검증 보고서 — URL 점검과 환각 검출 1건
fact-checker 에이전트가 별도 컨텍스트에서 수행한 사실 검증 결과. 위임법 (EU) 2026/881의 통지 지연 조건에 대한 환각 1건을 찾아내 정정한 이력 포함.
이 페이지가 왜 중요한가
AI가 생성한 콘텐츠의 가장 큰 리스크는 그럴듯한 환각입니다. 이 워크스페이스는 보고서를 작성한 에이전트와 별개의 컨텍스트에서 사실 검증 에이전트(fact-checker)를 실행합니다. 검증 결과는 어떤 보고서에서든 영구 보존되며, 본문 수정이 필요하면 즉시 반영됩니다.
본 보고서에서는 실제로 위임법 (EU) 2026/881의 “통지 지연 3개 조건"이 잘못 기술된 환각 1건이 검증에서 발견되어 정정되었습니다. 그 이력이 아래에 그대로 공개되어 있습니다 — 결과보다 과정의 신뢰성을 보여주는 것이 이 페이지의 목적입니다.
검증 보고서: EU CRA 취약점 보고 의무 — 2026년 9월 11일 대비
판정: CONDITIONAL PASS (수정 반영 후 PASS로 갱신) 검증 일시: 2026-05-12
요약
- 검증한 인용 URL: 24건 (각주 [^1]~[^24] 시점)
- WebFetch 200 OK 또는 WebSearch로 페이지 확인됨: 24/24 (단, EUR-Lex 4건과 ISO 3건은 WebFetch 본문 비반환 — WebSearch로 페이지 실재 및 메타데이터 확인)
- 1차 출처로 핵심 사실 재확인: 12/13 일치, 1건 불일치(CSIRT 통지 지연 위임법의 3개 조건)
- 환각 의심: 1건 — 위임법 (EU) 2026/881의 “3가지 지연 사유” 항목
- 출처 없는 주장: 2건 (경미)
REPORT.md는 전반적으로 1차 출처에 잘 부합하나, 위임법 (EU) 2026/881의 “CSIRT 통지 지연 3개 조건” 기술이 실제 위임법 내용과 다른 내용으로 서술되어 있다. 이는 보고서 §3.3과 §4.1, 그림 4 캡션, 표의 비고에 반복적으로 등장한다. 사실 정합성 차원에서 즉시 수정 필요.
필수 수정 (Critical)
1. 위임법 (EU) 2026/881의 “CSIRT 통지 지연 조건” 서술 오류
- 위치:
- REPORT.md §3.3 (그림 4 아래) — “① 72시간 내 완화조치가 준비될 경우, ② 협력 취약점 공개(Coordinated Vulnerability Disclosure, CVD) 절차로 수령한 정보, ③ 수신 CSIRT가 사이버 사고 중이거나 보호 역량이 불충분한 경우다.”
- 02-trends.md §2.2도 동일한 3개 조건을 기술.
- 문제: 본 보고서가 명시한 3개 조건은 실제 위임법 (EU) 2026/881의 조건과 다르다.
- 출처에서 확인된 실제 내용 (EC 공식 보도 + 위임법 본문 기반 검색 결과):
CSIRT가 통지 전파를 지연할 수 있는 3가지 사유는 다음과 같다.
- 통지된 정보의 성격에 대한 평가 (in light of an evaluation of the nature of the notified information)
- 수신 CSIRT가 정보의 기밀성을 보장할 수 없는 경우 (if the CSIRT receiving the notification is unable to ensure the confidentiality of such information)
- 단일 보고 플랫폼이 침해되었거나 일시적으로 운영 불가한 경우 (if the single reporting platform has been compromised or is temporarily not operational) 또한 TLP·PAP 등 적절한 프로토콜로 위험을 완화할 수 없을 때, “엄격히 필요한 기간"에 한해 지연 가능하다는 조건이 본질.
- 수정 제안: REPORT.md §3.3의 해당 문장을 위 3개 조건으로 교체. 02-trends.md §2.2의 동일 서술도 같은 방식으로 정정. “72시간 내 완화조치”, “CVD 절차로 수령”, “수신 CSIRT가 사이버 사고 중"이라는 표현은 실제 위임법에 부합하지 않으므로 삭제.
- 참고: 동 위임법은 채택일 2025-12-11, 관보 게재 2026-04-20이라는 본문 주장은 검색으로 확인됨(부합).
권장 수정 (High/Medium)
1. SPDX 버전 표기 일관성 (Medium)
- 위치: REPORT.md §2.4 — “SPDX는 ISO/IEC 5962:2021로 국제 표준화되어 있으며”
- 사실: ISO/IEC 5962:2021은 SPDX v2.2.1 기반이며, SPDX 현행 사양은 v3.0. 03-references.md [C3]는 ISO/IEC 5962:2021 “SPDX V2.2.1"로, [C4]는 SPDX v3.0으로 정확히 분리.
- 수정 제안: REPORT.md 본문에 “ISO/IEC 5962:2021은 SPDX v2.2.1 기반 — 현행 v3.0은 spdx.dev 사양으로 통용"이라는 보조 설명 추가 권고. (현 서술이 틀린 것은 아니나 정밀성 보강 가능)
2. CycloneDX ECMA-424 1st/2nd 에디션 구분 (Medium)
- 위치: REPORT.md §2.4 — “CycloneDX는 OWASP가 관리하는 사양으로 2025년 12월 ECMA-424로 표준화되었다.”
- 사실: ECMA-424 1st Edition은 2024년 6월 (CycloneDX v1.6 기반), 2nd Edition이 2025년 12월 10일 (v1.7 기반)에 채택됨. 따라서 “2025-12에 표준화"는 2nd Edition을 지칭한다면 정확하나, 최초 표준화 시점은 2024년이다.
- 수정 제안: “2024년 6월 ECMA-424 1st Edition으로 표준화, 2025년 12월 v1.7 기반 2nd Edition 채택"으로 보강 권고.
3. 단계 적용 일정 표의 6.11 표기 (Low/Medium)
- 위치: REPORT.md §4.6, 표 항목 “2026-06-11 적합성 평가기관 통지 조항 적용 개시”
- 사실: EC
cra-summary페이지 확인 — “11 June 2026: Chapter IV (conformity assessment body notification) applies”. 일치. - 결론: 정확. 별도 수정 불필요.
4. 본문 미인용 참고문헌 (Medium)
- 위치: REPORT.md 본문은 03-references.md의 24건 중 22건만 인용. 미인용 2건:
- A5 (GDPR Reg. 2016/679) — 03-references.md에는 등록되었으나 REPORT.md 본문에서 직접 인용 안 됨.
- B6 (ENISA EUCC publication) — 03-references.md에는 있으나 REPORT.md 본문 인용 없음.
- 수정 제안:
- REPORT.md 본문에서 GDPR 72시간 통지·EUCC 인증 경로를 짧게 언급해 인용을 활성화.
- 또는 본 보고서에서 직접 활용하지 않는다면 03-references.md에서 제거.
5. “BSI TR-03183-2 v2.1.0” 인용 미부착 (Medium)
- 위치: REPORT.md §2.4, §5.2 — BSI TR-03183-2 v2.1.0이 언급되나 본문에 각주 없음 (02-trends.md [^32]는 있음).
- 수정 제안: REPORT.md에 BSI TR-03183-2를 신규 출처(예: G1 또는 B7)로 추가하거나 02-trends.md를 참조하도록 명기.
6. “EN 40000-2-1” 표준 번호의 비공식 표기 (Low)
- 위치: REPORT.md §3.4 표, §4.6 “2026-08-30 CEN/CENELEC 수평 표준 EN 40000-2-1 발행 목표”
- 사실: 02-trends.md는 “prEN” (draft)로 표기. CEN/CENELEC 공식 카탈로그 미공개 — 작업 번호로 통용 중이며 공식 발행 시 번호가 변경될 수 있음.
- 수정 제안: “(가칭) prEN 40000-2-1” 표기로 일관화.
참고 사항 (Low)
1. ISO 페이지(403)
ISO 카탈로그 페이지(iso.org/standard/*.html)는 자동화 접근 시 403을 반환. 표준 식별자는 WebSearch 결과의 ISO 공식 검색 인덱스로 확인됨. 03-references.md가 이 한계를 이미 명시했으므로 추가 조치 불필요.
2. Eur-Lex ELI URI는 WebFetch에서 본문 미반환
WebFetch는 Eur-Lex ELI 페이지에서 비어 있는 응답을 반복적으로 반환. WebSearch로 모든 ELI 식별자가 공식 인덱스에 존재함을 확인. URL 자체는 정확.
3. SME 인지도 통계 (12.3% vs 83.5%)
WebSearch로 Eclipse Foundation의 Mike Milinkovich 블로그(2025-12-18)에서 동일 수치 확인. 출처는 정확. 환각 의심이었으나 실재 인용으로 확정.
4. HackerOne, DLA Piper, Bird & Bird, OpenSSF, NIST, ENISA URL
WebFetch 또는 WebSearch로 모두 실재 페이지 확인. 제목·저자·날짜가 본문 인용과 부합.
5. 위임법 (EU) 2026/881 번호 자체는 환각 아님
03-references.md [A2]가 “2026/881 — published 20 April 2026"으로 명시하고 검색으로 채택 2025-12-11, 게재 2026-04-20이 확인됨. URL eur-lex.europa.eu/eli/reg_del/2026/881/oj도 공식 ELI 형식에 부합 (단, WebFetch 본문 미반환). 번호와 채택일은 정확. 다만 “3가지 지연 조건"의 내용 서술이 실제 위임법 본문과 다름 (Critical 항목 참조).
6. 한국 SW공급망 가이드라인 1.0 (2024-05)
01-background.md의 KISA URL 직접 확인 미수행(접근 한계). 발표 시점 2024-05은 다수 보조 자료와 일치.
검증 매트릭스
| 항목 | 결과 | 비고 |
|---|---|---|
| URL 실재성 | 정상 (24/24) | EUR-Lex 4건·ISO 3건은 WebFetch 본문 비반환이나 WebSearch로 모두 실재 확인 |
| 인용 내용 일치 | 주의 (22/24) | 위임법 (EU) 2026/881 본문 인용 불일치, BSI 가이드 무각주 |
| 원본-번역 일치 | 정상 | 6개 영역·2개 강조 박스 모두 보존, 추가 정보는 별도 표기 |
| 단계 간 정합성 | 정상 | 00~03과 REPORT.md의 시행일·기한 일관 |
| 출처 없는 주장 | 주의 (2건) | BSI TR-03183-2, EN 40000-2-1 비공식 표기 |
| 환각 패턴 | 주의 (1건) | 위임법의 “3가지 조건” 항목이 본문과 다름 |
| 본문-참고문헌 정합성 | 주의 | A5, B6은 03-references에 있으나 본문 미인용 |
| 용어 병기 | 정상 | 최초 등장 시 한글(영문) 형식 일관 |
URL 점검 상세
| 각주 | URL 도메인/경로 | 결과 | 비고 |
|---|---|---|---|
| A1 | eur-lex.europa.eu/eli/reg/2024/2847/oj/eng | 정상 | WebFetch 본문 미반환 / WebSearch로 ELI 인덱스 확인. Art. 71 (2026-09-11 적용) 정확. |
| A2 | eur-lex.europa.eu/eli/reg_del/2026/881/oj | 정상 (URL) / 실패 (인용 내용) | WebSearch로 ELI 확인. 채택 2025-12-11, 게재 2026-04-20 부합. 단 본문의 3개 조건 서술이 실제 위임법과 불일치 (Critical). |
| A3 | eur-lex.europa.eu/…/OJ:L_202502392 | 정상 | WebSearch로 확인. “28 November 2025”, “Annex III/IV 기술 설명”, 발효 2025-12-21 부합. |
| A4 | eur-lex.europa.eu/eli/dir/2022/2555/oj/eng | 정상 | WebFetch 본문 미반환 / NIS2 (Directive (EU) 2022/2555) 확인. |
| B1 | digital-strategy.ec.europa.eu/…/cyber-resilience-act | 정상 | “entered into force 10 December 2024”, “11 September 2026”, “11 December 2027” 확인. |
| B2 | digital-strategy.ec.europa.eu/…/cra-reporting | 정상 | 24h/72h/14d 시한, 1개월 (사고) 정확. |
| B3 | digital-strategy.ec.europa.eu/…/cra-summary | 정상 | Chapter IV 2026-06-11, 마이크로기업 면제 확인. 단 “지원 기간 최소 5년” 표현은 EC 페이지 본문에 명시 없음(REPORT.md는 추정으로 인용). |
| B4 | enisa.europa.eu/…/single-reporting-platform-srp | 정상 | “scheduled to be operational by 11 September 2026”, “testing period is expected” 부합. |
| B5 | enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping | 정상 | ENISA·JRC 공동 발간, 2024-04 부합. |
| C1 | iso.org/standard/69725.html | 주의 | ISO 403. WebSearch로 ISO/IEC 30111:2019 식별자 확인. |
| C2 | iso.org/standard/72311.html | 주의 | ISO 403. ISO/IEC 29147:2018 식별자 확인. |
| C3 | iso.org/standard/81870.html | 주의 | ISO 403. ISO/IEC 5962:2021 식별자 확인. |
| C4 | spdx.dev/specifications/ | 정상 | SPDX v3.0 최신, ISO/IEC 5962:2021 명시. |
| C5 | cyclonedx.org/specification/overview/ | 정상 | “ECMA-424 Published On 2025-12-10”, v1.7. |
| C6 | csrc.nist.gov/publications/detail/sp/800-218/final | 정상 | SP 800-218 v1.1, 저자·DOI 부합. |
| D1 | best.openssf.org/CRA-Brief-Guide-for-OSS-Developers.html | 정상 | David A. Wheeler 저자 확인. |
| E1 | twobirds.com/…/2026/cra… | 주의 | WebFetch 402. WebSearch로 페이지 인덱스 확인. |
| E2 | dlapiper.com/…/2026/02/cyber-resilience-act-what-you-need-to-know… | 정상 | 2026-02-19, Blum & Moylan Burke 확인. |
| E3 | dlapiper.com/en-us/…/law-in-tech/2026/cyber-resilience-act | 정상 | 가이던스 초안(2026-03-03), 의견수렴(2026-03-31) 부합. |
| E4 | hackerone.com/blog/cyber-resilience-act-vdp-2026-reporting-readiness | 정상 | 2026-03-17, Bertijn Eldering 확인. |
| F1 | enisa.europa.eu/news/consult-the-european-vulnerability-database… | 정상 | EUVD 2025-05-13 가동 부합. |
| F2 | digital-strategy.ec.europa.eu/…/eu-launches-european-vulnerability-database… | 정상 | 2025-05-13 launch 부합. |
핵심 사실 재확인 결과
| 사실 | 본문 진술 | 1차 출처 확인 | 일치 여부 |
|---|---|---|---|
| CRA 발효일 | 2024-12-10 | EC cyber-resilience-act 페이지: “entered into force on 10 December 2024” | 정상 |
| 관보 게재 | 2024-11-20 | 다수 1·2차 자료 일치 (CRA Art. 71의 “20일 후 발효” 역산 확인) | 정상 |
| 보고 의무 적용 | 2026-09-11 | EC cra-reporting: “As of 11 September 2026” | 정상 |
| 전면 시행 | 2027-12-11 | EC cyber-resilience-act: “main obligations… will apply from 11 December 2027” | 정상 |
| 24h/72h/14d/1개월 | Art. 14 | EC cra-reporting 인용 확인 | 정상 |
| 적합성 평가기관 조항 | 2026-06-11 | EC cra-summary 확인 | 정상 |
| 위임법 2026/881 채택일 | 2025-12-11 | EC 자료 확인 | 정상 |
| 위임법 2026/881 게재 | 2026-04-20 | WebSearch 다수 자료 확인 | 정상 |
| 위임법 2026/881 지연 사유 | ① 72h 완화 ② CVD ③ 수신 CSIRT 사고 | 실제: ① 정보 성격 평가 ② 기밀성 확보 불가 ③ SRP 침해/정지 | 실패 (Critical) |
| 시행규칙 2025/2392 채택 | 2025-11-28 | OJ 텍스트·다수 자료 확인 | 정상 |
| 시행규칙 2025/2392 발효 | 2025-12-21 | 다수 자료 확인 | 정상 |
| EUVD 가동 | 2025-05-13 | ENISA 보도자료 확인 | 정상 |
| SRP 가동 | 2026-09-11 | ENISA SRP 페이지 확인 | 정상 |
| 가이던스 초안 공개 / 마감 | 2026-03-03 / 2026-03-31 | EC 보도, DLA Piper 확인 | 정상 |
| 과징금 €15M 또는 매출 2.5% | Art. 64 Tier 1 | CRA Art. 64 검색 확인 | 정상 |
| SPDX ISO/IEC 5962:2021 | “표준화” | spdx.dev에서 확인 (v2.2.1 기반) | 정상 |
| CycloneDX ECMA-424 (2025-12) | “2025-12 표준화” | ECMA: 1st Ed 2024-06 (v1.6) / 2nd Ed 2025-12-10 (v1.7) | 주의 (2nd Ed라면 정확, 단 최초 표준화는 2024-06) |
| Eclipse Foundation SME 인지도 12.3% / 83.5% | Milinkovich 블로그 | 검색으로 동일 수치 확인 | 정상 |
원본 PDF vs 00-source.md 정합성
- IN-SCOPE PRODUCTS (4개 체크 항목): 모두 반영
- MANDATORY REPORTING TIMELINES (4개 체크 항목, 24h/72h/14d/Sep'26): 모두 반영
- SBOM REQUIREMENTS (4개 체크 항목): 모두 반영
- CONTINUOUS VULNERABILITY MONITORING (3개 체크 항목): 모두 반영
- REPORTING INFRASTRUCTURE (3개 체크 항목): 모두 반영
- SECURE BY DESIGN EVIDENCE (3개 체크 항목): 모두 반영
- “Must-Have by September 11, 2026” 박스: 반영
- “Due in 2027” 박스: 반영
- About Black Duck/Tools: 반영
- 원본에 없는 정보 추가 여부: 00-source.md는 “번역자 주” 절을 두어 한국어 용어 선택을 설명. 본문 내용에는 원본 외 정보 추가 없음.
본문 ↔ 참고문헌 정합성
- REPORT.md 본문 인용 출처: A1, A2, A3, A4, B1, B2, B3, B4, B5, C1, C2, C3, C4, C5, C6, D1, E1, E2, E3, E4, F1, F2 (총 22개)
- 누락: A5 (GDPR), B6 (ENISA EUCC) — 03-references.md에는 등록되었으나 REPORT.md에는 본문 인용 없음. 번호 건너뜀 의도였다면 03-references.md의 등록 항목과 일관성 정리 필요.
- 번호 중복 없음, 등록되지 않은 본문 인용 없음 (0건).
후속 조치 권고
- Critical 1건 — 즉시 수정 필요: REPORT.md §3.3 + 02-trends.md §2.2의 위임법 (EU) 2026/881 “3가지 조건” 본문을 실제 위임법 내용(정보 성격 평가 / 기밀성 / SRP 침해)으로 정정.
- 권장 수정 6건 — 사용자 검토 후 반영:
- SPDX v2.2.1 vs v3.0 구분 보강
- CycloneDX ECMA-424 1st(2024-06)/2nd(2025-12) 구분
- BSI TR-03183-2 본문 각주 부착
- “EN 40000-2-1” → “prEN 40000-2-1” 표기 통일
- A5 (GDPR), B6 (EUCC)을 본문에 인용 활성화하거나 03-references.md에서 일관 제거
- “지원 기간 최소 5년” 표현은 CRA Art. 13(8) 원문 근거를 본문에 명시 권고
- 참고 사항 6건 — 추가 조치 불필요. 차기 보고서 작성 시 ISO·Eur-Lex의 WebFetch 한계를 사전 고려.
검증 종료: 2026-05-12
수정 이력 (2026-05-12, fact-checker 피드백 반영 후)
Critical 1건 — 해결
- REPORT.md §3.3 / 02-trends.md §2.2: 위임법 (EU) 2026/881의 “CSIRT 통지 지연 3개 조건"을 실제 위임법 본문 기반으로 정정.
- 수정 후: ① 통지된 정보의 성격에 대한 평가, ② 수신 CSIRT가 기밀성을 보장할 수 없는 경우, ③ 단일 보고 플랫폼이 침해되었거나 운영 불가한 경우. TLP·PAP 등 프로토콜로 위험 완화 불가 시 “엄격히 필요한 기간"에 한해 지연 허용.
권장 6건 — 모두 해결
- SPDX 버전 구분 — REPORT.md §2.4에 “ISO/IEC 5962:2021은 SPDX v2.2.1 기반, 현행 사양은 spdx.dev v3.0” 보강.
- CycloneDX 1st/2nd Edition 구분 — “2024년 6월 ECMA-424 1st(v1.6) → 2025년 12월 10일 2nd(v1.7)“로 명확화.
- BSI TR-03183-2 인용 부착 — 새 각주 [^25] 신설, REPORT.md §2.4에 부착.
- EN 40000-2-1 → prEN 40000-2-1 — 모든 표기 일관화 (§3.4, §4.6).
- A5 (GDPR) / B6 (EUCC) 본문 인용 활성화 — §2.3에 GDPR 72시간 통지 병행 인용, §3.2에 EUCC 인증 경로 인용. §6에 두 항목 복원.
- “지원 기간 최소 5년"의 CRA Art. 13(8) 명시 — §2.6에 근거 조항 부착.
URL 추가 검증
- BSI 출처 보조 URL(Sbomify): WebFetch 200 OK, 페이지 제목 “EU Cyber Resilience Act (CRA) SBOM Requirements” 및 BSI TR-03183-2 다룸을 확인.
최종 판정
PASS — Critical 0건, 권장 0건 잔존. 모든 사실 진술이 1차 출처와 일치하거나 정확한 보조 출처로 보강됨.
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.