EU 사이버 복원력법(CRA) 위반 과태료와 기업 대응 체크리스트

최대 매출액 2.5%의 과징금 리스크… ‘보안 내재화’와 ‘투명한 보고’가 핵심

EU CRA(사이버 복원력법)는 커넥티드 기기의 보안 사고가 개인을 넘어 국가적 위협으로 번지는 것을 막기 위해 설계되었습니다. 이에 따라 규제 당국은 규정 위반의 경중을 세 단계로 나누어 막대한 과태료를 부과할 예정입니다.

1. 위반 항목별 과태료 규모 (Sanctions)

CRA의 과태료 체계는 기업의 연간 총 매출액을 기준으로 산정되며, 고의성이나 피해 규모에 따라 가중될 수 있습니다.

에디터 노트: 과태료뿐만 아니라 EU 시장 내 제품 판매 금지 및 리콜 조치가 동반될 수 있다는 점이 하드웨어 제조사들에게는 가장 치명적인 리스크입니다.

2. 국내 기업을 위한 ‘CRA 대응 우선순위’ 체크리스트

국내 수출 기업들이 2026년 9월(보고 의무 시작)과 2027년 12월(전면 시행) 전까지 반드시 점검해야 할 5가지 핵심 항목입니다.

• [ ] 제품 분류 및 등급 확인 (Criticality Mapping)
  • 우리 제품이 ‘일반(Default)’, ‘중요 클래스 I/II’, ‘핵심(Critical)’ 중 어디에 속하는지 분류해야 합니다. 등급에 따라 제3자 인증 필요 여부가 결정됩니다.
• [ ] SBOM(소프트웨어 자재명세서) 체계 구축
  • 제품에 포함된 모든 오픈소스 및 서드파티 라이브러리 목록을 실시간으로 관리해야 합니다. 취약점 발생 시 즉각적인 영향도 파악을 위한 필수 도구입니다.
• [ ] 취약점 관리 및 신속 보고 프로세스 (Vulnerability Handling)
  • 취약점 발견 후 24시간 이내에 ENISA(유럽사이버보안기구) 등에 보고할 수 있는 핫라인과 대응팀(PSIRT)이 조직되어 있는지 점검하십시오.
• [ ] 보안 수명주기 정의 (Security Lifecycle)
  • 제품의 기대 수명을 정의하고, 해당 기간(최소 5년 이상 권장) 동안 보안 업데이트를 지속적으로 제공할 수 있는 기술적 인프라(FOTA 등)와 재무적 계획이 수립되어야 합니다.
• [ ] 기술 문서 및 EU 대리인 지정
  • 적합성 선언서(DoC)를 포함한 기술 문서를 작성하고, EU 역내에 본사가 없다면 법적 책임을 대리할 수 있는 공식 대리인 또는 수입업자와의 계약을 검토해야 합니다.

결론: ‘팔고 나면 끝’인 시대는 지났다

CRA의 본질은 제품의 판매 시점이 아니라 ‘사용 중인 전 기간’에 대한 보안 책임입니다. 노르딕 세미컨덕터와 같은 칩셋 제조사들이 제공하는 통합 FOTA 솔루션 등을 활용해 인프라 구축 비용을 최적화하고, SBOM 관리 자동화 툴을 도입하여 운영 리스크를 선제적으로 관리하는 전략이 필요합니다.