EU Cyber Resilience Act (CRA)의 준수 기한이 빠르게 다가오면서, 많은 기업에서 사이버보안이 핵심 과제로 자리 잡고 있습니다. 이전부터 엄격하게 규제를 받아온 의료나 자동차 분야는 규제가 어떻게 보안성이 높은 솔루션 개발을 촉진할 수 있는지 보여주었습니다. 이제 CRA를 통해, 더욱 폭넓은 범위의 제품 제조업체에게 동일한 수준의 보안 요구사항이 적용될 예정입니다.
하지만 긍정적인 소식도 있습니다: CRA 컴플라이언스 준수는 제품 제조업체에게 전략적 기회가 될 수 있습니다. 첫째, 제품 보안을 보다 체계적으로 관리하면 보안 침해로 발생할 수 있는 막대한 손실을 예방할 수 있습니다. 둘째, 취약점 관리와 리포팅, 서드파티(3rd party) 관리, 그리고 설계 단계부터 구현된 전반적인 제품 보안을 위한 우수한 프로세스와 절차를 선도적으로 구축한 기업은 시장에서 인정받을 가능성이 높아지며 경쟁 우위를 확보할 수 있습니다.
CRA 준비의 핵심 요소를 요약한 짧은 인터뷰 영상입니다.
YouTube에서도 시청하실 수 있습니다.
이 블로그에서는 Qt Group이 CRA 컴플라이언스 준수를 위한 준비를 어떤 식으로 하고 있는지, 그리고 규제 요구사항을 제때 충족하기 위해 제조업체는 무엇을 해야 하는지에 대한 몇 가지 인사이트를 공유하고자 합니다.
Qt 고객들의 CRA 컴플라이언스 준비 상황을 살펴보면, 제조업체마다 현재 단계에 큰 차이가 있습니다. 일부 기업은 아직 초기 단계에 있어 어떤 제품이 CRA 적용 대상인지 파악하는 데 집중하고 있습니다. 반면 일부 기업은 이미 사이버보안 전담 조직이 제품 개발 및 유지보수 프로세스가 CRA 요구사항을 충족하는지 세부적으로 검토하는 단계에 있습니다.
여기서 복잡한 점은, 현재 규제 기관조차 아직 완전히 준비되어 있지 않다는 사실입니다. 사이버 복원력법(CRA)에 대해 명확하지 않은 부분이 여전히 남아 있으며, 동시에 다가오는 CRA 준수 기한은 규정에 맞춰 준비해야 한다는 압박에 놓여 있습니다. 예를 들어 Qt Group은 아직 인증기관이 마련되지 않은 상황을 고려하여, 외부 감사인을 통해 현재 CRA 컴플라이언스 수준을 진단받기로 했습니다. 다만 감사인들 역시 현 시점에서는 가능한 범위 내에서 최선의 판단에 따라 평가를 진행하고 있습니다.
결국 CRA 컴플라이언스 준비는 현재 준비 상태를 파악하는 것에서 시작됩니다. 그렇게 해야만 어떤 규제 항목을 우선적으로 해결해야 할지 명확하게 확인할 수 있습니다.
CRA 컴플라이언스 준비는 가능한 한 일찍 시작할수록, 규정 적용 시점에 더 잘 대비할 수 있습니다. 아직 명확하지 않은 부분이 남아 있긴 하지만, CRA 요구사항 중 지금부터 준비할 수 있는 항목들은 이미 많이 있습니다. 그중 일부를 지금부터 자세히 살펴보도록 하겠습니다.
취약점 관리는 CRA 컴플라이언스 준수 항목 중에서도 경쟁 우위로 이어질 잠재력이 큰 분야입니다.
CRA는 보안 업데이트를 어떻게 처리해야 하는지에 대한 엄격한 지침을 제공하고 있지 않습니다. 대신, 발견된 보안 사고를 공개하는 공통 기준을 제시하고, 제조업체가 이에 맞는 최적의 프로세스와 절차를 구축할 수 있도록 자율성을 부여하고 있습니다. 따라서 보안 침해 상황을 얼마나 신속하게 관리할 수 있는지 보여주는 것이 곧 차별화 요소가 될 수 있으며, 이를 잘 수행할수록 사용자 신뢰가 높아지고 브랜드 이미지에도 크게 긍정적인 영향을 줍니다.
제조업체는 취약점 보고 프로세스를 명확히 정의하고, 메일링 리스트나 기타 조기 경보 채널을 활용하여 리포팅 및 사용자 커뮤니케이션을 가능한 한 자동화해야 합니다. 또한 고객 포털 등을 통해 보안 패치를 제공할 수 있는 역량을 구축해야 합니다. 이러한 사항들은 Qt Group에서도 이미 실행하고 있습니다.
취약점 관리에서 또 하나 중요한 요소는 제품에 포함된 구성 요소와 각 구성 요소의 버전을 식별할 수 있는 능력입니다. 이는 보안 사고 발생 시 해당 사고가 실제로 제품에 적용되는지, 그리고 어떤 제품 버전이 특정 보안 업데이트가 필요한지를 제조업체와 최종 사용자 모두가 식별하는 데 큰 도움을 줍니다.
소프트웨어 자재 명세서 (SBOM, Software Bill of Materials)는 제품에 사용된 구성 요소의 세부 정보와 공급망 관계를 기계적으로 처리할 수 있는 형태로 기술한 문서입니다. 예를 들어 Qt를 사용하여 디바이스를 개발한다면, SBOM을 통해 해당 디바이스에 포함된 보안 관련 구성 요소를 제품 자체뿐 아니라 사용된 서드파티(3rd party) 구성 요소까지 식별할 수 있습니다.
SBOM은 CRA에서 요구하는 직접적인 기술적 제품 요건이기도 하므로, SBOM 생성을 자동화하면 CRA 컴플라이언스 준수에 큰 도움이 됩니다. 또한 SBOM은 규정 내 정의가 명확해, 다른 다소 모호한 항목들에 비해 비교적 충족하기 쉬운 CRA 요구사항이기도 합니다.
그러나 서드파티 관리에는 이보다 더 많은 고려 사항이 있습니다. 소프트웨어 아키텍처가 점점 더 복잡해지고 플랫폼 기반 접근 방식이 보편화되면서, 특히 산업 환경에서는 서로 다른 공급업체의 여러 애플리케이션으로 구성되는 경우가 많습니다. 이때 포함된 애플리케이션 중 하나에서 보안 문제가 발생하면 제품 전체를 어떻게 보호할 수 있을지가 중요한 문제가 됩니다. 이 지점에서 샌드박싱(sandboxing)이 중요한 역할을 합니다. Qt Application Manager와 같은 도구는 애플리케이션을 서로 격리하여 시스템의 나머지 구성요소와 상호작용하지 못하도록 하는 방식으로 샌드박싱 기능을 제공합니다. 이를 통해 제조업체는 제품 스택 내 애플리케이션의 라이프사이클을 완전히 제어할 수 있습니다.
취약점 관리는 보통 보안 사고가 발생한 이우 어떻게 대응할지에 초점이 맞춰져 있습니다. 그러나 그보다 더 중요한 것은 보안 사고가 발생하지 않도록 제품을 미리 보호하는 것입니다. 이 때문에 CRA는 제조업체가 제품의 전체 수명 주기에 걸친 라이프사이클 관리를 수행하도록 요구하며, 기본적으로 최소 5년간의 지원 및 보안 업데이트 제공을 규정하고 있습니다.
하지만 5년이라는 기준에는 그 이상으로 고려해야 할 사항들이 있습니다.
예를 들어 산업용 기계를 생각해보면, 제품 개발에만 5년이 걸리는 경우가 흔합니다. 개발 초기부터 "Qt 6.8 버전을 사용하여 개발하고, 5년 후에 출시한 뒤 향후 20년 동안 같은 버전 기반으로 제공하겠다."라고 결정하는 것은 현실적으로 불가능합니다. OPC foundation 역시 강조하듯, 제품 개발자는 시제품 단계부터 가장 최신의, 가장 안전한 기술을 지속적으로 사용할 수 있도록 업그레이드 경로와 업데이트 전략을 설계하는 방법을 반드시 숙지해야 합니다. 이는 CRA 컴플라이언스를 달성하기 위한 가장 큰 교훈 중 하나로, 초기 단계부터 업그레이드를 고려하지 않으면 제품 출시 후 더 큰 어려움을 겪게 됩니다.
그렇다면 어떻게 처음부터 안정적이고, 안전하며, 완성도 높은 제품을 만들 수 있을까요? 업데이트를 배포하기 전에 기능, 보안, 사용자 경험 측면에서 회귀(regression)가 없는지 반드시 확인해야 합니다.
이러한 부분에서 품질 보증(QA, Quality Assurance) 도구가 여러 방식으로 도움을 줄 수 있습니다. 예를 들어 Coco나 Axivion과 같은 도구를 활용한 정적 분석으로, 소스 코드가 실제 제품에 반영되기 전 단계에서 잠재적 보안 문제를 탐지할 수 있습니다. 또한 소프트웨어 아키텍처가 복잡해진 현대 환경에서, 시스템 구현이 정의된 소프트웨어 아키텍처와 일치하는지 검증하는 데에도 QA 도구를 활용할 수 있습니다. 예컨대 R&D 단계에서 의도치 않게 보안 취약점을 초래할 수 있는 인터페이스를 만들지 않았는지 확인하는 작업입니다. 이러한 활동들은 안전한 제품을 개발하는 데 기여하며, CRA 컴플라이언스 달성에도 직접적으로 도움이 됩니다.
Qt Group은 CRA 컴플라이언스 대응을 크게 두 가지 방향에서 추진하고 있습니다. 첫째, Qt Group 자사 제품이 CRA 컴플라이언스를 확실히 충족하도록 관리합니다. 둘째, 고객이 CRA 요건을 보다 효율적으로 충족하면서도 동시에 제품의 출시 일정이 지연되지 않도록 지원합니다.
Qt Group이 현재까지 진행한 CRA 컴플라이언스 관련 조치들은 다음과 같습니다:
Qt Group은 여전히 일부 CRA 컴플라이언스 항목에 대한 작업을 진행하고 있으며, 관련 진행 상황은 앞서 언급한 전용 CRA 웹 페이지에서 확인할 수 있습니다. 또한 고객의 CRA 관련 요구와 기대를 지속적으로 공유하며, CRA 컴플라이언스의 복잡성을 양측 모두에게 가장 효율적인 방식으로 함께 해결해 나가고 있습니다.
Qt라는 기술은 30년의 역사를 지니고 있습니다. 그 과정에서 Qt Group은 이미 오랫동안 견고한 보안 체계와 프로세스를 구축해 왔으며, 이제 이를 CRA 컴플라이언스에 맞게 조정하고 있을 뿐입니다. 달리 말하면, CRA는 우리가 그동안 고객의 제품 보안 강화를 지원하기 위해 수행해 온 활동들을 제도적으로 공식화해 준 것이라고도 할 수 있습니다. 이러한 점에서 Qt Group은 CRA를 긍정적으로 받아들이고 있습니다. 그리고 이제 다른 모든 제조사들도 각자의 CRA 컴플라이언스 체계 마련을 시작해볼 것을 권고합니다.
]취약점을 어떻게 식별할 것인가? 패치는 어떻게 제공할 것인가? 처음부터 안전한 제품은 어떻게 설계할 수 있는가? CRA 컴플라이언스에서 가장 중요한 항목은 무엇이고, 각 항목을 "대응하기 쉬운 것"과 "노력이 많이 드는 작업"으로 구분하여 우선순위를 정할 수 있을 것인가? 이러한 질문들에 대한 각 제조사별 최적의 답을 찾는 과정은 규제 컴플라이언스를 준수하는 데 도움이 될 뿐만 아니라, 경쟁 시장에서 신뢰와 차별화를 만들어낼 수 있습니다.
이 글이 여러분이 CRA 대비를 준비하는 데 좋은 출발점이 되었기를 바랍니다. 관련하여 더 궁금한 점이 있다면, 문의하기를 통해 Qt 전문가로부터 자사 현황 분석이나 자세한 상담을 받아보실 수 있습니다.
CRA 비전페이퍼EU 사이버 복원력법(CRA) 이해에 도움이 될 인사이트: |
CRA 관련 추가 정보CRA의 첫 번째 시행 기한이 2026년으로 다가옴에 따라, Qt Group은 주요 요구사항, 실무적 인사이트, 그리고 자사 제품의 CRA 컴플라이언스 대응 현황을 정리하여 공유하는 CRA 전용 웹 페이지를 마련했습니다. |