서론: 2026년 9월, 다가오는 기로
EU(유럽연합) 시장에 제품을 수출하거나 공급하려는 국내 기업들에게 2026년 9월 11일은 절대 넘길 수 없는 기로이다. 이날부터 EU 사이버 복원력 법안(Cyber Resilience Act, CRA)에 따라 취약점과 보안사고 보고 의무가 본격 적용되기 때문이다.
더 중요한 점은 이 규제가 "EU 회원국 기업"에만 적용되는 것이 아니라는 사실이다. 제품 개발이나 제조사 본사 위치와 무관하게, EU 시장에 디지털 요소가 포함된 제품을 공급하는 기업이라면 누구나 CRA의 적용 대상이 된다.
특히 최근 AI 기반 코드 생성 도구의 보급으로 개발 프로세스에 AI 코드가 대거 포함되면서, 기존 SBOM(Software Bill of Materials, 소프트웨어 자재명세서) 관리 방법만으로는 CRA 규정 준수가 불가능해졌다. 블랙덕(Black Duck)의 연구에 따르면, AI가 코드 생성을 가속하면서 오픈소스 취약점이 2배로 증가했다는 보고서도 나왔다.
본 기사에서는 EU CRA 핵심 요구사항을 정리하고, AI 코드 포함 SBOM 관리를 위한 실천 가능한 체크포인트를 제시한다.
본론 1: EU CRA의 핵심 요구사항
실행 일자와 주요 의무
EU CRA 실행 타임라인
| 일자 | 주요 내용 |
|---|---|
| 2024년 12월 10일 | CRA 발효 |
| 2026년 9월 11일 | 취약점·보안사고 보고 의무 적용 |
| 2027년 12월 11일 | 전체 의무 본격 적용 (SBOM 필수 포함) |
2026년 9월 11일부터 적용되는 보고 의무
- 실제 악용된 취약점을 24시간 이내에 ENISA(유럽 네트워크 및 정보보안청)에 보고
- 제품 보안에 영향을 주는 중대 사고 및 신속 보고
- 레거시 제품도 포함(시장에 이미 출시된 제품에도 적용)
2027년 12월 11일부터 본격 적용되는 전체 의무
- 기계 판독 가능한 SBOM 생성 및 유지
- CE 마크 획득
- 기술 문서 작성 및 보관
- 적합성 평가 수행
CRA의 핵심 원칙
블랙덱의 팀 매키(Tim Mackey) 소프트웨어 공급망 위험 전략 부총괄이 강조한 CRA의 핵심 요구사항은 다음과 같다.
- 소프트웨어 구성 요소의 투명성 확보
- 사용된 모든 오픈소스 컴포넌트 식별
- AI 모델 포함 여부 및 출처 명시
-
제3자 라이브러리 의존성 관리
-
취약점 관리 체계 구축
- 지속적인 취약점 스캔
- 위험도 평가 및 우선순위 결정
-
패치 및 완화 조치 프로세스
-
지속적인 보안 관리 체계
- 제품 전체 수명주기에 걸친 보안
- 보안사고 대응 계획 수립
- 지속적인 모니터링 및 업데이트
본론 2: AI 코드가 SBOM 관리에 미치는 영향
AI 코드 보급의 현실
최근 기업들의 AI 기반 개발 도구 도입이 급증하고 있다. 블랙덕의 2026 OSSRA(Open Source Security and Risk Analysis) 보고서에 따르면, AI 기반 코드 생성 도구의 사용이 확대되면서 오픈소스 사용률이 크게 증가했다고 보고하고 있다.
- GitHub Copilot, ChatGPT, Claude 등 AI 코딩 어시스턴트의 사용은 이제 선택이 아닌 필수가 되었다.
- AI가 생성한 코드는 기존 오픈소스 라이브러리를 참조하거나 조합하는 경우가 많아, 자동으로 오픈소스 의존성이 발생한다.
- 이러한 의존성은 기존 수동 라이선스 관리 프로세스로는 포착하기 어렵다.
AI 코드의 보안 리스크
블랙덱의 2026 OSSRA 보고서는 다음과 같은 경고를 담고 있다.
"조직이 EU CRA와 같은 규제를 준수하려면 AI 모델을 오픈소스 컴포넌트와 동일한 엄격함으로 추적하고, SBOM 정확도와 취약점 워크플로우를 개선하며, 명확한 AI 사용 및 재훈련 정책을 수립해야 한다."
AI 코드의 주요 리스크
- 취약점 증가
- AI가 생성한 코드에 오픈소스 취약점이 2배로 증가
-
알려지지 않은 취약점(Zero-day) 포함 가능성
-
라이선스 위험
- AI가 생성한 코드의 라이선스 불투명성
-
상업적 사용 제한 라이선스 우회 가능성
-
추적 불가능성
- AI가 생성한 코드의 출처 및 의존성 식별 어려움
- 기존 SBOM 도구로 AI 코드 추적 불가
기존 SBOM의 한계
블랙덱의 팀 매키 총괄은 "SBOM만으로는 CRA 대응에 부족하다"고 명확히 지적했다.
기존 SBOM의 문제점
- 오픈소스 컴포넌트만 추적
- AI 생성 코드의 출처 및 의존성 미포함
- 정적 스냅샷으로만 제공되어 실시간 업데이트 부족
본론 3: AI 코드 포함 SBOM 관리 체크포인트
체크포인트 1: AI 사용 정책 수립
필수 조치
- [ ] AI 코딩 도구 허용 범위 명시
- [ ] AI 생성 코드의 검수 의무화
- [ ] AI 모델 사용 로그 기록
- [ ] AI 도구 접근 권한 관리
권장 사항
# AI 코드 사용 가이드라인 예시
1. 허용된 AI 도구: GitHub Copilot, Claude Code, ChatGPT (조직 승인 버전)
2. 금지된 도구: 승인되지 않은 무료 AI 코딩 도구
3. AI 생성 코드 검수:
- 모든 AI 생성 코드는 풀 리퀘스트(PR) 필수
- 시니어 개발자 1인 이상의 코드 리뷰
- 보안 취약점 스캔 통과
4. AI 사용 로그:
- 사용자, 날짜, AI 도구, 생성 코드 위치 기록
- 최소 3년 보관 (CRA 기준)
체크포인트 2: SBOM에 AI 모델 포함
블랙덱의 AI Model Support 기능 활용
블랙덱은 최신 버전에서 BOM에 AI 모델을 추가하는 기능을 지원한다. 이를 통해 AI 코드의 출처를 체계적으로 관리할 수 있다.
SBOM에 포함해야 할 AI 관련 정보
- [ ] 사용된 AI 모델 식별자 (예: GPT-4, Claude 3.5 Sonnet)
- [ ] AI 도구 버전 및 공급자
- [ ] AI 생성 코드의 비율 및 위치
- [ ] AI 재훈련(Refine) 이력
SBOM 데이터 예시
{
"components": [
{
"type": "library",
"name": "numpy",
"version": "1.24.3",
"supplier": "NumPy Developers"
},
{
"type": "ai-model",
"name": "Claude 3.5 Sonnet",
"version": "2024-06",
"supplier": "Anthropic",
"aiGeneratedCodePercentage": 15,
"aiCodeLocations": ["src/utils/auth.py", "src/api/user.py"]
}
]
}
체크포인트 3: 다층적 보안 체계 구축
팀 매키 총괄이 강조한 CRA 대응을 위한 다층적 보안 체계는 다음과 같다.
1. SCA(Software Composition Analysis)
- [ ] 자체 컴포넌트 위험 관리
- [ ] 오픈소스 라이선스 준수 확인
- [ ] 취약점 데이터베이스와 연동
2. 정적 분석(SAST)
- [ ] 자체 코드 취약점 제거
- [ ] AI 생성 코드 보안 검수
- [ ] 코딩 표준 준수 확인
3. 퍼징 테스트(Fuzzing)
- [ ] 프로토콜 수준 검증
- [ ] 입력 유효성 검사
- [ ] 비정상 입력 대응 테스트
4. 빌드 파이프라인 보안
- [ ] CI/CD 파이프라인 보안 강화
- [ ] 서명(Signing) 및 검증(Verification)
- [ ] 공급망 공격 방어
체크포인트 4: 필수 문서 준비
CRA 대응을 위해 다음 문서를 체계적으로 관리해야 한다.
필수 문서 체크리스트
- [ ] SBOM (Software Bill of Materials)
- [ ] VDR (Vulnerability Disclosure Report, 취약점 공개 보고서)
- [ ] VEX (Vulnerability Exploitability Report, 취약점 악용 가능성 보고서)
- [ ] 적합성 진술서(Declaration of Conformity)
- [ ] 기술 문서(Technical Documentation)
- [ ] 보안사고 대응 계획(Incident Response Plan)
문서 관리 원칙
1. 기계 판독 가능: JSON, XML 등 구조화된 형식
2. 최신 상태 유지: 실시간 또는 정기 업데이트
3. 버전 관리: 변경 이력 추적
4. 접근 제어: 승인된 인원만 접근 허용
체크포인트 5: 2026년 9월 11일 준비 계획
즉시 조치 (0-1개월)
- [ ] CRA 요구사항 교육 실시
- [ ] 현재 제품 포트폴리오 점검
- [ ] AI 사용 현황 조사
- [ ] SBOM 도구 도입 검토
단기 조치 (1-3개월)
- [ ] AI 사용 정책 수립
- [ ] SCA 도구 도입 및 설정
- [ ] 첫 번째 SBOM 생성
- [ ] 취약점 스캔 시작
중기 조치 (3-6개월)
- [ ] 정적 분석 도구 도입
- [ ] 퍼징 테스트 환경 구축
- [ ] 보고 프로세스 수립
- [ ] ENISA 보고 연습
장기 조치 (6-12개월)
- [ ] 전체 제품 SBOM 완성
- [ ] VDR, VEX 문서 작성
- [ ] CE 마크 획득 준비
- [ ] 적합성 평가 수행
결론: 선제적 대응만이 유일한 생존 전략
EU CRA는 단순한 규제가 아니라, 애플리케이션과 운영 보안 관행의 새로운 기준선이다. 팀 매키 총괄의 말처럼 "제조사가 제품 전체 수명주기에서 안전한 소프트웨어를 만들고 관리하고 있다는 점을 인정해야 한다."
AI 코드의 보급이 가속화되는 시점에서, 기존 SBOM 관리 방법만으로는 CRA 규정 준수가 불가능하다. AI 모델을 오픈소스 컴포넌트와 동일한 엄격함으로 추적하고, 다층적 보안 체계를 구축하며, 명확한 AI 사용 정책을 수립해야 한다.
2026년 9월 11일은 이미 눈앞에 다가왔다. EU 시장 진출을 계획하는 국내 기업들은 지금 즉시 대응을 시작해야 한다. 준비된 기업에게 이 변화는 위기가 아닌 기회가 될 것이다.
대응 방안: 위험 레벨별 우선순위
| 위험 레벨 | 즉시 대응 | 단기 대응 | 장기 대응 |
|---|---|---|---|
| Critical | 24시간 이내 | 72시간 이내 | 1주 이내 |
| AI 포함 제품 EU 수출 | AI 사용 정책 수립 | SCA 도구 도입 | SBOM 완성 및 CE 마크 |
| High | 48시간 이내 | 1주 이내 | 2주 이내 |
| 오픈소스 컴포넌트 다수 사용 | 취약점 스캔 시작 | VDR 문서 작성 | 정기 스캔 프로세스 구축 |
| Medium | 72시간 이내 | 2주 이내 | 1개월 이내 |
| 일반 소프트웨어 제품 | CRA 요구사항 개선 | 기본 SBOM 생성 | 다층적 보안 체계 구축 |
| Low | 1주 이내 | 1개월 이내 | 3개월 이내 |
| EU 시장 진출 계획 없음 | 모니터링 시작 | 필요 시 대응 계획 수립 | 선제적 준비 |
참고자료
- EU Cyber Resilience Act 공식 페이지
- 블랙덱 2026 OSSRA 보고서
- 데일리시큐: EU CRA 시행 앞두고 SBOM 기반 공급망 보안 대응 본격화
- Black Duck Documentation: AI Model Support
본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시셨다면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.
댓글 (0)
댓글을 작성하려면 로그인이 필요합니다.
로그인아직 댓글이 없습니다.
첫 번째 댓글을 작성해보세요!