기업은 제품 출시 전 보안 요건을 입증해야 하며, 출시 이후에도 취약점 대응, 보안 업데이트, 사고 보고 등을 지속적으로 수행해야 한다. 이를 이행하지 못할 경우 매출 연동 벌금 부과와 함께 EU 시장 내 판매 제한 조치가 가능하다. CRA는 자동차를 비롯해 로봇, 드론, 건설기계, 농기계 등 소프트웨어 기반 제품 전반에 적용된다.
CRA는 유예기간을 거쳐 2027년 12월 11일부터 전면 시행될 예정이다. 다만 보안 사고 보고 등 일부 의무는 이미 적용이 시작되면서 기업들의 대응 필요성은 점차 커지고 있다.
문제는 산업 현장의 준비 수준이다. 미국 비영리 오픈소스 재단 리눅스 파운데이션의 조사에 따르면, 응답자의 62%가 CRA를 충분히 인지하지 못하고 있으며 51%는 시행 시점을 파악하지 못한 것으로 나타났다. 규제를 직접 이행해야 하는 주체들조차 준비가 미흡한 상황으로, 대응 지연에 따른 리스크가 확대되고 있다는 분석이다.
이 같은 배경에는 CRA가 요구하는 보안 수준의 변화가 있다. CRA는 제품에 포함된 모든 소프트웨어, 즉 외부 공급망을 통해 유입된 코드까지 포함해 보안 책임을 요구한다. 이는 기존 품질 관리나 인증 중심 체계로는 대응하기 어려운 수준으로, 공급망 전반의 보안 역량과 투명성을 동시에 요구한다.
이에 따라 완성차 업체(OEM)는 단순 부품 조달을 넘어 소프트웨어 구성과 취약점까지 검증해야 하는 구조로 전환되고 있다. 대응 역량을 갖추지 못한 기업은 시장 진입에 제약을 받을 가능성도 제기된다.
이러한 환경 변화 속에서 일부 기업들은 선제적 대응에 나서고 있다. 국내 AI 모빌리티 보안 기업 아우토크립트는 글로벌 인증 대응 경험을 바탕으로 규제 해석부터 기술 적용, 인증 대응까지를 포괄하는 체계를 구축해왔다. 글로벌 완성차 업체와의 협업을 통해 차량 단위 보안 관리, 소프트웨어 구성 요소 추적, 취약점 대응 프로세스를 운영 단계에서 적용하고 있다는 설명이다.
아우토크립트는 최근 국내 EU 수출 기업들과 CRA 대응 프로젝트를 진행하며 요구사항 분석, TARA 기반 위협 평가, 보안 프로세스 수립, 인프라 구축, 시험·평가 체계 마련 등 전 주기 대응 체계 구축을 추진하고 있다. 이는 CRA 대응이 개별 기업 차원을 넘어 산업 구조 전반의 변화로 이어지고 있음을 보여준다.
회사 관계자는 "CRA는 보안을 선택이 아닌 제품 책임의 일부로 규정하고 있다"며 "기준을 충족하지 못할 경우 시장 진입에 제약이 발생할 수 있는 만큼 선제적 대응이 필요하다"고 말했다.
김민주 기자 minjoo@hankyung.com
© 한경매거진&북, 무단전재 및 재배포 금지