'유럽 적합성'(European Conformity)을 의미하는 CE 마크는 유럽연합(EU)에서 제품을 판매하기 위한 관문이다. 지난해 12월 EU는 디지털 제품에 대한 사이버보안 적합성 평가 규칙을 사이버 복원력 법(Cyber Resilience Act·CRA)에 명문화했으며, 여기엔 CE 마크가 포함돼 있다.
CRA는 발효 즉시 모든 EU 회원국에 적용되며, EU 시장에 제품을 판매하려는 제조사는 공급망 사이버보안 점검, 제품 보안 업데이트, 정부 당국과 취약성 및 침해 정보 공유 등 일련의 요건을 충족해야 한다. 또 인증기관이 CE 마크 부착 여부를 결정할 수 있도록 기술 문서로 위험 분석 및 소프트웨어(SW) 자재 명세서(SBOM)를 제출해야 한다.
문제는 CRA 요건이 점진적으로 시행되고 있어 우리 기업들이 준비할 시간이 많지 않다는 것이다. 제조사가 새로운 요구사항에 대비할 수 있도록 2027년 12월까지 3년의 전환 기간을 뒀지만, 내년 9월부터 침해 및 악용된 취약점에 대한 보고가 의무화되고, 내년 6월부터 적합성 평가가 시작될 예정이다.
또 CRA는 제품군과 조직 규모에 차등 적용되지만, 중요 제품의 경우 규정 미준수 시 최대 1500만유로(약 237억원) 또는 연간 매출액의 2.5%에 해당하는 벌금이 부과될 수 있다. 이는 2018년 발효된 EU의 일반정보보호 규정(GDPR)보다는 낮은 수준이지만, 이러한 컴플라이언스는 과거에도 예산과 조직 구조가 제한된 중소기업에 더 큰 부담으로 작용했다.
시장 규제를 통해 사이버보안을 강화하려는 접근법은 주요 국가의 정책 추세다. 미국에선 사이버보안 개선 행정명령(EO-14028)과 백악관 각서를 통해 연방정부에 납품되는 중요 SW에 대한 사이버보안을 강화하고, 제조사의 자체 증명서(Self-attestation)를 요구하고 있다.
자체 증명서는 미국의 '허위 진술' '부정 청구법'과 같은 법률과 결합해 SW 개발사에 부담으로 작용한다. 허위 진술에 의한 연방 처벌엔 최대 25만달러(약 3억원)의 벌금 또는 5년 이하의 징역형이 포함될 수 있으며, 부정 청구법에 따라 민사 책임이 발생할 수 있다.
지난 1월, 미국 연방통신위원회(FCC)는 홈 사물인터넷(IoT) 제품의 사이버보안 기능을 식별하기 위해 사이버 트러스트 마크(CTM) 프로그램을 시작했다. CTM은 암호화 전송·저장, SW 업데이트, 구매자의 비밀번호 및 데이터 보관 기능 여부 등에 따라 제품에 다른 색상의 마크를 부착해 보안 기능을 시각적으로 구분함으로써, 소비자의 구매 결정을 돕기 위한 제도다.
공급망 보안은 또한 강대국 경쟁에서도 중요한 이슈다. 같은 달 미국은 국가안보 위험을 이유로 중국과 러시아에서 개발된 차량 커넥티비티 시스템(VCS)과 자율주행 시스템(ADS)용 SW의 수입을 금지했다. 이에 자동차 부품 회사는 2027년 모델부터 SBOM을 10년간 보관하고 요청 시 미국 산업안보국(BIS)에 제출해야 한다.
이처럼 사이버보안은 인프라 방어에서 자국 시장과 소비자 보호를 포함한 경제 안보로 확장되고 있다. 공급업체(Vendor) 위험관리, 업데이트·패치 바이너리 검증 등 SW 공급망 방어의 어려움을 고려할 때 규제 준수 노력은 공급망 보안의 목표가 아니라 출발점이 돼야 하며, 지속적인 투자가 뒤따라야 한다. SW기업은 SBOM 관리와 같은 노력의 증거를 주장해 다가오는 제조물 책임에도 대비해야 하지만, 아직 위험관리에 익숙하지 않다면 SBOM 공유 및 취약점 검증과 같은 모범 사례를 개발하는 것부터 시작해야 한다.
결론적으로 사이버보안 노력을 입증할 수 있다면 향후 글로벌 시장에서 '신뢰할 수 있는 공급사'로 인정받아 비즈니스에 큰 영향을 미칠 수 있다. 그러나 이러한 모든 정책이 SW 공급망 위험 완화로 직결되는 것은 아니므로 긴 호흡을 가지고 파트너와 협력해 공급망의 신뢰성을 하나씩 강화하는 것이 중요하다.
최윤성 고려대 SW·AI융합대학원 교수·과학기술정보통신부 SW공급망보안포럼 정책분과장 yunseong@korea.ac.kr
