원본 번역 — Black Duck 체크리스트

EU CRA 취약점 보고 체크리스트: 2026년 9월 의무 사항

(원문 제목: EU CRA Vulnerability Reporting Checklist: Sept ‘26 Obligations)

발행: Black Duck Software, Inc. (2026년 4월) 문서 위상: 업계 분석·실무 체크리스트 (법적 구속력 없음). 1차 출처는 사이버 복원력법(Cyber Resilience Act, CRA) 원문임.

개요

(원문 p.2)

유럽연합(EU) 사이버 복원력법(Cyber Resilience Act, CRA)은 EU 시장에서 판매되는 소프트웨어·하드웨어 제품에 대해 의무적 사이버보안 요건을 도입한다. 이는 제품 전 생애주기에 걸친 설계 보안(security by design), 취약점 처리(vulnerability handling), 지속적 유지보수를 포괄한다.

2026년 9월 11일부터 CRA는 시행 단계에 진입한다. 이 시점부터 제조사(manufacturer), 수입사(importer), 유통사(distributor)는 **실제 악용되고 있는 취약점(actively exploited vulnerabilities)**과 **중대한 보안 사고(severe security incidents)**를 유럽 사이버보안청(European Union Agency for Cybersecurity, ENISA)과 지정된 국가별 침해사고대응팀(Computer Security Incident Response Team, CSIRT)에 통지해야 한다.

귀 조직은 CRA 취약점 보고 요건을 충족할 준비가 되었는가? 본 체크리스트가 준비 과정에 도움이 될 수 있다.

1. 적용 대상 제품 (In-Scope Products)

(원문 p.2)

CRA는 모든 소프트웨어를 기본 분류로 포함하는 제품 분류 체계를 정의하며, 주요 제품 기능에 따라 점차 엄격해지는 분류를 적용한다. 의료기기 등 별도의 사이버보안 의무가 적용되는 제품은 제외된다. 위반 시 벌금(전 세계 매출의 일정 비율)과 EU 시장에서의 제품 회수가 부과될 수 있다.

CRA 적용 대상은 다음 기준을 모두 충족하는 제품이다:

• **디지털 요소를 가진 제품(product with digital elements)**에 해당 — 소프트웨어, 펌웨어, 임베디드 소프트웨어, 연결 제품 동작에 필요한 소프트웨어를 포함
• EU에서 상업적으로 유통되는 제품 (상업 활동이 없는 자유·오픈소스 소프트웨어는 일반적으로 제외)
• 이미 더 엄격한 산업별 규제의 적용을 받지 않는 제품
• EU 시장에서 판매되는 레거시 제품도 적용 범위에 포함 — 신규 출시 제품에 한정되지 않음

2. 의무 보고 시한 (Mandatory Reporting Timelines)

(원문 p.2)

• 24시간 이내 초기 경고(early warning) — 실제 악용 취약점 또는 중대한 보안 사고를 인지한 시점부터. (주의: 24시간은 분류·해결을 위한 시간이 아니라, 조기 경보 체계로만 의도됨)
• 72시간 이내 트리아지 보고(triage report) — 취약점 분류(triage) 완료 후. 해결 방안(예: 수정 계획) 또는 제품에 영향을 미치지 않는다는 판단을 포함해야 한다.
• 14일 이내 최종 보고(final report) — 완화 조치(remediation) 가용 후. 학습된 교훈과 프로세스 개선 사항을 포함.
• 보고 체계는 2026년 9월 이전에 운영 가능하고 시험을 마친 상태여야 한다.

3. SBOM 요건 (SBOM Requirements)

(원문 p.2)

• 출고되는 모든 제품 버전마다 소프트웨어 자재명세서(Software Bill of Materials, SBOM)가 생성되어야 한다.
• SBOM은 **표준화된 형식(SPDX 또는 CycloneDX)**으로 작성되어야 한다.
• SBOM은 시장 감시 당국(market surveillance authorities)의 검토 대비로 보관되어야 한다.
• 시장 감시 당국 외 제3자에게 SBOM을 공유할 의무는 없다.

4. 지속적 취약점 모니터링 (Continuous Vulnerability Monitoring)

(원문 p.2)

• 제조사·유통사·수입사는 공급망 리스크의 변동을 식별하기 위한 지속적 취약점 모니터링 절차를 구현해야 한다 — 유럽 취약점 데이터베이스(European Vulnerability Database, EUVD) 또는 유럽위원회(European Commission)가 정의한 기타 데이터 출처를 통한 변동 정보 활용.
• 모니터링 도구는 잠재적으로 악용 가능한 취약점을 우선순위에 따라 처리해야 한다.
• 모니터링은 공급망 내 제품의 역할에 부합해야 한다 — 예: A사가 B사가 사용하는 부품을 생산하는 경우, A사는 잠재적으로 악용 가능한 취약점이 있는 제품을 출하하지 않을 책임을 진다.

5. 보고 인프라 (Reporting Infrastructure)

(원문 p.3)

• CRA 단일 보고 플랫폼(single reporting platform)과의 통합이 계획되어 있거나 시험을 마친 상태여야 한다.
• 내부 정책과 플레이북은 제품 전 생애주기(지원 기간 포함)에 걸친 취약점·사고 보고를 기술해야 한다.
• 모든 사이버보안 의사결정(도구 선정 포함)이 문서화되어야 한다 — 예: 도구의 성공 기준과 CRA 의무 부합 여부, 취약점을 누가 처리하고 어떻게 결론에 이르렀는지, 외부 커뮤니케이션 담당자.

6. 설계 보안 증빙 (Secure by Design Evidence)

(원문 p.3)

• 제품 리스크 평가가 수행·문서화되어야 한다.
• 취약점 처리 절차가 문서화되고 반복 가능해야 한다.
• 로그와 기록이 보존되어 컴플라이언스 조치를 증빙할 수 있어야 한다.

7. 시점별 의무 요약

(원문 p.3 — 두 개의 강조 박스)

8. Black Duck의 지원 (참고)

(원문 p.3 — 발행사 마케팅 섹션. 정보 보존 차원에서 옮김)

Black Duck은 CRA의 엄격한 요건을 충족하기 위해 설계된 도구를 제공한다.

• Black Duck® SCA — 제3자(서드파티) 리스크를 식별하고, EUVD에 등재된 취약점의 악용 가능성을 명시해 24시간 보고 요건 충족을 지원.
• Coverity® Static Analysis — 디지털 요소를 가진 제품을 공급망 내 고객에게 출하하기 전, 서드파티 리스크로 전이될 수 있는 자사 리스크(first-party risk)를 식별.
• Defensics® Fuzzing — 사이버-물리 장치, 어셈블리/서브어셈블리, 예비 부품에 연관된 자사·서드파티 리스크를 식별.

[원문의 “Contact us” CTA 박스 — 본 번역본에 미포함]

발행 정보

(원문 p.3 하단)

• About Black Duck: Black Duck®는 규제·AI 기반 환경에서 현대 소프트웨어의 이사회 수준 리스크에 대응한다. True Scale Application Security를 통해, 클라우드·온프레미스 환경에서 미션 크리티컬 소프트웨어 보안 솔루션을 제공.
• 저작권: ©2026 Black Duck Software, Inc. All rights reserved.
• 공개 시점: 2026년 4월
• 웹사이트: www.blackduck.com

번역자 주

• 본 문서는 법령 원문이 아니라 업계 발행 체크리스트이다. 모든 의무·시한의 법적 권위는 CRA 원문(Regulation (EU) 2024/2847)에 있다.
• “actively exploited vulnerability"는 본 번역에서 “실제 악용되고 있는 취약점"으로 통일했다. 일부 한국어 자료에서는 “활발히 악용되는 취약점"으로도 표기된다.
• “severe security incident"는 “중대한 보안 사고"로 옮겼다.
• 원문은 체크박스 양식이라 번역본도 마크다운 체크박스로 유지했다.