유럽 CRA 법안 임박, 한국 블록체인 기업들 보안 규제 대비 필요

유럽연합(EU)이 2027년부터 사이버복원력법(CRA)을 시행할 예정이며, 국내 디지털자산 기업들도 글로벌 보안 규제 대응이 시급해졌다. CRA는 제품 개발 전 과정에 보안 요건을 강화하며, EU 거주자에게 원격으로 서비스를 제공하는 해외 기업에도 영향이 미칠 수 있다.

CRA는 사이버 사고 발생 시 복구를 넘어 예방과 위협 억제를 포함하는 '사이버 복원력'이 핵심이다. 특히 소프트웨어와 디지털 서비스에 대한 보안 요건을 제조사, 운영사, 유통사까지 부과하는 것이 특징이다.

제조사는 제품 설계 단계부터 보안 취약점을 줄이고 자동 업데이트 체계를 도입해야 한다. 또한, 소프트웨어 구성요소 명세서(SBOM) 작성, 사이버 리스크 평가, 사고 보고, 기술문서 보관 등이 요구된다.

국내에서는 오픈소스 기술 사용이 일반화되어 있으며, CRA는 오픈소스 취약점 관리 수단으로 SBOM 제출을 요구한다. 하지만 표준화된 작성 도구 부재와 인력 부담은 중소기업에 장벽이 될 수 있다.

CRA는 국내 주요 블록체인 기업들에도 영향을 미칠 수 있다. EU 내 서비스뿐만 아니라 원격으로 제공되는 서비스에도 적용될 수 있기 때문이다.

CRA는 상업적 목적 없이 개발된 오픈소스에는 예외를 두고 있으나, 기준이 모호해 혼란이 있다. 정부와 전문가들은 회피보다는 규제에 대한 대응 준비를 강조한다.