정책동향유럽(EU)
EU CRA 취약점·사고 보고 의무 2026.09.11 발효 — SBOM 기반 공급망 보안 대응 본격화
보도일: 2026년 5월 13일|수집일: 2026년 5월 18일
요약
EU 사이버복원력법(CRA)의 취약점·보안사고 보고 의무가 2026년 9월 11일 발효를 앞두고 있으며, SBOM 기반 공급망 보안 대응이 업계 전반에서 본격화되고 있다. 전체 의무 적용은 2027년 12월 11일부터이다.
본문
EU CRA(Cyber Resilience Act, 사이버복원력법)는 2024년 12월 10일 발효됐으며, 취약점 및 보안사고 보고 의무는 2026년 9월 11일부터 적용된다. 디지털 요소가 포함된 모든 제품의 제조사는 적극적으로 악용되는 취약점을 인지한 후 24시간 이내에 ENISA에 보고해야 하며, 보안사고 역시 신속히 보고해야 한다. 전체 의무(보안 요구사항, 적합성 평가 등)는 2027년 12월 11일부터 본격 적용된다. 국내외 기업들은 SBOM(소프트웨어 자재명세서) 생성과 관리를 핵심 대응 수단으로 채택하고 있으나, 전문가들은 SBOM 생성만으로는 부족하며 제품 전체 수명주기에서 안전한 소프트웨어를 만들고 관리하고 있음을 입증해야 한다고 지적한다.
시사점
EU CRA는 자동차 자체는 적용 제외이지만, 차량에 탑재되는 디지털 부품(ECU, 센서, 통신 모듈 등)의 소프트웨어는 CRA 적용 대상이 될 수 있다. 유럽 시장에 부품을 수출하는 국내 Tier1/2 공급업체는 SBOM 관리 체계를 조기에 구축하고, 취약점 보고 프로세스를 정비해야 한다. 자동차 산업의 ISO/SAE 21434 TARA 프로세스와 CRA 요구사항의 정합성을 검토하는 것이 실무적으로 중요하다.