유럽의회 '사이버복원력법(CRA)' 수정안 개요

한국무역협회 브뤼셀지부 / KBA Europe 제공

EU '사이버복원력법(Cyber Resilience Act)' 관련 유럽의회 최종 입장이 곧 확정될 전망

유럽의회 동 법안 특별보고관 니콜라 단티 의원은 동 법안 관련 제3차 수정안을 작성, 상임위원회 위원들에게 전달하였으며, 동 수정안 내용을 기초로 향후 두 차례 기술적 협의를 마친 후 7월 5일(수) 정파간 합의를 시도할 예정

범위

동 법안 관련 적용 대상 오픈 소스의 범위가 주요 쟁점으로 협의되었으며, 특별보고관 수정안은 상업적 목적*으로 시장에 출시된 제품의 오픈 소스 소프트웨어를 적용 대상에 포함하고, 오픈 소스 제품의 개발 모델과 공급 단계를 고려, 각 제품별로 평가하도록 규정

* 비상업적 오픈 소스 소프트웨어는 단일한 상업적 주체가 통제할 수 없는 수준으로 완전하게 분권화된(decentralised) 모델을 지칭

보고의무

동 법안은 제조사에 대해 이른바 '취약성 공격(Exploited Vulnerability)'을 인지할 경우 이를 EU 사이버보안청(ENISA)에 보고하도록 의무화

이와 관련, 수정안은 관련 보고의무를 '불법적 또는 악의적 주체의 해킹에 의한 경우'로 한정하고, 사법기관 등 '공적 기관의 해킹에 의한 경우'는 보고의무에서 제외

또한, 보고절차는 1일 이내의 조기 경고 및 3일 이내 세부 취약성 보고 등 단계적으로 실시되어야 하며, 중소기업의 경우 조기 경보 의무는 면제

지원 기간 (Support period)

제조사에 대해 '지원 기간' 동안 취약성 개선 의무가 부과되며, 수정안은 제품 특성, 사용자 기대치, 운영환경 이용가능성 및 적용 가능한 경우 제품의 디지털 요소와 통합된 주요 구성품 지원 기간을 고려, 제품 예상 생애주기에 비례하는 지원 기간을 보장토록 규정

시장 감시 당국은 제조사가 '지원 기간' 설정에 있어 상기 기준을 적절하게 적용하는지 여부를 감시해야 함

지원 기간이 5년 이하인 경우, 제조사는 취약성 보완 서비스를 제공하는 기업에 소스 코드 접근권을 부여할 수 있음. 단, 법안 원안에 규정된 '무료 접근권' 규정을 삭제

고위험 판매자 (High-risk vendors)

동 법안은 화웨이와 ZTE 등 중국계 사업자와 같이, 비기술적 요소에 의해 신뢰성이 의심되는 기업을 '고위험 판매자'로 지정

수정안은 네트워크 연결 장비의 수입자에 대해 수입 제품에 비기술적 위험이 있다고 믿을 합리적인 이유가 있거나, 수입을 철회할 의사가 있는 경우, 이를 당국 또는 집행위에 통보하도록 규정. 다만, 해당 제품의 유통업자에 대해서는 관련 의무를 삭제

또한, 당국 또는 집행위는 특정 제품이 비기술적 이유로 상당한 사이버보안 위협 또는 국가안보 위협을 초래할 충분한 이유가 있다고 판단할 경우, 관련 사업자에 대해 권고 및 시정조치를 부여할 수 있음