참고 자료 카탈로그 — 25건, 카테고리별

수집 기준일: 2026-05-12. 총 25건(A: 5 / B: 6 / C: 6 / D: 1 / E: 4 / F: 2 / G: 1). 모든 URL은 작성 시점에 WebFetch/WebSearch로 200 OK 또는 공식 EUR-Lex 색인을 통해 실재가 확인되었다.

표기 규약: 본 카탈로그의 항목은 본문(REPORT/단계별 산출물)에서 [A1], [B2] 형태로 참조한다. footnote([^N])를 사용하지 않는 이유는 Hugo Goldmark가 본문 인용이 없는 footnote 정의를 출력하지 않기 때문이다.

A. 법령·규제 원문 (1차)

A1. European Parliament and Council (2024). Regulation (EU) 2024/2847 of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements (Cyber Resilience Act). Official Journal of the European Union, OJ L, 2024/2847, 20.11.2024. https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng (접속: 2026-05-12). — 제도 골격 전반의 1차 출처. 정의(Art. 3), 제조사 의무(Art. 13), 보고 의무(Art. 14, 24h/72h/14d 시한), 단일 보고 플랫폼(Art. 16), 시행일(Art. 71) 인용용.

A2. European Commission (2025). Commission Delegated Regulation (EU) 2026/881 of 11 December 2025 supplementing Regulation (EU) 2024/2847 with regard to the conditions for delaying dissemination of notifications of actively exploited vulnerabilities and severe incidents. Published 20 April 2026. https://eur-lex.europa.eu/eli/reg_del/2026/881/oj (접속: 2026-05-12). — CSIRT가 사이버보안 사유로 통지의 추가 전파(dissemination)를 지연할 수 있는 조건. 본 보고서 §5(보고 인프라) 및 사이버보안 사유 예외 논의 부분 인용.

A3. European Commission (2025). Commission Implementing Regulation (EU) 2025/2392 of 28 November 2025 laying down technical descriptions of categories of important and critical products with digital elements. OJ L, 2025/2392. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202502392 (접속: 2026-05-12). — Annex III/IV에 열거된 “중요(important)” 및 “핵심(critical)” 제품 분류의 기술 정의. 본 보고서 §1(적용 대상) 분류 체계 인용.

A4. European Parliament and Council (2022). Directive (EU) 2022/2555 of 14 December 2022 on measures for a high common level of cybersecurity across the Union (NIS2 Directive). OJ L 333, 27.12.2022, p. 80. https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng (접속: 2026-05-12). — EUVD의 법적 근거(Art. 12), CSIRT 네트워크, 사고 보고 의무. CRA와의 중복·교차 적용 논의에 인용.

A5. European Parliament and Council (2016). Regulation (EU) 2016/679 — General Data Protection Regulation (GDPR). OJ L 119, 4.5.2016. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679 (접속: 2026-05-12). — 개인정보가 포함된 취약점·사고의 경우 GDPR Art. 33(72시간 통지)과의 병행 적용. CRA 통지의 GDPR 통지 비대체성 논의에 인용.

B. 발행 기관 공식 문서

B1. European Commission, DG CNECT (2026). Cyber Resilience Act — Shaping Europe’s digital future. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act (접속: 2026-05-12). — CRA의 공식 정책 허브. 시행 일정(2024-12-10 발효, 2026-09-11 보고 의무, 2027-12-11 전면 적용) 1차 확인용.

B2. European Commission, DG CNECT (2026). Cyber Resilience Act — Reporting obligations. https://digital-strategy.ec.europa.eu/en/policies/cra-reporting (접속: 2026-05-12). — 24h/72h/14d 시한, Single Reporting Platform 구조, CSIRT·ENISA 라우팅. 본 보고서 §2(보고 시한) 인용용.

B3. European Commission, DG CNECT (2024). The Cyber Resilience Act — Summary of the legislative text. https://digital-strategy.ec.europa.eu/en/policies/cra-summary (접속: 2026-05-12). — CRA 8개 장(章)·8개 부속서 구조 요약, 시행 단계. 본 보고서 §7(시점별 의무) 정리에 인용.

B4. ENISA (2026). Single Reporting Platform (SRP). https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp (접속: 2026-05-12). — ENISA가 운영하는 단일 보고 플랫폼 사양·운영 모델. 본 보고서 §5(보고 인프라) 통합 계획 부분 인용.

B5. ENISA & Joint Research Centre (2024). Cyber Resilience Act Requirements Standards Mapping — Joint Analysis. Published April 2024. https://www.enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping (접속: 2026-05-12). — CRA 필수 요건과 기존 사이버보안 표준(ISO/IEC, EN, ETSI)의 매핑. 본 보고서 §6(설계 보안 증빙) 및 표준 채택 논의 인용.

B6. ENISA (2025). Cyber Resilience Act implementation via EUCC and its applicable technical elements. Published 26 February 2025. https://certification.enisa.europa.eu/publications/cyber-resilience-act-implementation-eucc-and-its-applicable-technical-elements_en (접속: 2026-05-12). — EU Common Criteria(EUCC) 인증 경로가 CRA 적합성 평가에 어떻게 활용 가능한지. 본 보고서 §7(2027년 CE 마킹·적합성 평가) 인용.

C. 표준·프레임워크

C1. ISO/IEC (2019). ISO/IEC 30111:2019 — Information technology — Security techniques — Vulnerability handling processes. Edition 2. Reviewed and confirmed 2025. https://www.iso.org/standard/69725.html (접속: 2026-05-12). — 제조사 내부 취약점 처리 프로세스의 사실상 표준. 본 보고서 §4(지속적 모니터링) 및 §6(취약점 처리 절차 문서화) 인용. (참고: ISO 카탈로그 페이지가 일부 자동화 접근에 403을 반환하나 카탈로그 항목은 표준 식별자임.)

C2. ISO/IEC (2018). ISO/IEC 29147:2018 — Information technology — Security techniques — Vulnerability disclosure. Edition 2. Reviewed and confirmed 2024. https://www.iso.org/standard/72311.html (접속: 2026-05-12). — 조정된 취약점 공개(CVD) 프로세스의 사실상 표준. CRA Art. 14의 24h 조기 경보·통지 워크플로우 설계 시 매핑 가능.

C3. ISO/IEC (2021). ISO/IEC 5962:2021 — Information technology — SPDX® Specification V2.2.1. https://www.iso.org/standard/81870.html (접속: 2026-05-12). — SPDX의 ISO 표준화 버전. 본 보고서 §3(SBOM 표준화 형식) “SPDX 또는 CycloneDX” 요건 인용.

C4. The Linux Foundation / SPDX Project (2024). SPDX Specifications (current: v3.0). https://spdx.dev/specifications/ (접속: 2026-05-12). — SPDX 최신 사양. CRA SBOM 요건 충족 시 채택 가능한 1차 사양 문서.

C5. OWASP Foundation / Ecma International (2025). CycloneDX Specification v1.7 / ECMA-424. Released 2025-10-21, ECMA-424 published 2025-12-10. https://cyclonedx.org/specification/overview/ (접속: 2026-05-12). — CycloneDX 사양. CRA SBOM 요건 충족 시 SPDX와 함께 허용되는 1차 사양 문서.

C6. Souppaya, M., Scarfone, K., Dodson, D. — NIST (2022). Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities. NIST SP 800-218. Published February 2022. DOI: 10.6028/NIST.SP.800-218. https://csrc.nist.gov/publications/detail/sp/800-218/final (접속: 2026-05-12). — 설계 보안(Secure by Design) 실무. 본 보고서 §6(설계 보안 증빙) 매핑 가능 프레임워크.

D. 학술·정책 연구

D1. OpenSSF Best Practices WG / Global Cyber Policy WG (2025). Cyber Resilience Act (CRA) Brief Guide for Open Source Software (OSS) Developers. Lead author: David A. Wheeler. https://best.openssf.org/CRA-Brief-Guide-for-OSS-Developers.html (접속: 2026-05-12). — OSS 기여자에 대한 CRA 적용 범위(상업적 활동 기준) 해석. 본 보고서 §1(적용 대상) “상업 활동이 없는 FOSS는 일반적으로 제외” 항목 보강 인용.

E. 업계·법무법인 분석

E1. Bird & Bird LLP (2026). CRA’s phased entry into application starts in September 2026. Bird & Bird Insights. https://www.twobirds.com/en/insights/2026/cra%E2%80%99s-phased-entry-into-application-starts-in-september-2026 (접속: 2026-05-12). — Art. 14 시한·과징금(€15M 또는 매출 2.5%) 정리. 본 보고서 §1(위반 시 벌금) 및 §2 시한 인용.

E2. DLA Piper — L. Blum & L. Moylan Burke (2026). Cyber Resilience Act: What you need to know and what you need to be doing. Published 19 February 2026. https://www.dlapiper.com/en/insights/publications/2026/02/cyber-resilience-act-what-you-need-to-know-and-what-you-need-to-be-doing (접속: 2026-05-12). — Important/Critical 분류, SaaS 제외 경계, GDPR·NIS2·Data Act·AI Act 교차 적용. 본 보고서 §1·§7 종합 정리에 인용.

E3. DLA Piper (2026). Cyber Resilience Act: Commission unveils draft implementation guidance. Law in Tech. https://www.dlapiper.com/en-us/insights/publications/law-in-tech/2026/cyber-resilience-act (접속: 2026-05-12). — Commission이 2026년 3월 3일 공개한 CRA 가이던스 초안(원격 데이터 처리, FOSS, 지원 기간) 분석. 본 보고서 §5(내부 정책·플레이북) 기준 보강.

E4. HackerOne — B. Eldering (2026). EU Cyber Resilience Act: Preparing Your VDP for 2026 Reporting Requirements. https://www.hackerone.com/blog/cyber-resilience-act-vdp-2026-reporting-readiness (접속: 2026-05-12). — VDP·트리아지 인프라 운영 관점. 본 보고서 §5(보고 인프라 시험 완료) 실무 체크리스트 보강.

F. 언론 및 공식 발표 (보조)

F1. ENISA (2025). Consult the European Vulnerability Database to enhance your digital security! News release, 13 May 2025. https://www.enisa.europa.eu/news/consult-the-european-vulnerability-database-to-enhance-your-digital-security (접속: 2026-05-12). — EUVD 정식 가동 발표(2025-05-13). 본 보고서 §4(EUVD를 통한 지속적 모니터링) 1차 확인용.

F2. European Commission (2025). EU launches a European vulnerability database to boost its digital security. News, Shaping Europe’s digital future. https://digital-strategy.ec.europa.eu/en/news/eu-launches-european-vulnerability-database-boost-its-digital-security (접속: 2026-05-12). — EUVD 출범에 대한 Commission 측 발표. EUVD가 NIS2 Art. 12 이행물임을 보조 확인.

G. 회원국 기관 기술 가이드

G1. Bundesamt für Sicherheit in der Informationstechnik (BSI) (2025). Technical Guideline TR-03183-2 v2.1.0 — Cyber Resilience Requirements for Manufacturers and Products, Part 2: Software Bill of Materials (SBOM). August 2025. 요지 정리: Sbomify, EU Cyber Resilience Act (CRA) SBOM Requirements. https://sbomify.com/compliance/eu-cra/ (접속: 2026-05-12). — CRA 정합 SBOM의 SPDX·CycloneDX 필드 매핑. 본 보고서 §2.4(SBOM 요건) 보강 인용.

카탈로그 검증 결과

• A 카테고리 5건(최소 3건 충족) — CRA 본문, 위임법, 시행규칙, NIS2, GDPR.
• B 카테고리 6건(최소 3건 충족) — Commission 공식 3건, ENISA 공식 3건.
• C 카테고리 6건 — ISO/IEC 30111·29147·5962, SPDX, CycloneDX, NIST SSDF.
• D 카테고리 1건 — OpenSSF 정책 가이드.
• E 카테고리 4건 — Bird & Bird, DLA Piper(×2), HackerOne.
• F 카테고리 2건 — ENISA 보도자료, Commission 보도자료.
• G 카테고리 1건 — BSI TR-03183-2 v2.1.0 (회원국 기관 기술 가이드).
• 모든 URL에 접속일자(2026-05-12) 표기 완료.
• 각 항목 메모에 “보고서 어디에 쓸지” 명시 완료.
• NIST SSDF에 DOI 명시(10.6028/NIST.SP.800-218).
• 영구 URL 사용(단축 URL 없음). EUR-Lex는 ELI 영구 식별자 우선.
• ISO 카탈로그 페이지는 ISO 서버가 자동화 접근에 403을 반환하지만, ISO 공식 검색 인덱스로 표준 식별자가 확인됨. (대체 출처: 본문이 공식 PAS인 경우 standards.iso.org/ittf/PubliclyAvailableStandards/ 의 ZIP 링크.)