유럽 연합(EU)의 사이버 복원력 법안(CRA)은 소프트웨어 제조사가 '설계 단계부터 보안(Secure-by-design)'을 실현하도록 의무화하며, 제품의 취약점에 대해 법적 책임을 지도록 규정하고 있습니다.
특히 CRA는 사람이 작성한 코드와 AI가 제안한 코드를 구분하지 않으므로, 기업은 AI의 개발 속도에 맞춰 보안 검증 역량을 확장해야만 하는 과제에 직면해 있습니다.
EU CRA란?
EU Cyber Resilience Act로, 소프트웨어·IoT 등 디지털 요소가 있는 제품에 기본적인 사이버보안 요건을 의무화한 규정입니다.
제품을 설계할 때부터 보안을 반영하고, 출시 후에도 취약점 관리와 보안 업데이트를 해야 하며, 심각한 사고나 실제 악용된 취약점은 정해진 절차에 따라 신고해야 합니다.
2024년 12월 10일 발효됐고 주요 의무는 2027년 12월 11일부터 적용됩니다.
이러한 규제 환경에 효과적으로 대응하기 위한 8단계 체크리스트는 다음과 같습니다.
CRA 준수를 위한 8단계 체크리스트
1. SAST를 통한 취약점 최소화
정적 애플리케이션 보안 테스트(SAST)를 활용하여 개발 초기 단계에서 악용 가능한 코딩 약점을 식별합니다.
이는 제품 출시 전 취약점을 최소화해야 한다는 CRA 제13조 의무 사항을 충족하는 핵심 방법입니다.
2. 시스템 접근 보호
코드베이스 전체를 스캔하여 하드코딩된 API 키, 비밀번호, 민감한 토큰을 탐지하고 차단합니다.
이는 무단 접근으로부터 시스템을 보호해야 한다는 Annex I(부속서 I) 요건을 실현합니다.
3. 서드파티 리스크 관리
소프트웨어 구성 분석(SCA)을 통해 보안 취약점이 있는 외부 종속성을 식별하고 지속적으로 모니터링합니다.
이는 CRA의 투명성 및 수명 주기 리스크 관리 의무를 지원합니다.
4. 알려진 취약점(Exploits) 부재 검증
NVD, EPSS, KEV, OSV 등의 데이터베이스를 활용하여 사용 중인 구성 요소에 알려진 위험이 없는지 검증합니다.
알려진 취약점 없이 제품을 출하해야 한다는 Annex I의 명령을 직접적으로 이행하는 단계입니다.
5. 공급망 투명성 확보
기계 판독이 가능한 소프트웨어 자재 명세서(SBOM)를 자동으로 생성합니다.
이를 통해 소프트웨어 수명 주기 전반에 걸쳐 추적 가능한 인벤토리 관리 프로세스를 구축하고 명확한 CRA 요건을 충족할 수 있습니다.
6. 감사 추적 및 증빙 생성
수명 주기 변경, 구성 업데이트, 보안 이벤트 등을 기록하는 안전하고 변경 불가능한 감사 로그를 유지합니다.
이는 CRA 리스크 평가에 필요한 문서화 과정을 획기적으로 간소화해 줍니다.
7. 생성 시점에서 표준 적
IDE에서 개발자에게 실시간 피드백을 제공하고, CI/CD 파이프라인에 '품질 게이트(Quality Gates)'를 설정합니다.
이를 통해 규정을 준수하지 않은 코드가 운영 환경으로 넘어가는 것을 원천 차단합니다.
8. 전략적 거버넌스를 통한 리스크 평가
프로젝트 대시보드와 포트폴리오 관리를 통해 코드베이스의 건강 상태를 가시화합니다.
보이지 않던 '기술 부채'를 데이터로 변환하여 경영진과 리스크 관리자가 명확한 의사결정을 내릴 수 있도록 돕습니다.
SonarQube는 위와 같은 엄격한 표준을 충족할 수 있는 자동화된 검증 인프라를 제공하여, 모든 코드가 보안성을 갖추고 운영에 적합한 상태임을 보장합니다.
참고: CRA 관련 보안 보고서 및 요건은 엔터프라이즈 에디션 이상에서 지원되며, SCA 및 SBOM 생성은 Advanced Security 기능이 필요합니다.