정책동향
EU CRA vs UNECE R155/R156 — 자동차 공급사, 이중 사이버보안 프로그램 필요성 대두
보도일: 2026년 3월|수집일: 2026년 4월 27일
요약
EU CRA(사이버복원력법)와 UNECE R155/R156이 모두 사이버 규제이나 공급사 입장에서는 근본적으로 다른 운영 체계를 요구하며, 단일 컴플라이언스로 처리하면 사각지대가 발생한다는 분석이 제기되었다.
본문
Xeeniq Intelligence의 분석에 따르면, EU CRA와 UNECE R155/R156은 모두 '사이버 규제'로 분류되지만, 공급사 입장에서는 근본적으로 다른 규제 운영 체계를 요구한다. R155/R156은 형식승인 생태계에서 OEM 대상 보안 거버넌스를 증명하는 것이고, CRA는 디지털 요소가 포함된 제품의 EU 시장 출시 및 유지를 위한 필수 사이버보안 속성을 증명하는 것이다. 두 프레임워크의 차이점은 소유권(ownership), 증거(evidence), 보고(reporting), 제품 범위(scope)에서 나타난다. R155에서는 OEM이 CSMS 인증을 보유하고 공급사에 하향 요구하는 구조이나, CRA에서는 제품 제조사가 직접 적합성 선언의 주체가 된다. 또한 CRA의 취약점 보고 의무(24시간 내 ENISA 보고)는 R155에 없는 추가 요건이다. 형식승인 차량에 탑재되는 부품은 CRA 적용 제외이나, 애프터마켓 부품·충전 장비·진단 도구 등은 CRA 범위에 해당하여 공급사의 이중 대응이 불가피하다.
시사점
한국 자동차 부품사가 EU 시장에 공급하는 경우, R155 CSMS 요건과 CRA 적합성 평가를 별도로 준비해야 하는 이중 부담이 현실화되고 있다. 특히 2026년 9월 CRA 취약점 보고 의무 시행, 2027년 12월 전면 적용을 앞두고, 부품사는 두 프레임워크의 차이점을 정확히 이해하고 각각에 맞는 증거 체계를 구축해야 한다. SBOM 관리, 취약점 추적, 보고 체계 등을 통합적으로 설계하되 규제별 요구사항의 차이를 반영하는 전략이 필요하다.