惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Google DeepMind News
Google DeepMind News
博客园_首页
H
Help Net Security
T
Tailwind CSS Blog
S
SegmentFault 最新的问题
GbyAI
GbyAI
Scott Helme
Scott Helme
D
Docker
Hacker News: Ask HN
Hacker News: Ask HN
P
Privacy & Cybersecurity Law Blog
Jina AI
Jina AI
雷峰网
雷峰网
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Spread Privacy
Spread Privacy
G
GRAHAM CLULEY
C
Cisco Blogs
The Hacker News
The Hacker News
F
Full Disclosure
Y
Y Combinator Blog
Blog — PlanetScale
Blog — PlanetScale
Recent Announcements
Recent Announcements
G
Google Developers Blog
量子位
K
Kaspersky official blog
Cisco Talos Blog
Cisco Talos Blog
The Cloudflare Blog
A
About on SuperTechFans
C
Cybersecurity and Infrastructure Security Agency CISA
Last Week in AI
Last Week in AI
博客园 - 三生石上(FineUI控件)
Microsoft Security Blog
Microsoft Security Blog
Martin Fowler
Martin Fowler
T
Tenable Blog
P
Palo Alto Networks Blog
H
Heimdal Security Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
W
WeLiveSecurity
Schneier on Security
Schneier on Security
The Register - Security
The Register - Security
F
Fortinet All Blogs
Stack Overflow Blog
Stack Overflow Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
T
The Blog of Author Tim Ferriss
N
News and Events Feed by Topic
Hugging Face - Blog
Hugging Face - Blog
小众软件
小众软件
V
V2EX
爱范儿
爱范儿

ZDNet Korea

여기어때, 해양 관광 레저·티켓 할인 쿠폰 쏜다 11번가, 5월 바다여행지 숙박·체험 상품 할인 패스트파이브, 작년 매출 1500억원·영업익 60억원 혼다코리아, '뉴 파일럿 블랙 에디션' 사전 계약…7880만원 카카오엔터 추천 4월 화제의 신작 웹툰 4선 휴먼컨설팅그룹, 연구개발 허브 ‘양재센터’ 신설 더벤처스, K뷰티 '클레버스텝스' 시드 투자 민주당 "지방선거 이후 디지털자산기본법 논의 본격화" KFC, 가맹점주 대상 프랜차이즈 컨벤션 개최 스타벅스, 장애인의 날 맞아 공모전 수상작 굿즈 출시 "URL 포함된 고유가 지원금 알림 문자는 사기" 2025년 원화 결제 수출 비중 3.4%…역대 최고 삼양사, 국제베이커리페어 첫 참가…냉동생지 ‘프레팡’ 공개 문체부 콘텐츠 R&D 확대, 현장 체감은 엔비디아, '빌드 어 클로' 한국 첫 공개…"AI 에이전트 직접 구축" LS일렉트릭, 북미 데이터센터에 1700억 규모 전력 설비 공급 스타스테크, 콜라겐 스킨케어 ‘라보페’ 리브랜딩...국내외 유통망 확장 네이버 사우디 직원들 다시 사무실로…중동 사업 재궤도 올해는 결론 나오나…배달앱 사회적 대화기구 재출범부터 ‘균열’ [이종천] 2026년 통신시장, 아직 단통법 시절 ‘금난전권’ 그림자에 갇혀 있는가 KOSA, 의료·바이오 AI 인재 양성…실무형 교육 강화 빅밸류, 10년 만 첫 흑자…"올해 매출 100억원 목표" 트럼프, 호르무즈 해협 봉쇄령…"이란에 통행료 낸 선박 차단" 우리 동네 교통·안전 문제, ‘도시 데이터’로 해결 환경분야 시험·검사 전문성 ↑…산업계 수요 반영, 고난도 분석기술 교육 靑 "종전선언까지 비상대응...매점매석 금지 추가검토" "D램 가격 상승률, 1분기 70%→2분기 30~50%로 둔화 전망" "판교 정보보호클러스터 확 달라져"...9년만에 시설 대폭 개선 보안 개념이 바뀐다...'미토스 보고서' 7월 발표 벤츠, 전국 어디서나 같은 가격…다이렉트 직판제 전환 스타링크 위성 인터넷이 이동통신 결합상품으로 전기차 타이어, 내연기관보다 더 빨리 닳는 이유 [ZD브리핑] 삼성 TV 신제품 발표...AIDC 특별법 논의 속도 조선소 파운데이션 모델 개발 400억원 투입…산업현장 적용 추진 외식업 평균 차액가맹금 2600만원…가장 높은 곳은 치킨 GIST 에너지 전주기 연구체계 구축 "시동" 가맹점 수 1위는 '메가커피'...평균 매출액 1위는 '투썸' 풀무원, 파주 탄현면 일대 '평화의 숲' 가꾸기 진행 장애물 대응 "사람처럼"…4족보행로봇 상용 제어기 선보여 가맹산업 다시 성장 궤도…본부·브랜드·가맹점 수 일제히 증가 자율로봇 학습용 영상, 모자이크없이 원본 활용 가능해진다 연구개발특구, 2030까지 코스닥 400개, 매출 150조원 달성 삼성전자, 에어컨 생산라인 풀가동... 에어컨 수요 급증 대비 [SW키트] 전기차 설계 혁신, 다쏘시스템 '버추얼 트윈'서 나온다 [써보고서] 와이파이 끊어도 AI는 살아있다…구글 'AI 엣지 갤러리' 미·이란 종전협상 결렬...밴스 "핵 포기 확약 못받아" 중동 위기, 재생에너지 전환 불 지폈지만…구조적 제약 여전 KT, 온라인 전용 인터넷 요금제 출시 박윤영 KT, 부산 해저케이블 육양국 점검 미·이란 협상 긴장에도 비트코인 횡보…7만달러선 지켜 '미토스'에 미 백안관도 "사이버보안 비상" LGU+, 내일부터 유심 업데이트-무료 교체 [르포] 금융권 개발자들의 치열한 AI 경쟁…'AWS 게임데이' 가보니 에코프로, 캐나다서 리튬 메탈 음극재 R&D 지원금 64억원 획득 미국-이란 1차 회담 지속…아직 결론 못내 하나은행 '하나원큐', 일상 플랫폼으로 고도화 "이 선물 싫어" 화내는 아이...당신이 부모라면? "잘 팔리는 것 더 많이 팔자"…GS25 상품전략 공유회 가보니 MS 엑스박스, 업적 기능 개편…인사이더 대상 테스트 돌입 '은랑 LV.999' 뜬다…호요버스 '붕괴: 스타레일', 파격 보상 앞세워 3주년 축제 락스타게임즈, 해킹 사건 확인...해커 측 "돈 안 내면 정보 공개" '미토스'에 놀란 세계..."사이버보안 새 시대 예고" 쿠팡, 지방 물류센터 청년 일자리 더 늘린다 스테이블코인 시대, 달러는 질주…원화는 전략 '부재' 동진쎄미켐, "美신너 공장 하반기 양산 가동"...삼성전자와 특허 공동 출원 10만~60만 고유가 피해지원금...취약계층 27일부터 지급 "더러운 빙산인 줄 알았는데"…남극서 미지의 섬 발견 개보위 공무원들 "함께 모여 AI 공부"...'AX 엔진룸' 운영 콘텍트 렌즈로 시선 추적한다…"배터리·센서 필요없어" "AI는 실행, 사람은 설계"…넥써쓰, '위대한 기업' 향한 AX 전략 그래핀에 레이저 쐈더니 ‘가속’…무연료 우주선 가능할까 [우주로 간다] [피지컬AI 윤리] 재난·치안 로봇과 칸트의 정언 명령 NASA 유인우주선 ‘아르테미스 2호’ 무사 귀환 테슬라, 네덜란드서 FSD 사용 승인…유럽 서비스 확대 예고 TSMC, 1분기 최대 실적 경신…AI칩 호황 증명 개보위, 행안부 등과 개인정보 전송 안전성 강화 간담회 이연수 NC AI 대표 "모두가 크리에이터…다른 기업과 협력 원해" [AI는 지금] 엔비디아, GPU 시장서 86% 독주 가능한 까닭은 중기부 추경 1조6900억 확정...스타트업에 6719억 SKT, CPU에 NPU 더해 AI 추론 서버 성능 검증 과기정통부 추경 787억원 확정...청년 창업지원-전통기업 AX 확대 26.2조 전쟁추경 국회 통과...국민 70%에 10만~60만원 지원 메모리 품귀 '장기화' 진입… 韓 팹리스 수급난 고조 [박준성의 SW] AI 에이전트 아키텍처는? [안광섭의 AI 진테제] AI시대 디딤돌과 걸림돌 "300도에도 안 터진다"…열폭주 차단한 나트륨 배터리 나왔다 [영상] "아이폰 울트라, 배터리·두께 모두 잡았다" [카드뉴스] 중동전쟁, 왜 멈추지 않을까 쏠리드, 6G 국책과제 'AI-Native 무선 인터페이스 개발' 주관기관 선정 ETRI 원장 후보 김봉태·박세웅·백용순 박사 선정 LGU+, AWS 기반 AI 플랫폼 구축...인프라 운영 자동화 슈퍼센트 "게임사 넘어 '콘텐츠 테크 기업'으로…핵심 동력은 AI" HKC, 6세대 OLED 투자 '안갯속' 네이버, 빅테크 챗봇 경쟁 접고 생태계 AI 전략 시동 건다 [ZD SW투데이] 뉴엔AI '퀘타' 모델, K-AI 리더보드 종합 1위 外 배민, 5조 클럽 가입…4900억 자사주 소각해 주주환원 LG헬로비전, ‘어디든 간대호’ 연장 편성 넷마블 '왕좌의게임: 킹스로드', 온라인 쇼케이스 티저 영상 공개 '정보 유출' 롯데카드 4.5개월 영업정지 통지에 MBK 책임론 재점화 'K-AI 설계자'에 1000만원 쏜 과기부…배경훈, 행안부 커피차에 '깜놀'
"EU, 보안 취약점 관리 9월부터 의무화...다층 접근해야"
방은주 기자 · 2026-05-13 · via ZDNet Korea

유럽연합(EU)이 사이버복원력 법안(CRA,Cyber Resilience Act) 시행을 본격화하면서  소프트웨어 공급망 보안과 이에 대한 대응책에 기업들의 관심도 높아지고 있다.

EU CRA는 2024년 12월 10일부로 공식 발효됐다. 세부 이행 요건은 2025년 12월 공표했다. 취약점 관리 의무는 올 9월부터 적용한다. 전체 적합성 요건에 대한 단계적 집행은 2026년 9월~2027년 12월에 걸쳐 이뤄질 예정이다.

CRA는 유럽 시장에서 판매하는 모든 '디지털 요소를 가진 제품(products with digital elements)'에 대해 기본적인 사이버보안 요구사항을 의무화한 법이다. 유럽에서 소프트웨어·하드웨어·IoT 기기·산업제어 시스템·클라우드 연동 제품 등을 판매하려면 처음부터 보안을 고려해 설계하고, 취약점 관리와 보안 업데이트까지 지속적으로 제공해야 한다.

CRA는 단순한 권고안이 아니라 '제품 판매 조건'에 가까운 규제다. 제조사는 제품 출시 전에 보안 위험을 평가해야 하며, 안전한 기본 설정(secure by default), 취약점 공개 정책, SBOM(소프트웨어 자재명세서), 보안 업데이트 체계 등을 갖춰야 한다. 또한 실제 공격에 악용되는 취약점이 발견되면 EU 사이버보안 기관인 ENISA에 일정 시간 내 보고해야 한다. 이를 지키지 않으면 최대 1500만 유로 또는 글로벌 연매출 2.5% 수준까지 과징금이 부과될 수 있다.

이러한 흐름 속에서 ICT 전문기업 쿠도커뮤니케이션은 AI 기반 애플리케이션 보안 분야의 글로벌 리더 ‘블랙덕(Black Duck)’과 함께 13일 기자간담회를 열고, SBOM(Software Bill of Materials)을 기반으로 하되 이를 넘어서는 확장 가능한 소프트웨어 공급망 보안 전략과 EU CRA 취약점 요구사항 충족 방안을 제시했다.

이번 행사에는 블랙덕의 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄(Head of Software Supply Chain Risk Strategy)가 방한해 직접 발표를 진행했다.

맥키는 소프트웨어 공급망 보안 분야의 글로벌 전문가다. RSA, Black Hat, Open Source Summit, KubeCon 등 주요 국제 컨퍼런스에서 발표를 했다. EU CRA를 포함한 글로벌 소프트웨어 보증 활동에 직접 참여하고 있다.

그는 EU CRA의 핵심 요구사항으로 ▲소프트웨어 구성 요소에 대한 투명성 확보 ▲취약점 관리 및 대응 체계 구축 ▲지속적인 보안 관리 체계 등을 제시, 이를 위한 핵심 수단으로 SBOM의 중요성을 강조하면서도, SBOM만으로는 CRA 요구사항을 완전히 충족할 수 없다고 밝혔다.

CRA가 제시하는 기대 수준은 ▲제3자 취약점 제로(Zero) ▲기본 보안(Security by Default) ▲취약점 신속 보고 ▲테스트 의사결정 기록 관리 ▲강력한 오픈소스 거버넌스 ▲적합성 진술서(Conformity Statement) 확보 등이다.

맥키는 "EU CRA는 단순히 규제를 넘어 애플리케이션 및 운영 사이버보안 관행의 기준선이자, 제조사가 제품 전체 수명주기에 걸쳐 잘 설계되고 안전한 소프트웨어를 생산하겠다는 의지를 명확히 입증하는 수단으로 기능한다"고 설명했다. 이어 "포괄적인 취약점 및 리스크 관리 프로그램 일환으로 활용될 때, SBOM은 공급망 파트너 간 신뢰를 전달하는 역할을 한다"고 강조했다.

그는 또 CRA 준수를 위해서는 단순 SBOM 생성 이상의 다층적 접근이 필요하다고 설명했다. 구체적으로 △SCA(소프트웨어 구성 분석)를 통한 제3자 리스크 관리 및 취약점 매핑 △정적 분석(Coverity)을 통한 자사 코드 취약점 제거 및 안전한 API·데이터 처리 구현 △퍼징 테스트(Defensics)를 통한 프로토콜 수준의 공급망 검증 및 악조건 내 제품 동작 확인이 모두 요구된다.

CRA는 올 9월부터 적용하는 취약점 공개 의무도 포함하며, 이는 유럽 취약점 데이터베이스(EUVD)를 포함한 다수 채널에 대한 보고를 의무화한다. 이어 “특히 글로벌 시장을 대상으로 서비스를 제공하는 기업의 경우, EU CRA 대응은 선택이 아닌 필수 요소가 될 것”이라고 덧붙였다.

한편 CRA는 EU/EEA 내 판매 여부를 기준으로 적용하며, 제품의 개발·생산·본사 소재지와는 무관하다. 이는 EU 시장에 소프트웨어 포함 제품을 판매하는 국내 기업에도 동일하게 적용된다는 점에서, 적극적인 선제 대응이 요구된다.

위반 시에는 허위 진술에 대해 전 세계 매출의 2.5%, 일반 적합성 위반에 대해 4%에 달하는 과징금이 부과될 수 있다. EU 공동시장 접근권 박탈이라는 최대 제재도 규정돼 있다.

CRA 적합성 평가는 크게 세 가지 방식으로 구분된다. 제조사가 자체적으로 검증·선언하는 모듈 A(내부 통제 기반), 제3자 인증기관(Notified Body)이 설계 및 개발을 심사하는 모듈 B+C(EU형식 시험), 품질경영시스템 전반을 인증기관이 평가하는 모듈 H(전체 품질보증)가 있으며, 제품 유형 및 위험 분류에 따라 적절한 방식을 적용한다. 모든 방식에서 CE 마킹 획득이 최종 요건으로 명시되어 있다.

맥키는 “규제를 단순히 비용 요인으로 볼 것이 아니라 전략적 기회로 접근해야 한다. 자동차 산업이 차량 내 소프트웨어, 제조, 클라우드, 네트워크 인프라 전반에 걸쳐 보안 생태계를 구축한 것처럼, 소프트웨어를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 한다"고 말했다.

블랙덕은 오픈소스 소프트웨어 보안 및 관리 분야에서 약 25년에 가까운 경험을 바탕으로, SBOM 생성 및 관리, 취약점 분석, 오픈소스 컴포넌트 상태 관리 등 소프트웨어 공급망 전반에 대한 가시성과 통제 기능을 제공하고 있다.

관련기사

EU CRA 대응을 위한 Black Duck의 통합 접근법은 ▲파이프라인 보안(Pipeline Security)을 통한 빌드 워크플로우 리스크 제거 ▲SCA를 통한 소프트웨어 공급망 가시성·통제 확보 ▲악성 코드 및 취약점 탐지 ▲SBOM 관리를 통한 업스트림·다운스트림 공급망 투명성 강화로 구성된다. 이를 통해 기업은 SBOM, VDR(취약점 공개 보고서), VEX(취약점 익스플로잇 가능성 보고서), 적합성 진술서 등 CRA가 요구하는 핵심 문서를 체계적으로 생성·관리할 수 있다.

블랙덕 국내 공인 총판 쿠도커뮤니케이션 김철봉 부사장은 "EU CRA와 같은 글로벌 규제 환경 변화는 국내 기업에도 직접적인 영향을 미칠 것"이라며 "블랙덕과 함께 기업들이 선제적이고 체계적인 규제 대응 방식을 취할 수 있도록 지원을 강화해 나갈 계획"이라고 밝혔다.