https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/Recent content in EU CRA 취약점 보고 의무 — 2026년 9월 11일 대비 조사보고서 on HaksungHugoenTue, 12 May 2026 14:15:57 +0900https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/source/Tue, 12 May 2026 00:00:00 +0000https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/source/<div class="alert alert-secondary" role="alert"> <p>이 페이지는 <a href="https://haksungjang.github.io/research/">EU CRA 취약점 보고 의무 보고서</a>의 <strong>00단계 산출물</strong>입니다. 원본 PDF를 국문으로 번역한 것이며, 보강·해석은 추가되지 않았습니다(보강은 <a href="../background/">배경</a> / <a href="../trends/">동향</a> 페이지 참조).</p> </div> <h1 id="eu-cra-취약점-보고-체크리스트-2026년-9월-의무-사항">EU CRA 취약점 보고 체크리스트: 2026년 9월 의무 사항</h1> <p><em>(원문 제목: EU CRA Vulnerability Reporting Checklist: Sept &lsquo;26 Obligations)</em></p> <blockquote> <p><strong>발행</strong>: Black Duck Software, Inc. <em>(2026년 4월)</em> <strong>문서 위상</strong>: 업계 분석·실무 체크리스트 (법적 구속력 없음). 1차 출처는 사이버 복원력법(Cyber Resilience Act, CRA) 원문임.</p> </blockquote> <hr> <h2 id="개요">개요</h2> <p><em>(원문 p.2)</em></p> <p>유럽연합(EU) 사이버 복원력법(Cyber Resilience Act, CRA)은 EU 시장에서 판매되는 소프트웨어·하드웨어 제품에 대해 의무적 사이버보안 요건을 도입한다. 이는 제품 전 생애주기에 걸친 <strong>설계 보안(security by design)</strong>, <strong>취약점 처리(vulnerability handling)</strong>, <strong>지속적 유지보수</strong>를 포괄한다.</p>https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/background/Tue, 12 May 2026 00:00:00 +0000https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/background/<div class="alert alert-secondary" role="alert"> <p>이 페이지는 <a href="https://haksungjang.github.io/research/">EU CRA 취약점 보고 의무 보고서</a>의 <strong>01단계 산출물</strong>입니다. context-researcher 에이전트가 1차 출처(Eur-Lex, EC, ENISA)를 중심으로 조사한 배경 자료입니다.</p> </div> <h1 id="배경-eu-cra-취약점-보고-의무">배경: EU CRA 취약점 보고 의무</h1> <h2 id="1-자료-개요">1. 자료 개요</h2> <p>검토 대상 문서는 블랙덕 소프트웨어(Black Duck Software, Inc.)가 2026년 4월에 발행한 <em>EU CRA Vulnerability Reporting Checklist: Sept &lsquo;26 Obligations</em>다.<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup> 블랙덕은 소프트웨어 구성 분석(Software Composition Analysis, SCA), 정적 분석(Static Analysis), 퍼징(Fuzzing) 등 애플리케이션 보안 솔루션을 제공하는 미국 매사추세츠주 기반 상장 기업으로, 2024년 시놉시스(Synopsys)의 소프트웨어 무결성 사업부가 분사되어 설립되었다.<sup id="fnref1:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup></p>https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/trends/Tue, 12 May 2026 00:00:00 +0000https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/trends/<div class="alert alert-secondary" role="alert"> <p>이 페이지는 <a href="https://haksungjang.github.io/research/">EU CRA 취약점 보고 의무 보고서</a>의 <strong>02단계 산출물</strong>입니다. trend-analyst 에이전트가 직전 24개월(2024-05 ~ 2026-05)의 1차·2차 출처 41건을 정리한 자료입니다.</p> </div> <h1 id="최신-동향-eu-cra-취약점-보고-의무">최신 동향: EU CRA 취약점 보고 의무</h1> <blockquote> <p><em>조사 기준일: 2026-05-12</em> <em>대상 법규: 사이버 복원력법(Cyber Resilience Act, CRA) — Regulation (EU) 2024/2847</em></p> </blockquote> <p>2024년 12월 10일 발효된<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup> EU CRA에서 가장 임박한 마감일은 2026년 9월 11일 취약점·중대 사고 보고 의무다. 아래는 그 시점을 앞두고 지난 24개월(2024년 5월 ~ 2026년 5월) 사이 쌓인 1차·2차 자료를 시간순으로 훑어본 기록이다.</p>https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/references/Tue, 12 May 2026 00:00:00 +0000https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/references/<div class="alert alert-secondary" role="alert"> <p>이 페이지는 <a href="https://haksungjang.github.io/research/">EU CRA 취약점 보고 의무 보고서</a>의 <strong>03단계 산출물</strong>입니다. 모든 URL은 작성 시점에 WebFetch/WebSearch로 실재가 확인되었습니다. 본문에서는 <code>[A1]</code>, <code>[B2]</code> 형식으로 참조합니다.</p> </div> <p><em>수집 기준일: 2026-05-12. 총 25건(A: 5 / B: 6 / C: 6 / D: 1 / E: 4 / F: 2 / G: 1). 모든 URL은 작성 시점에 WebFetch/WebSearch로 200 OK 또는 공식 EUR-Lex 색인을 통해 실재가 확인되었다.</em></p> <blockquote> <p><strong>표기 규약</strong>: 본 카탈로그의 항목은 본문(REPORT/단계별 산출물)에서 <code>[A1]</code>, <code>[B2]</code> 형태로 참조한다. footnote(<code>[^N]</code>)를 사용하지 않는 이유는 Hugo Goldmark가 본문 인용이 없는 footnote 정의를 출력하지 않기 때문이다.</p>https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/verification/Tue, 12 May 2026 00:00:00 +0000https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/verification/<div class="alert alert-warning" role="alert"><div class="h4 alert-heading" role="heading">이 페이지가 왜 중요한가</div> <p>AI가 생성한 콘텐츠의 가장 큰 리스크는 <strong>그럴듯한 환각</strong>입니다. 이 워크스페이스는 보고서를 작성한 에이전트와 <strong>별개의 컨텍스트</strong>에서 사실 검증 에이전트(<code>fact-checker</code>)를 실행합니다. 검증 결과는 어떤 보고서에서든 영구 보존되며, 본문 수정이 필요하면 즉시 반영됩니다.</p> <p>본 보고서에서는 실제로 <strong>위임법 (EU) 2026/881의 &ldquo;통지 지연 3개 조건&quot;이 잘못 기술된 환각 1건</strong>이 검증에서 발견되어 정정되었습니다. 그 이력이 아래에 그대로 공개되어 있습니다 — 결과보다 과정의 신뢰성을 보여주는 것이 이 페이지의 목적입니다.</p> </div> <h1 id="검증-보고서-eu-cra-취약점-보고-의무--2026년-9월-11일-대비">검증 보고서: EU CRA 취약점 보고 의무 — 2026년 9월 11일 대비</h1> <p><strong>판정</strong>: CONDITIONAL PASS <em>(수정 반영 후 PASS로 갱신)</em> <em>검증 일시: 2026-05-12</em></p>https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/meta/Tue, 12 May 2026 00:00:00 +0000https://haksungjang.github.io/research/2026-eu-cra-vulnerability-reporting/meta/<div class="alert alert-info" role="alert"> <p>이 페이지는 <strong>본 보고서가 만들어진 과정</strong>을 공개합니다. 결과(보고서)와 별개로, <strong>AI로 신뢰할 만한 콘텐츠를 만드는 절차</strong> 자체를 투명하게 보여드리려는 목적입니다. 하네스 자체에 대한 더 일반적인 설명은 <a href="../../methodology-claude-code-harness/">방법론 글</a>을 참고하세요.</p> </div> <h2 id="한-줄-요약">한 줄 요약</h2> <p>3쪽 영문 PDF를 8개 AI 에이전트가 30분 만에 32KB 보고서로 만들었습니다. 마지막 검증 단계에서 환각 1건이 잡혀 정정되었습니다.</p> <h2 id="입력과-출력">입력과 출력</h2> <table> <thead> <tr> <th>항목</th> <th>내용</th> </tr> </thead> <tbody> <tr> <td><strong>입력</strong></td> <td>Black Duck Software, <em>EU CRA Vulnerability Reporting Checklist: Sept &lsquo;26 Obligations</em> (3쪽, 2026년 4월)</td> </tr> <tr> <td><strong>출력</strong></td> <td>단계별 산출물 5종 + 통합 보고서 1편 + 검증 보고서 1편 = 7개 마크다운 파일</td> </tr> <tr> <td><strong>본문 길이</strong></td> <td>32KB (통합 보고서 본문 기준)</td> </tr> <tr> <td><strong>인용 출처</strong></td> <td>25건 (1차 출처 우선)</td> </tr> <tr> <td><strong>도식</strong></td> <td>Mermaid 4개 (적용 흐름·보고 시한·입법 타임라인·이해관계자 상호작용)</td> </tr> <tr> <td><strong>소요</strong></td> <td>약 30분 (병렬 조사 + 검증 포함)</td> </tr> </tbody> </table> <h2 id="파이프라인">파이프라인</h2> <pre class="mermaid">flowchart TB USER[사용자가 PDF를&lt;br/&gt;sources/에 둠] COORD[research-coordinator&lt;br/&gt;총괄 조율] TRANS[source-translator&lt;br/&gt;국문 번역] BG[context-researcher&lt;br/&gt;배경 조사] TR[trend-analyst&lt;br/&gt;최신 동향] REF[reference-collector&lt;br/&gt;근거 자료] SYN[report-synthesizer&lt;br/&gt;보고서 통합] DIA[diagram-designer&lt;br/&gt;도식 생성] FC[fact-checker&lt;br/&gt;사실 검증] REPORT[REPORT.md] VERIF[_verification.md] USER --&gt; COORD COORD --&gt; TRANS TRANS --&gt; BG TRANS --&gt; TR TRANS --&gt; REF BG --&gt; SYN TR --&gt; SYN REF --&gt; SYN SYN &lt;--&gt; DIA SYN --&gt; REPORT REPORT --&gt; FC FC --&gt; VERIF FC -.-&gt;|&#34;FAIL 시&lt;br/&gt;최대 2회 재작업&#34;| SYN style TRANS fill:#e3f2fd style BG fill:#fff3e0 style TR fill:#fff3e0 style REF fill:#fff3e0 style FC fill:#ffebee,stroke:#c62828,stroke-width:2px style REPORT fill:#e8f5e9</pre> <p><strong>그림 1.</strong> 보고서 생성 파이프라인. 배경·동향·근거 조사는 병렬로 실행되어 시간을 단축.</p>