법무법인(유) 화우

유럽연합(EU)이 디지털 제품과 서비스 전반에 걸쳐 새로운 사이버보안 규제 프레임워크를 본격적으로 시행하고 있습니다. 사이버 복원력법(Cyber Resilience Act, ‘CRA’)과 무선기기지침(Radio Equipment Directive, ‘RED’)으로 대표되는 이번 규제들은, 제품의 설계부터 사후관리까지 전 생애주기에 걸친 보안 책임을 기업에 요구하고 있습니다. 이러한 변화는 EU에 제품을 수출하거나 서비스를 제공하는 우리 기업에게 중요한 법률적·사업적 고려사항으로 부상하고 있습니다. 특히, 사이버보안 요건이 CE 마크 부착의 전제조건으로 명시됨에 따라, 이는 EU 시장 진출을 위한 새로운 준수 요건으로 작용할 수 있습니다. 본 뉴스레터에서는 EU의 핵심 사이버보안 규제 내용을 분석하고, 우리 기업에 미칠 실무적 영향과 대응 전략을 제시합니다.

1. 배경

2. EU 사이버보안 규제

3. EU 사이버보안 규제에 대한 우리 기업의 영향 및 대응 방안

4. 시사점

1. 배경

EU의 사이버보안 분야 규제 변화는 급증하는 사이버 위협에 대한 직접적인 대응으로 볼 수 있습니다. 디지털화와 기기간 연결성이 강화되면서 공격 표면이 기하급수적으로 넓어졌고, 사이버 공격으로 인한 사회·경제적 피해 또한 막대해 졌습니다. 유럽연합 사이버보안청(ENISA)의 2023년 보고서에 따르면, 2022년 7월부터 2023년 6월까지 약 2,580건의 사이버 사고가 발생되었으며, 이 중 220건은 2개 이상의 EU 회원국에 동시에 영향을 미쳤습니다. 특히 전체 위협의 34%를 차지하는 랜섬웨어 공격과 공급업체를 통해 다수의 기업을 동시에 감염시키는 소프트웨어 공급망 공격은 EU의 핵심 인프라와 산업 생태계에 심각한 위협으로 부상했습니다. 이러한 배경 속에서 EU는 개별 회원국의 파편화된 대응을 넘어, 역내 전체의 사이버 복원력을 높이기 위한 통일되고 강력한 규제 프레임워크 구축에 적극적으로 나서고 있습니다.

2. EU 사이버보안 규제

EU의 새로운 사이버보안 규제들은 상호 보완적으로 작동하며 포괄적인 규제 체계를 형성합니다. 이 중 우리 기업의 제품 수출과 직접적으로 관련된 CRA와 RED의 주요 내용은 다음과 같습니다.

가. 사이버 복원력법 (Cyber Resilience Act, CRA)

CRA는 EU 시장에 출시되는 디지털 요소를 포함하는 모든 제품에 적용되는 포괄적인 법안입니다. 하드웨어, 소프트웨어를 불문하고 인터넷 연결 기능이 있는 스마트 기기, IoT 제품 등이 모두 해당됩니다. 이 법의 핵심은 제품의 전체 수명주기(Life-Cycle)에 걸쳐 보안을 강제하는 것입니다. 즉, 제품의 설계 및 개발 단계부터 보안을 고려(Secure by Design)해야 하며, 판매 이후에도 지속적인 보안 업데이트를 제공하고 알려진 취약점을 관리할 의무를 제조사에게 부과합니다. 2027년 12월부터 전면 적용될 예정이며, 향후 EU 사이버보안 규제의 근간이 될 것으로 보입니다. CRA를 준수하는 제품은 기존의 안전, 건강, 환경 보호 관련 CE 마크에 더하여 사이버보안 요건까지 충족했음을 의미하는 CE 마크를 부착해야 합니다.

나. 무선기기지침 (Radio Equipment Directive, RED)

RED는 EU 시장에 출시되는 모든 무선 통신 장비에 적용되는 지침으로, 2025년 8월 1일부터 사이버보안 관련 요구사항이 의무화됩니다. 스마트폰, IoT 기기, 커넥티드카 등이 주요 적용 대상이며, ▲네트워크에 해를 끼치지 않을 것, ▲사용자의 개인정보와 프라이버시를 보호할 것, ▲금융 사기로부터 보호할 것이라는 세 가지 핵심 보안 목표를 제시합니다. 제조사는 이러한 요구사항을 충족함을 입증해야 CE 마크를 부착하고 EU 시장에 제품을 판매할 수 있습니다.

다. 네트워크 및 정보 시스템 지침 (NIS2 Directive)

NIS2는 기존 NIS 지침을 대체하며, EU 내 핵심 인프라의 사이버보안 수준을 강화하는 데 목적이 있습니다. 에너지, 운송, 보건, 금융 등 기존 필수 서비스 분야 외에 디지털 서비스, 공공 행정 등으로 적용 범위가 대폭 확대되었습니다. NIS2는 기업에게 공급망 전반에 걸친 리스크 관리, 강화된 보안 조치, 중대 사고 발생 시 24시간 내 관계 당국에 조기 경보 및 상세 보고 의무를 부과합니다. 특히 주목할 점은 경영진의 사이버보안 감독 책임을 명시하고, 위반 시 경영진 개인에게 책임을 물을 수 있도록 한 것입니다. 각 회원국은 2024년 10월 17일까지 NIS2의 내용을 자국법으로 전환해야 합니다.

라. 디지털 운영 복원력법 (Digital Operational Resilience Act, DORA)

DORA는 금융 부문에 특화된 사이버보안 규제로, 2025년 1월부터 적용됩니다. 은행, 보험사, 투자회사 등 전통적인 금융기관뿐만 아니라 이들에게 ICT 서비스를 제공하는 클라우드 서비스 제공업체, 데이터 분석 기업 등도 규제 대상에 포함됩니다. DORA는 금융회사가 ICT 관련 중단 및 위협을 견디고, 대응하며, 신속히 복구할 수 있도록 ▲ICT 리스크 관리 프레임워크 수립, ▲주요 ICT 사고 보고, ▲디지털 운영 복원력 테스트 수행, ▲제3자 ICT 공급업체 리스크 관리 등에 대한 구체적인 요구사항을 제시합니다.

3. EU 사이버보안 규제에 대한 우리 기업의 영향 및 대응 방안

가. EU 사이버 보안 규제 대한 국내 영향

• CE 인증과 시장 접근성의 연계: 가장 주목해야 할 실무적 변화입니다. CRA와 RED 모두 사이버보안 요구사항 충족을 CE 마크 부착의 필수 요건으로 규정하고 있습니다. 이는 규제 준수가 EU 시장에 제품을 출시하기 위한 전제 조건이 됨을 의미합니다. 과거 안전·환경 기준 중심이었던 CE 인증의 범위가 사이버보안까지 확장됨에 따라, 우리 수출 기업들은 새로운 규제 준수 의무에 직면하게 되었습니다. 규정 위반 시 EU 각 회원국의 시장감시기관으로부터 제품 회수, 판매 제한 및 과징금 등 불이익을 받을 수 있습니다.

• 공급망 전체로 확장된 법적 책임: CRA는 완제품 제조사가 자사 제품에 통합된 제3자 부품(소프트웨어 및 하드웨어 구성요소 포함)의 보안에 대해서도 실사(Due Diligence) 의무를 부담하도록 명시하고 있습니다. 특히 오픈소스 소프트웨어를 광범위하게 사용하는 국내 기업의 경우, 이제는 단순히 오픈소스를 활용하는 것을 넘어, 해당 구성요소의 취약점을 지속적으로 식별하고 관리해야 할 법적 책임이 발생할 수 있습니다. 그리고 이를 위해서 모든 소프트웨어 구성요소의 목록과 관계를 담은 소프트웨어 자재명세서(Software Bill of Materials: 이하 SBOM) 작성 및 관리가 중요해졌습니다.

• 신속하고 투명한 취약점 보고 의무: CRA는 제조사가 '적극적으로 악용되는(actively exploited)' 취약점을 인지한 경우, 24시간 이내에 EU 당국(ENISA 등)에 조기 경보를 보내야 하는 등 매우 신속한 보고 절차를 규정하고 있습니다. 전 세계에 분산된 개발·운영 조직을 가진 기업에게 이는 상당한 실무적 부담으로 작용할 수 있습니다. 보고 의무를 준수하지 않을 경우 최대 1,500만 유로 또는 전 세계 연간 총매출의 2.5% 중 더 높은 금액의 과징금이 부과될 수 있어, 관련 리스크 관리가 필수적입니다.

나. 우리 기업의 전략적 대응 방안

• 전사적 거버넌스 확립: 사이버보안을 R&D 부서의 실무 과제를 넘어, 경영진이 직접 관리하는 전사적 리스크로 인식해야 합니다. 법무, 개발, 기획, 조달 등 관련 부서 전체가 참여하는 거버넌스 체계를 수립하고, 규제 대응을 위한 명확한 역할과 책임을 정의하는 것이 중요합니다.

• 보안 내제화(Security by Design) 프로세스 도입: 제품 기획 및 설계 단계부터 EU의 보안 요구사항을 반영하고, 개발 전 과정에서 이를 검증하는 프로세스를 체계화해야 합니다. 이는 개발 문화의 점진적인 변화를 통해 달성될 수 있습니다.

• 공급망 관리 체계 재정비: 모든 외부 소프트웨어 및 하드웨어 공급사에 대해 EU 규제 준수 여부를 확인하고, 계약서에 보안 관련 의무와 책임을 구체적으로 명시해야 합니다. 특히 오픈소스 사용 정책을 검토하고, SBOM을 체계적으로 관리할 수 있는 시스템 도입을 검토할 필요가 있습니다.

4. 시사점

EU의 새로운 사이버보안 규제들은 특정 지역에 국한된 정책이 아닌, 글로벌 비즈니스 환경의 새로운 표준으로 자리매김하고 있습니다. 규제를 준수하는 것은 단순히 EU 시장에 진출하기 위한 비용적 측면을 넘어, 글로벌 고객에게 제품의 보안성과 신뢰성을 입증하는 핵심적인 경쟁력으로 작용할 것입니다.

특히 주목할 점은 이러한 흐름이 EU만의 움직임이 아니라는 사실입니다. EU CRA의 소프트웨어 자재명세서(SBOM) 제출 의무는 미국에서도 행정명령 14028호를 통해 연방정부에 납품하는 소프트웨어에 대해 의무화되었으며, 이는 행정부와 무관하게 지속적으로 강화될 기술 정책의 큰 흐름입니다. 또한, 최근 미국 FDA와 EU가 의료기기에 대한 사이버보안 요건을 의무화한 것처럼, '보안 내재화' 원칙은 IT 제품을 넘어 국민의 안전과 직결되는 다양한 산업 분야로 빠르게 확산되고 있습니다.

글로벌 사이버보안 규제 변화는 이제 제품의 부가 기능이 아닌, 제품의 품질과 안전을 결정하는 핵심 요소가 되었음을 시사합니다. 따라서 기업들은 눈앞의 규제 대응을 넘어, 장기적인 관점에서 연구개발(R&D), 공급망 관리, 품질경영 프로세스 전반에 보안을 통합하는 근본적인 인식의 변화가 필요하며, 이는 결국 법적 리스크를 최소화하고 글로벌 시장에서의 신뢰를 확보하며 지속 가능한 성장을 담보하는 가장 기본적이면서, 확실한 투자가 될 것입니다.

EU 사이버보안 규제는 단순한 규제 준수 문제를 넘어 기업의 신뢰와 경쟁력을 좌우하는 요소로 자리 잡았습니다. 한국 기업에 새로운 업무 부담을 지우지만, 이를 제대로 준수하면 제품과 서비스의 신뢰도를 높이는 기회가 될 수 있습니다. 규제 시행 일정과 요구사항을 지속적으로 모니터링하고, 제품 설계부터 공급망 관리, 사고 대응까지 전 과정에 보안 문화를 내재화하는 것이 EU 시장에서 지속 가능한 성장을 위한 최선의 전략입니다.

화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.