【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]EU SW보안 규제 9월 본격화…"보안 목록 제출만으론 부족"

온카뱅크관리자

2026-05-13 13:37:33

<div id="layerTranslateNotice" style="display:none;"></div> CRA 시행 임박…취약점 24시간 내 보고 의무화 블랙덕 "상시 모니터링·공급망 가시성 확보해야" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="HPEr0gAiXo">
 <figure class="figure_frm origin_fig" contents-hash="a9b31ecec6779482624c1c5c78c5e8cc9eae6bf4134f7d5572184f38159ca43a" dmcf-pid="XQDmpacnGL" dmcf-ptype="figure">
 <img alt="팀 맥키 블랙덕 SW 공급망 위협 전략 부문 총괄 팀 맥키 블랙덕 SW 공급망 위협 전략 부문 총괄이 13일 경기 과천 DX타워에서 열린 기자간담회에서 발표하고 있다. [권하영 촬영]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/13/yonhap/20260513133303577jsah.jpg" data-org-width="1200" dmcf-mid="GxzbNFUZ1g" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/13/yonhap/20260513133303577jsah.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 팀 맥키 블랙덕 SW 공급망 위협 전략 부문 총괄 팀 맥키 블랙덕 SW 공급망 위협 전략 부문 총괄이 13일 경기 과천 DX타워에서 열린 기자간담회에서 발표하고 있다. [권하영 촬영]
 </figcaption>
 </figure>
 (서울=연합뉴스) 권하영 기자 = 유럽연합(EU)의 소프트웨어(SW) 공급망 보안 규제가 오는 9월부터 본격 시행되는 가운데 단순히 소프트웨어 구성 목록(SBOM)을 제출하는 수준만으로는 규제 대응에 한계가 있다는 지적이 나왔다.
 글로벌 오픈소스 보안 기업 블랙덕은 국내 총판사 쿠도커뮤니케이션과 함께 13일 경기 과천 DX타워에서 기자간담회를 열고 EU '사이버 복원력 법안(CRA·Cyber Resilience Act)' 대응 전략을 발표했다.
 CRA는 EU 시장에서 판매되는 디지털 요소 포함 제품 전반에 사이버 보안 요구사항을 의무화한 규제다. 지난해 12월 공식 발효됐으며, 올해 9월 취약점 관리 의무를 시작으로 내년 12월까지 단계적으로 시행될 예정이다.
 규정을 위반할 경우 전 세계 매출의 최대 4%에 달하는 과징금이 부과될 수 있으며, EU 공동 시장 접근 제한 조치까지 받을 수 있다.
 특히 CRA는 제품 개발사나 본사 소재지와 관계없이 EU 시장에서 SW가 포함된 제품을 판매하는 모든 기업에 적용된다. 제조사가 규정을 준수하지 못할 경우 책임이 수입사와 유통사로까지 확대되는 구조여서 공급망 전반에 영향을 미친다. 유럽 시장에 진출한 국내 기업 역시 대응이 시급한 상황이다.
 블랙덕에 따르면 최근 수년간 기업들은 SW 세부 구성 요소를 기록하는 'SW 자재 명세서'(SBOM) 생성과 관리에 집중해 왔다. 다만 SBOM 제출만으로는 CRA가 요구하는 수준의 공급망 보안을 충족하기 어렵다는 것이 회사 측 설명이다.
 팀 맥키 블랙덕 SW 공급망 위협 전략 부문 총괄은 "SBOM의 기술적 측면에만 집중할 경우 하나의 SW에 수천 개 이상의 개발사와 공급사가 연결된 현대 SW 생태계의 복잡성을 온전히 파악하기 어렵다"며 "능동적 모니터링을 통해 SW 가시성과 투명성을 확보하고, 빠르게 변화하는 비즈니스·보안 환경에 대응할 수 있어야 한다"고 강조했다.
 맥키 총괄은 공급망 보안의 복잡성을 설명하기 위해 자동차 산업을 예로 들었다. 차량 자체 보안뿐 아니라 생산 공장의 제조 로봇에 탑재된 SW, 모바일 애플리케이션과 연동되는 통신망, 클라우드 서비스까지 통합적으로 관리돼야 실질적인 차량 보안이 가능하다는 설명이다.
 CRA가 기업에 요구하는 기준도 상당히 구체적이다. 기본 보안 설정 적용, 공개된 제3자 취약점 제거, 신규 취약점 발생 시 24시간 내 보고, 테스트 과정 전반의 문서화, 오픈소스 거버넌스 체계 구축, 적합성 선언서 확보 등이 대표적이다.
 블랙덕은 이에 대응하기 위한 기술 전략도 단계별로 제시했다.
 우선 기업들이 당장 착수해야 할 과제로는 SW 구성 분석(SCA)을 통한 오픈소스 컴포넌트 취약점 점검과 제3자 리스크 관리, 정적 분석 기반 자체 코드 취약점 제거, 보안 테스트를 통한 프로토콜 수준 공급망 검증 등을 꼽았다.
 이를 통해 기업들이 최소한 올해 9월 이전까지는 SBOM 작성과 외부 리스크 출처 파악 체계를 갖춰야 한다는 것이 블랙덕의 권고다. 특히 9월부터 취약점 공개 의무가 본격 적용되는 만큼, 일회성 점검이 아닌 상시 모니터링 체계 구축이 필수라고 강조했다.
 아울러 내년부터는 설계 단계부터 보안을 내재화하는 '시큐어 바이 디자인(Secure by Design)' 원칙이 의무화되는 만큼 관련 예산과 조직 체계도 지금부터 준비해야 한다고 조언했다.
 맥키 총괄은 "EU CRA는 단순한 규제를 넘어 애플리케이션 및 운영 사이버 보안 관행의 기준선이자, 제조사가 제품 전체 수명주기에 걸쳐 잘 설계되고 안전한 SW를 생산하겠다는 의지를 입증하는 수단"이라며 "규제를 단순한 비용 요인으로 볼 것이 아니라 전략적 기회로 접근해야 한다"고 강조했다.
 김철봉 쿠도커뮤니케이션 부사장은 "EU CRA와 같은 글로벌 규제 환경 변화는 국내 기업에도 직접적인 영향을 미칠 것"이라며 "블랙덕과 함께 기업들이 선제적이고 체계적인 규제 대응 방식을 취할 수 있도록 지원을 강화해 나갈 계획"이라고 전했다.
 kwonhy@yna.co.kr
 ▶제보는 카톡 okjebo
 </section> 
 </div> 
 Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기