EU, IoT 사이버보안 강화 위한 '사이버복원력법(CRA)'(안) 최종 확정

유럽의회, EU 이사회 및 EU 집행위는 30일(목) 사물인터넷의 사이버보안을 강화하기 위한 이른바 '사이버복원력법(Cyber Resilience Act, CRA)' 최종 법안에 합의

동 법은 사물인터넷 제품 등의 사이버보안 강화를 위해 제조사에 제품 보안 업데이트, 공급망 사이버보안 점검, 정부 당국과 보안 취약성 정보 공유 등 일련의 요건을 부과

특히, 동 법은 CE 마크가 표시된 모든 제품에 대하여 최소한의 사이버보안 점검이 이루어지도록 보장하기 위한 것으로, 따라서 대부분의 사물인터넷 제품 제조사가 동 법에 의한 제품 생애주기 또는 최소 5년 이상의 보안 업데이트 지원 의무를 부담하게 될 전망

합의안은 유럽의회와 EU 이사회의 사실상 형식적 승인 절차 후 발효, 이후 각 회원국의 3년간의 법 이행을 위한 국내법 정비가 완료되는 2027년 초부터 법 적용이 시작될 예정

[취약점 보고] 동 법에 따라, 제조사는 사물인터넷 제품에 해킹이 가능한 상당한 취약점을 인지한 경우에는 해당 제품을 시장에 출시할 수 없음

또한, 제조사는 사전에 결정된 기간 동안 사이버보안 사고 발생 또는 '공격에 악용되고 있는 취약점(Actively Exploited Vulnerabilities)'을 인지한 경우, 해당 사실과 보안 위험 완화를 위해 제조사가 취한 조치를 관계 당국에 보고해야 함

동 보고 대상 기관이 협상의 주요 쟁점으로 논의된 가운데, 합의안은 제조사가 공격에 악용되는 취약점을 발견할 경우 24시간 내 유럽사이버보안청(ENISA) 및 회원국 컴퓨터사고대응팀(CSIRTS)에 단일 플랫폼을 통해 동시에 보고하도록 규정

[비기술적 위험성 평가요소] 동 법은 회원국 당국에 대해 사이버보안 위험의 중대성을 평가하는 요소로 비기술적 위험요소를 고려할 수 있도록 허용

이는 향후 EU가 중국 또는 기타 권위주의 국가의 기술 및 제품을 제한할 수 있는 법적 근거로 활용될 수 있다는 지적

[오픈소스 소프트웨어] 협상 과정에서 상업 활동의 일환으로 개발된 소프트웨어만을 동 법의 대상에 포함해야 한다는 일각의 주장으로 상품 결합 오픈소스 소프트웨어 취급이 논란

합의안은 비영리단체가 판매하는 오픈소스 소프트웨어이며 판매 수익이 모두 비영리활동에 사용되는 경우 동 법의 대상에서 제외

[국가안보 예외] 각 회원국은 국가안보 또는 방위를 목적으로 개발 또는 변형된 제품에 대하여 동 법의 적용을 면제할 수 있음

[위임 및 이행입법] 집행위는 향후 제품 지원 기간의 정의 등 구체적인 사항을 위임입법으로, 특별 제품 카테고리 등 동 법 이행의 구체적인 사항은 이행입법을 통해 규정할 예정

[패널티] 유럽의회는 동 법 위반에 대한 과징금 등 제재조치 부과 및 징수된 과징금의 사이버보안 역량 강화를 위한 사용 방안을 주장했으나, 합의안은 구속력 있는 법 조항이 아닌 전문에 제재조치가 필요하다는 점을 적시하는데 그침

한편, 당초 집행위 법안이 산업계, 시민사회, 학계 등의 대표로 구성한 전문가그룹을 통해 디지털 제품을 평가하도록 규정하였으나, 합의안은 이를 삭제