유럽연합(EU)의 사이버복원력법(Cyber Resilience Act, CRA)이 단계적 적용을 앞두면서, 디지털 요소가 포함된 제품을 유럽 시장에 수출하는 국내 기업들의 대응 필요성이 커지고 있다.
이에 ㈜에스엠지코리아는 에스토니아에 설립한 SMG Europe 지사를 기반으로 EU CRA 대응 서비스를 본격화한다. SMG코리아는 국내 기업이 한국에서 제품 자료를 준비하고, SMG Europe을 통해 유럽 현지대리인 지정, 기술문서 보관, 인증기관 연계, 시장감시 대응 등 현지 절차까지 연결할 수 있도록 지원할 계획이다.
CRA는 인증이 아니라, 유럽 시장 진입 조건이다
CRA는 EU 시장에 출시되는 디지털 요소가 포함된 제품에 대해 사이버보안 요구사항을 의무화하는 규정이다. 소프트웨어, IoT 기기, 네트워크 장비, 스마트홈 제품, 보안기기, 펌웨어가 포함된 전자제품 등 다양한 제품군이 적용 여부 검토 대상이 될 수 있다.
기존 CE 대응이 제품의 안전성, 전자파 적합성, 기계적 구조 등을 중심으로 검토되었다면, CRA는 여기에 사이버보안 요구사항을 더한다. 앞으로 EU 시장에 제품을 출시하는 기업은 제품이 정상적으로 작동한다는 사실뿐 아니라, 보안 요구사항을 반영해 설계되었고 취약점이 관리되고 있다는 점까지 설명할 수 있어야 한다.
SMG코리아, 제품 적용 여부부터 유럽 현지 절차까지 연결
SMG코리아는 CRA 대응을 단순한 서류 준비가 아닌, 유럽 시장 진입 구조를 정비하는 절차로 보고 있다. 이에 따라 제품의 CRA 적용 여부 확인, 제품 등급 구분, 사이버보안 요구사항 검토, 취약점 관리체계 수립, 기술문서 작성, EU 적합성 선언서 준비, CE 마킹 대응, 현지대리인 계약, 제3자 평가기관 연계까지 단계별 업무를 지원한다.
특히 자체평가 대상 제품이라도 기술문서, EU 적합성 선언, CE 마킹, 현지대리인 등 기본 요건은 동일하게 요구될 수 있다. 또한 Class I중에서 보안이 핵심 기능이거나, Class II 또는 Critical 제품군에 해당하거나, 하모나이즈드 표준 부재 등으로 대체 입증이 필요한 경우에는 제3자 적합성 평가 또는 인증기관 연계가 필요할 수 있다.
SMG Europe은 이러한 과정에서 유럽 현지 실무 거점 역할을 수행한다. 국내 기업은 한국에서 제품 자료와 기술문서를 준비하고, SMG Europe을 통해 유럽 현지대리인, 인증기관, 평가기관, 시장감시 대응 절차와 연결되는 구조를 갖출 수 있다.
2026년 9월, 먼저 시작되는 것은 ‘보고의무’다
CRA는 2027년 12월 전면 적용을 앞두고 있지만, 기업이 가장 먼저 주목해야 할 시점은 2026년 9월이다. 이때부터 악용되고 있는 취약점 및 중대한 보안사고에 대한 보고의무가 먼저 적용된다.
따라서 기업은 전면 적용 시점만 기다릴 것이 아니라, 사고 발생 시 어떤 기준으로 판단하고, 어떤 절차로 보고하며, 어떤 자료로 제품의 보안관리 상태를 설명할 수 있는지 준비해야 한다. 제품 출시 이후 취약점 접수, 평가, 패치, 업데이트, 보고 절차가 갖추어져 있지 않다면 실제 유통 과정에서 리스크가 발생할 수 있다.
제품이 연결되는 순간, 수출 리스크도 함께 연결된다
CRA 적용 여부는 제품명만으로 판단하기 어렵다. 제품에 소프트웨어가 포함되어 있거나, 네트워크 연결 기능이 있거나, 앱·클라우드·펌웨어와 연동되는 경우에는 CRA 검토가 필요할 수 있다.
의료기기, 산업용 장비, 전기전자제품, 스마트홈 제품, 보안카메라, 유아 모니터링 시스템, 인터넷 연결 장난감, 라우터, VPN 기능 제품, 운영체제, 브라우저, 비밀번호 관리자 등 다양한 제품군이 검토 대상이 될 수 있다. 특히 보안기능을 포함한 제품이나 네트워크 인프라 관련 제품은 더 높은 수준의 기술문서와 취약점 관리체계가 요구될 수 있다.
CRA 대응의 핵심은 ‘보안 설명이 가능한 제품’이다
CRA 시대에는 제품이 작동하는지만으로는 부족하다. 제품이 안전하게 연결되고, 취약점이 관리되며, 문제가 발생했을 때 제조자가 이를 추적하고 보고할 수 있는지가 중요해진다.
이를 위해 기업은 제품 개발 단계에서 보안 요구사항을 반영하고, 출시 전에는 기술문서와 적합성 자료를 준비해야 한다. 출시 이후에는 취약점 관리와 보안 업데이트 체계를 운영해야 한다. CRA는 보안부서만의 문제가 아니라, 개발, 품질, 인증, 수출, 사후관리 부서가 함께 준비해야 하는 유럽 시장 규제다.
SMG코리아 관계자는 “CRA는 기존 CE 대응에 사이버보안 요구사항이 결합되는 성격의 규제로, 단순 시험이나 사후 대응만으로는 충분하지 않다”며 “제품 설계, 기술문서, 취약점 관리, 보안 업데이트, 사고 보고체계까지 사전에 준비해야 한다”고 설명했다.
이어 “2027년 전면 적용까지 시간이 남아 있는 것처럼 보이지만, 실제로는 2026년 9월부터 보고의무가 먼저 적용된다”며 “유럽 수출기업은 지금부터 제품별 CRA 적용 여부와 기술문서 준비 수준을 점검해야 한다”고 밝혔다.
SMG코리아는 CRA를 비롯해 CE, GPSR, REACH, PPWR, ESPR, EUDAMED 등 EU 규제 대응 서비스를 통합적으로 제공하고 있으며, 에스토니아 SMG Europe 지사를 통해 국내 기업의 유럽 시장 진입과 사후관리 체계 구축을 지원할 예정이다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}
