Home - Privacy - EU Cyber Resilience Act (CRA) 법안: VPN 그리고 중국 제품

EU Cyber Resilience Act (CRA) 법안: VPN 그리고 중국 제품

Hours 최종 업데이트 :
Comments 0 Comments
EU Cyber Resilience Act (CRA)

EU에서 이미 발효했고, 2027년 12월 11일부터 적용되는 Cyber Resilience Act (CRA) 법안에 대해서 아시나요? 사이버 복원력 법안이라고 번역되는데 우리에게 좋은 영향을 미치는 부분도 크지만 이와 함께 우려의 목소리도 함께 나오고 있습니다. (*취약점 및 보고 의무 적용은 2026년 9월부터)

유럽의 법안을 우리가 왜 이해해야하는지 의문이신분도 계실텐데요. 유럽 뿐 아니라 전 세계적으로 보안을 강화하며 그 명분, 혹은 부작용으로 검열까지 강화되는 부분이있어 우리의 온라인 프라이버시가 약화되는 결과로 이어지는데 이 추세가 점점 더 강해지고 있기 때문입니다.

목차

Cyber Resilience Act (CRA)란?

유럽 연합에서 수년간 준비한 법안으로 ‘디지털 요소를 포함하는 모든 소프트웨어 및 하드웨어 제품에 대한 공통적인 사이버 보안 요구사항에 대한 규제‘ 입니다.

규제라고 하면 대부분 싫어하시겠지만, 오히려 필요할 때가 더 많은 것 같습니다. EU의 규제 때문에 우리가 득보게 되는 부분도 있는데요. 대표적인게 아이폰 USB-C가 있겠네요. 끝까지 버티다가 EU 형들이 단두대 근처에 가니까 후다닥 독자 규격을 버리고 C타입으로 바꿨어요.

요약

한 줄 요약 – 제품의 설계, 개발, 생산부터 폐기에 이르는 전 생애주기(Full Lifecycle)에 걸쳐 업체의 보안 책임을 강화.

EU같이 큰 집단이 이런 규제를 마련해주면 우리 소비자로서는 굉장히 좋습니다. 예를 들어 흔한 제품 중 하나인 공유기만 보더라도 CRA가 적용된 이후의 EU 기준에 부합하려면 설계부터 업데이트까지 전 부분에서 ‘책임‘져야할 부분이 많아지기 때문이죠. 반대로 우리는 구매 후 이런저런 보안 문제로 속 썩이는 제품을 구매할 가능성이 줄어들게됩니다.

CRA는 자동차, 비행기, 의료기기 등 명확한 규제가 존재하는 분야는 제외되며 우리가 체감할 수 있는 부분은 컴퓨터, 모바일 디바이스와 그에 사용되는 소프트웨어 및 각종 서비스가 있겠습니다. 제조업체(Manufacturers), 수입업체(Importers), 유통업체(Distributors) 모두 적용돼요.

장점

Cyber Resilience Act (CRA)의 장점은 매우 명확합니다. 솔직히 저는 이 수준의 법안이 한국을 포함한 아시아 지역에도 생겼으면 합니다. 수준 이하의 제품들이 상당히 자연스럽게 걸러질것이라 생각하기 때문입니다. 제가 정말 싫어하는 SNS, 펀딩 사이트를 통해 대충 팔아먹고 책임없는 수준의 제품들이 대표적이고 IT 제품들도 구매 후 업데이트 등의 문제로 답답해지는 경우가 적지 않아요.

이 법안의 핵심은 ‘투명성‘이기 때문에 가장 바빠질 나라는 아무래도 중국일거라 생각해요. 중국 내수 시장이야 지금까지 하던대로 장사해도되지만 수출이 어려워지는 제품들이 많이 생길거라 예상합니다.

EU Cyber Resilience Act (CRA) Pros and Cons

CRA 법안에 적용받을 제품만 생각해봐도 그들 입장에서는 아찔해집니다.

  • 스마트폰
  • 테블릿
  • 미니PC
  • IoT 가전(스마트 티비, 스마트 냉장고, 스마트 기능이 포함된 세탁기 등)
  • 네트워크 제품(공유기, 스위치, 모뎀 등)
  • 카메라 달린 제품 (홈캠, CCTV 등)
  • 로봇 청소기
  • 워치 등 웨어러블 디바이스
  • 소프트웨어(모바일 앱)
  • 클라우드
  • VPN

등등 인터넷(블루투스 포함)에 연결된다? 하는 소프트웨어, 하드웨어 제품들은 모조리 포함이예요. 법안 적용 이후에 EU에서 판매, 유통된다? 지금보다 훨씬 더 신뢰할 수 있는 제품이라고 볼 수 있겠습니다. EU 국가의 앱스토어에서는 검색이 안된다? 평균적으로 걸러도 좋다는 의미로 받아들일 수 있습니다.

의무사항

  • 취약점: 알려진 취약점에 대해 모두 해결된 상태로 설계 및 개발 그리고 지속적인 관리 포함
  • 보안 기본값: 사용자가 기기, 소프트웨어, 서비스를 처음 사용할 때 최대한 안전한 상태여야 함
  • 업데이트: 보안 업데이트 시스템 필수 (이왕이면 자동 업데이트 선호) 최소 5년 이상 무료로 적시에 제공해야함.
  • 유지보수: Support period 엄격하게 지켜야 함
  • 외부 인증: 제품의 보안 등급에 따라 Important, Critical로 분류되면 제3자 인증 및 외부 평가 필요
  • 투명성: SBOM(Software Bill of Materials)을 통해 투명성을 높임 – 소프트웨어의 경우 어떤 라이브러리, 모듈 등을 사용했는지 명확하게 공개해야합니다. 단순하게 포함된 요소만 알리는게 아니라 각 컴포넌트 버전, 의존성 관계 등 매우 상세하게 공개해야한다고 해요.
    • SPDX(Software Package Data Exchange), CycloneDX, SWID(Tag) 등의 형식이 대표적이라고 합니다.
  • 보고의 의무: 취약점 및 심각한 보안 사고를 인지한 경우 ENISA 및 CSIRT에 24시간 이내에 의무적으로 보고해야함
  • CE 마크: 모든 CRA 요구 사항을 준수했다는 것을 증명하는 CE 마킹을 제품에 부착
  • 강력한 책임: 타사 부품 및 타사 소프트웨어가 포함된 경우 제조업체가 공급망 전체 책임 및 관리
  • 위반 시 강력한 벌금 (*Regulation (EU) 2024/2847의 제64조)
    • Tier 1: 가장 중대한 위반
      • 위반 내용:
        • 필수 사이버 보안 요구 사항(Annex I) 불이행
        • 제조업체의 핵심 의무(제13조, 제14조) 불이행
      • 벌금: 최대 1,500만 유로(EUR 15,000,000) 또는 직전 회계연도 전 세계 총매출의 2.5%더 높은 금액
    • Tier 2: 기타 주요 의무 위반
      • 위반 내용:
        • 적합성 평가, 문서화, SBOM 제공, 정보 제공, 취약점 보고 등 기타 주요 의무(제64조 2항에 나열된 조항들) 불이행
      • 벌금: 최대 1,000만 유로(EUR 10,000,000) 또는 직전 회계연도 전 세계 총매출의 2%더 높은 금액
    • Tier 3: 부정확한 정보 제공
      • 위반 내용:
        • 인증 기관(Notified Body)이나 시장 감시 당국에 부정확하거나 불완전한, 또는 오해의 소지가 있는 정보를 제공한 경우
      • 벌금: 최대 500만 유로(EUR 5,000,000) 또는 직전 회계연도 전 세계 총매출의 1%더 높은 금액

VPN을 포함한 보안 업계 영향

여기서 우리 VPN 유저들이 눈여겨 볼 부분은 ANNEX III – IMPORTANT PRODUCTS WITH DIGITAL ELEMENTS 입니다.

디지털 요소가 포함된 중요 제품

Class I

  1. 인증 및 액세스 제어 판독기(생체 인식 판독기 포함)를 포함한 ID 관리 시스템 및 특권 액세스 관리 소프트웨어 및 하드웨어
  2. 독립형 및 내장형 브라우저
  3. 비밀번호 관리자
  4. 악성 소프트웨어를 검색, 제거 또는 격리하는 소프트웨어
  5. 가상 사설망(VPN) 기능을 갖춘 디지털 요소가 포함된 제품
  6. 네트워크 관리 시스템
  7. 보안 정보 및 이벤트 관리(SIEM) 시스템
  8. 부트 관리자
  9. 공개 키 인프라 및 디지털 인증서 발급 소프트웨어
  10. 물리적 및 가상 네트워크 인터페이스
  11. 운영 체제
  12. 인터넷 연결을 위한 라우터, 모뎀, 스위치
  13. 보안 관련 기능을 갖춘 마이크로프로세서
  14. 보안 관련 기능을 갖춘 마이크로컨트롤러
  15. 보안 관련 기능을 갖춘 ASIC(Application Specific Integrated Circuit) 및 FPGA(Field-Programmable Gate Array)
  16. 스마트 홈 범용 가상 비서
  17. 스마트 도어 잠금 장치, 보안 카메라, 아기 모니터링 시스템 및 알람 시스템을 포함한 보안 기능이 있는 스마트 홈 제품
  18. 유럽 ​​의회 및 이사회 지침 2009/48/EC ( 1 ) 에 따라 사회적 상호 작용 기능(예: 말하기 또는 촬영)이 있거나 위치 추적 기능이 있는 인터넷 연결 장난감
  19. 건강 모니터링(추적 등) 목적이 있고 규정(EU) 2017/745 또는 (EU) No 2017/746이 적용되지 않는 인체에 ​​착용하거나 부착하는 개인용 착용 제품 또는 어린이가 사용하도록 의도된 개인용 착용 제품

Class II

  1. 운영 체제 및 유사한 환경의 가상화된 실행을 지원하는 하이퍼바이저 및 컨테이너 런타임 시스템
  2. 방화벽, 침입 탐지 및 방지 시스템
  3. 변조 방지 마이크로프로세서
  4. 변조 방지 마이크로컨트롤러

이 법안이 강제적으로 적용되는 시점 이후에 내가 사용하는 수 많은 소프트웨어와 보안 서비스들이 어떻게 변화될지 매우 궁금해집니다. 한편으론 흥미롭죠.

어떻게 될까?

저는 이 분야의 전문가가 아니기 때문에 정확히 말씀드리긴 어렵지만, 대체적으로 봤을 때 이 법안으로 인해서 중하급 VPN들은 큰 타격을 받게될 것으로 보입니다.

만약 VPN이 외부 인증이 필요한 서비스로 분류 된다면 No Log VPN 리스트에 적어둔 회사들처럼 신뢰할 수 있는 제3의 기업으로부터 감사(Audit) 받아야할 가능성이 매우 커집니다. 만약 외부 감사가 필수로 적용된다면 중소 업체들 뿐 아니라 중국과 관련된 VPN 업계는 타격이 더 크겠죠. 그동안 투명성을 등지고 돈을 벌어온 회사들이라면 문 닫을 가능성이 커집니다.

무료라고 광고하고 뒤로 사용자들의 데이터를 판매해온 업체들은 당연히 사라지게 될테니 반강제로 수질이 좋아지는 결과로 이어지게 될 것입니다. 저는 이 부분을 매우 긍정적으로 받아들이도 있습니다. ‘가짜 노로그 VPN’이 확실하게 청소될테니 진짜만 남을테니까요.

이는 클라우드 서비스(웹하드 포함), 비밀번호 관리자, 이메일, 웹 브라우저, 메신저 등 매우 광범위하게 적용되는 법안이라 매우 큰 변화가 생길 것입니다.

EU, 그리고 각 국가들의 움직임을 봤을 때 점점 더 중급 이하의 보안 업체들은 살아남기 힘들어질 것으로 보입니다. 아래 글도 한번 읽어보세요.

아직 댓글이 없습니다

댓글 남기기