 변조 방지 마이크로컨트롤러 등이 포함됩니다.

CRA는 다음의 경우에는 적용되지 않습니다:

오픈 소스 소프트웨어를 포함한 비상업적 프로젝트
클라우드 컴퓨팅 서비스 및 소프트웨어-서비스(SaaS) 비즈니스 모델과 같은 서비스
자동차, 의료 기기, 체외 진단 의료 기기, 항공기 장비 및 국가 보안 또는 군사 목적으로 개발된 제품 등 사이버 보안에 대해 충분히 규제된 제품 및 산업

CRA를 준수하지 않으면 어떻게 되나요?

CRA에 따라 class I, class II 제품은 비준수 시 벌금 부과로 이어질 수 있으며, 가장 심각한 경우 최대 15,000,000유로 또는 위반자의 전 세계 연간 매출의 2.5%에 달하는 벌금이 부과될 수 있습니다.

또한 비준수 제품의 시장 철수 또는 유통 제한을 명령할 수 있습니다. 시장 감시 당국은 CRA 규정을 위반하는지 여부를 감지하기 위한 "조사"를 수행할 것입니다.

CRA의 필수 사이버 보안 및 취약성 처리 요구 사항을 준수하는 것은 낮은 위험 클래스 1 범주에 속하는 디지털 제품을 포함한 모든 디지털 제품에 매우 중요합니다. 이는 제조업체, 수입업체 및 유통업체가 EU 사이버 보안 법규를 준수하고 벌금을 피하기 위함입니다.

어떻게 대응해야 하나요?

디지털 제품 제조업체, 수입업체, 유통업체는 제품의 생애 주기 전반에 걸쳐 사이버 보안을 고려하고 통합할 것을 권장합니다. 지금부터라도 CRA 대응을 위한 조치를 취해야 합니다. CRA가 시행되면 다음과 같이 준비해야 합니다.:

제품에 대한 철저한 검토
잠재적인 보안 취약성 식별
보안 요구 사항, 설계, 구현, 테스트 및 유지보수를 포함하는 보안 개발 생애 주기(SDL) 구축
사용자에게 필요한 정보를 제공하는 취약성 처리 프로세스 구현
사고 보고 의무를 준수하고, 취약성 또는 중요한 보안 사고를 관련 당국에 보고하는 프로세스 수립
일반 데이터 보호 규정(GDPR), 무선 장비 지침(RED) 및 제안된 새로운 제품 책임 지침과 같은 EU의 다른 규제 프레임워크와 CRA의 상호 작용 확인

복잡한 요구 사항은 도전적일 수 있으며, 모든 단계에서 함정이 있을 수 있습니다. 성공적인 승인 과정을 위해서는 경험 많은 전문가의 도움이 필요합니다.

TÜV SÜD가 어떤 도움을 줄 수 있나요?

제품 사이버 보안 시험의 선두주자인 TÜV SÜD는 제품의 보안성과 신뢰성을 평가할 수 있는 충분한 전문 지식을 보유하고 있어 취약성과 사고를 줄이고 사용자 신뢰를 향상시킬 수 있습니다. TÜV SÜD는 CRA에 대비하고 EU 사이버 보안 법규를 준수하며 디지털 제품의 CE 마크를 획득할 수 있도록 다양한 사이버 보안 서비스를 제공합니다:

cybersecurity training consultation

교육 및 상담
TÜV SÜD는 제조업체가 사이버 보안 정책과 실무를 CRA와 일치시키고 개선할 수 있도록 교육 및 상담을 제공합니다.

준수 평가
TÜV SÜD는 제조업체가 CRA의 요구 사항을 이해하고 제품을 준수 여부를 확인할 수 있도록 평가를 수행합니다.

취약성 관리
TÜV SÜD는 CRA가 요구하는 제품 취약성을 제조업체가 식별하고 관리할 수 있도록 지원합니다.

제3자 평가
TÜV SÜD는 고위험 제품의 준수여부를 확인하기 위해 필수적인 제3자 평가 서비스를 제공합니다.

사고 보고 지원
TÜV SÜD는 제조업체가 CRA가 요구하는 사고 보고 절차를 수립할 수 있도록 지원합니다.

왜 TÜV SÜD를 선택해야 하나요?

TÜV SÜD는 제품 사이버 보안 테스트의 선두주자입니다. 사이버 위험 평가에서 보안 인증 프로젝트에 이르기까지, TÜV SÜD의 전문가들은 기업이 사이버 보안을 개선할 수 있도록 성공적으로 지원해왔습니다. 전 세계 사이버 보안 표준에 대한 전문가들의 전문지식을 바탕으로, TÜV SÜD는 CRA 요구 사항을 사전 대응하고 충족하는 모든 단계에서 도움을 드릴 수 있습니다.

수십 년간의 경험으로 다져진 체계적인 사이버 보안 접근 방식, 도메인별 전문 지식, 규제 전문성을 갖춘 TÜV SÜD는 다양한 분야의 기업을 지원합니다. 글로벌 사이버 보안 표준을 준수할 수 있도록 지원함으로써, TÜV SÜD는 기업이 글로벌 시장에 진출할 수 있도록 도와드립니다.

TÜV SÜD와 함께 CRA에 발 빠르게 대응하세요. 사이버 보안 서비스에 대해 더 알고 싶다면 지금 문의하세요!

서비스 문의하기