유럽연합(EU)의 사이버 복원력법 (CRA, Cyber Resilience Act) 시행을 향한 카운트다운이 본격적으로 시작되었습니다. 이 새로운 규제는 EU 시장에서 판매되는 디지털 요소를 포함한 제품(PDE, Products with Digital Elements)에 대해 그 라이프사이클 전반에 걸쳐 광범위한 사이버보안 요구사항을 제시합니다. 이는 조직이 기존의 사이버보안 중심 사고에서 보다 근본적인 사이버 복원력(cyber resilience) 중심의 접근으로 전환해야 함을 의미합니다.
CRA 컴플라이언스를 넘어 미래를 내다보기
IMD Business School에서 디지털 전략 및 사이버보안을 연구하는 Öykü Işık 교수는 "보안 설계(Security by design)은 사이버 복원력의 핵심 기반입니다. 이는 마지막 단계에서 추가하는 활동이 아니라, 제품 개발의 첫날부터 보안을 제품에 내재화하는 접근입니다."라고 말했습니다. "제품이 시장에 출시되기 훨씬 전, 설계와 제조 단계에서부터 사이버보안을 고려해야 합니다."
Qt World Summit 2025에서 Işık 교수가 사이버 복원력으로의 전환에 대해 강연을 진행했습니다.
강연의 녹화본을 YouTube에서도 시청하실 수 있습니다.
사이버 복원력 표준을 설정하는 EU의 역할
CRA의 일부 세부 사항은 아직 조정 중이지만, Işık 교수는 EU가 사이버보안에 대한 통일된 접근 방식을 마련하려고 하는 점은 매우 높이 평가합니다.
지난 2년 동안 사이버 공격의 규모, 빈도, 영향력은 모두 증가해 왔습니다. EU 내부와 전 세계에 이미 유사하거나 일부 중복되는 입법 체계가 존재하긴 하지만, Işık 교수는 지금까지의 접근 방식이 주로 사고 발생 후의 사후 보고 중심이었다고 지적합니다. 반면 CRA는 사전 예방을 강조합니다. "CRA는 한 단계 높은 차원으로의 도약입니다. GDPR과 마찬가지로 EU가 명확한 기준을 설정하고 있는 것입니다. 사이버 복원력은 단순히 대응의 문제가 아니라, 설계 단계부터 침해를 예방하기 위해 가능한 모든 조치를 취했다는 것을 입증하는 것입니다."
Işık 교수에 따르면, 초기 집행 사례들 또한 매우 중요해질 것이라고 합니다. "아직 몇 년 남아 있지만, 초기 사례들이 어떤 상황에서 문제가 되는지 보여주고, 무엇을 우선순위로 둬야 하는지 방향성을 제시하게 될 것입니다. 그때부터 눈덩이 효과가 시작될 것입니다." 또한 초기 제재가 실질적인 행동을 유도하는 데 필요하다고 강조합니다. "주목받는 몇 건의 위반 사례에 벌금이 부과되기 시작하면, 관련 가이드라인이 훨씬 구체적이고 실행 가능한 방향으로 변화할 것입니다."
사이버 복원력에 조직 문화가 핵심인 이유
Işık 교수는 사이버 복원력을 구축하는 과정에는 가치 기반(value-driven) 접근이 필요하다고 지적합니다. "CRA와 관련하여 규제 당국이나 정책 입안자들과 대화를 나눌 때마다, 반복해서 등장하는 핵심 주장은 우리는 이미 너무 늦었다는 것입니다." 그러나 상황이 어떠하든 제품의 사이버보안에 책임을 지는 것은 언제나 올바른 방향입니다.
Işık 교수는 이렇게 강조합니다. "이것은 단순히 기술이나 프로세스만의 변화가 아닙니다. 조직 전체가 변화해야 하는 문화적 전환입니다. 따라서 조직이 사이버보안을 부서 간 공동 책임으로 어떻게 바라볼지, 가능한 한 빠르게 고민하기 시작하는 것이 중요합니다."
하지만 많은 조직에서 이러한 문화적 변화와 사이버 복원력의 관계가 명확히 인식되지 않고 있다고 Işık 교수는 지적합니다. 보안 전문가가 있는 조직이더라도, 보통 제품 개발 프로세스의 일부분이나 가장 마지막 단계만 보는 경우가 많기 때문입니다. 그러나 이제 보안 전문가의 역할이 제품 제조업체에게 매우 중요한 위치로 올라오게 되면서, 조직은 그 운영 구조를 다시 점검한 필요성에 직면하게 되었습니다. Işık 교수는 이것이 결코 쉽지 않다는 것을 인정하면서도, "그렇기 때문에 조직들이 지금부터 논의해야 할 것은 주어진 자원 안에서 필요한 변화를 어떻게 가장 효과적으로 추진해 나갈지입니다."라고 말했습니다.
결국, 충분한 수준의 사이버 복원력을 달성하는 것은 단순히 기술적 요건을 충족하는 문제에 그치지 않습니다. 이는 조직 내 팀과 부서 전반에 걸친 협업 체계를 구축하는 문제이기도 합니다. Işık 교수는 "제품 개발자, 컴플라이언스 팀, 프로덕트 매니저, 보안 엔지니어가 제품 개발 초기 단계부터 함께 모여 가장 효율적인 보안 프로세스를 찾아야 합니다."라고 결론지었습니다.
장기적인 성공을 위한 사이버 복원력 구축 방법
규제 대응 부담에 대한 우려가 제조업계에서 제기되는 가운데, Işık 교수는 CRA의 의도는 명확하다고 강조합니다. 디지털 요소를 포함한 제품(PDE, Products with Digital Elements)으로 이익을 얻는 이상, 해당 제품의 보안에 대해서도 제조업체가 책임을 져야 한다는 것입니다.
디지털 환경이 빠르게 발전하면서 사이버 공격 역시 그 수법이 더욱 교묘해지고 있습니다. 이러한 변화가 CRA 준수를 통한 보안 강화와 이를 기반으로 한 경쟁 우위 확보의 중요성을 더욱 높이고 있다고 Işık 교수는 지적합니다. "사이버 공격의 규모, 빈도, 영향력이 커지는 상황에서, 강화된 사이버보안과 전반적인 사이버 복원력은 소비자가 제품을 선택하는 결정적인 요소가 될 것입니다."
CRA는 제품 기획 및 개발부터 제조, 유지관리까지 전 과정에 걸쳐 더 높은 수준의 투명성을 요구합니다. Işık 교수는 "이러한 투명성은 문제 발생 시 트러블슈팅 속도를 높이며, CRA에서 요구하는 감사 추적(audit trail)과 공식 문서를 갖추면 주어진 상황에서 최선의 대응을 해왔음을 입증할 수 있습니다. 보안에 100%란 없지만, 완화 조치에 대한 명확한 문서화는 신뢰를 구축합니다."라고 설명합니다. 또한 제품 출시 이후에도 보안 관련 책임과 노력은 계속되어야 한다고 경고합니다. "제조업체는 초기 기획 단계부터 출시 이후 지원 단계까지, 제품 수명주기 전반에 걸쳐 엄격한 보안 기준을 유지해야 합니다."
제조업체가 지금 바로 대응을 시작할 수 있도록, Işık 교수는 다음 세 가지 핵심 권고를 제시합니다:
1. 조직 문화를 전환하세요
사이버보안을 전사적 공동 책임으로 정착시키는 것부터 시작하세요. 컴플라이언스 팀, 보안 전문가, 프로덕트 매니저, 개발자가 함께하는 협업 체계를 구축해야 합니다. 이는 본질적인 문화적 전환이므로, 전환을 일찍 시작할수록 사이버 복원력의 기반이 견고해집니다.
2. 지금 인재에 투자하세요
중급에서 시니어급 인력이 부족한 현재, 사이버 복원력에 진지하게 임하는 제조업체라면 지금부터 주니어 인재를 채용하고 육성해야 합니다. 사내에 역량 있는 팀을 갖추는 것은 장기적인 디지털 보안에 필수적입니다.
3. 당장 실천을 시작하세요
공식 요건이 발효되기 전이더라도, 내부 또는 외부 파트너와 자체 평가를 진행하세요. 이 평가의 목표는 체크리스트를 채우는 것이 아니라, 미래의 운영상의 성숙도와 대응 능력을 높이는 데 있습니다.
지금이 바로 행동할 때입니다
CRA 대응을 신속히 추진하는 제조업체는 보안이 확보된 제품을 갖춘 신뢰할 수 있는 파트너로 자리매김함으로써 선점우위 효과(first-mover advantage)를 얻을 수 있다고 Işık 교수는 말합니다. "제조업체는 디지털 구성 요소의 보안 측면에 더 많은 투자와 시간을 들여야 할 것입니다. CRA 체계에서는 제품에 서드파티 구성 요소가 포함되어 있더라도 최종적인 책임은 제품 소유자에게 있습니다."
Işık 교수는 이렇게 설명합니다. "출시 속도를 최우선으로 둘 수도 있고, 처음부터 리스크를 최소화하려는 신중한 조직이 될 수도 있습니다." 이 원칙은 CRA 컴플라이언스뿐 아니라 모든 규제 준수에도 동일하게 적용됩니다. 예를 들어 AI 컴포넌트를 포함한 제품이라면 여러 규제가 동시에 적용됩니다. 이런 경우 개발 속도를 무리하게 앞당기기보다는, 설계에 의한 보안(security by design) 개념으로 접근하여 필요한 모든 이해관계자를 초기 설계 단계부터 참여시키는 것이 현명할 수 있습니다. "조직이 만드는 제품은 그 조직의 핵심 가치와 일치해야 합니다. 이러한 인식의 전환이야말로 제조업체가 컴플라이언스를 진정한 전략적 차별화 요소로 만드는 핵심입니다."
마찬가지로 모든 리스크를 동일한 수준으로 관리할 수는 없기 때문에, 어떤 리스크를 우선적으로 처리할 것인지에 대한 선택과 집중도 필요합니다. "규제의 목적은 공격이 발생했을 때 가장 큰 피해를 초래할 수 있는 리스크가 무엇인지 우선순위를 정하고, 그에 맞게 자원을 투입하여 먼저 해결하는 데 있습니다. 그래서 조직이 리스크를 무작위로 처리하기보다는, 먼저 체계적인 우선순위를 설정하는 것이 중요합니다."
CRA 컴플라이언스를 달성하기 위한 구체적이고 상세한 가이드라인은 아직 정립 중이지만, Işık 교수가 전하는 메시지를 분명합니다: "CRA는 출발점을 제시할 뿐입니다. 지금부터 준비를 시작하세요."
그녀는 이렇게 강조합니다. "일단 시작하세요. 우선 자사의 현재 위치를 자체적으로 평가해 보세요. 내부적으로 진행할 수도 있고, 제3자와 함께 진행해도 무방합니다. 어느 방법이든, 평가를 통해 경험을 쌓는 것은 결코 헛되지 않을 것입니다."
See also
