차량 사이버보안 규제 읽기
자주 받는 질문들
"우리는 이미 R155 대응하고 있는데 CRA도 해야 하나요?"
"CSMS Audit도 받고 있는데 CRA는 또 뭔가요?"
"자동차는 R155가 있는데 CRA는 해당 없는 거 아닌가요?"
"CRA는 IT 제품 규제 아닌가요? 우리는 자동차 부품인데요."
실제로 많은 협력사들이 CRA를 새로운 자동차 규제로 오해하거나, 반대로 자동차와 무관한 IT 규제로 봅니다. 둘 다 정확하지 않습니다.
CRA는 자동차를 직접 규제하는 법이 아닙니다.
하지만 디지털 제품을 만드는 기업 전체를 대상으로 하는 사이버보안 규제이고,
자동차 공급망도 점점 이 영향권 안으로 들어오고 있습니다.
하지만 디지털 제품을 만드는 기업 전체를 대상으로 하는 사이버보안 규제이고,
자동차 공급망도 점점 이 영향권 안으로 들어오고 있습니다.
CRA는 무엇인가
CRA(Cyber Resilience Act)는 EU가 제정한 사이버보안 규정입니다. 핵심은 단순합니다.
✅ 소프트웨어 또는 디지털 기능이 포함된 제품은
출시 시점뿐 아니라 제품 수명 전체에 걸쳐 사이버보안을 유지해야 한다.
출시 시점뿐 아니라 제품 수명 전체에 걸쳐 사이버보안을 유지해야 한다.
과거에는 제품을 출시할 때만 보안을 확인했다면, CRA는 제품 Lifecycle 전체를 대상으로 합니다. 제조사는 제품 판매 후에도 취약점 관리, 보안 업데이트 제공, 사고 대응, 취약점 공개, 고객 통지를 수행해야 합니다.
그리고 중요한 점 — 자동차 ECU도 소프트웨어가 포함된 디지털 제품입니다.
R155와 CRA — 뭐가 다른가
❌ "R155 대응했으니까 CRA는 안 해도 되는 거 아닌가?"
✅ 두 규정은 적용 대상이 다르다 — 하지만 요구하는 내용은 놀랍도록 비슷하다
R155는 자동차(완성차·OEM 중심)를 규율하고, CRA는 디지털 제품을 만드는 기업 전체를 규율합니다. 범위가 다르기 때문에 R155 대응이 CRA 면제를 의미하지 않습니다. 특히 자동차 부품을 만드는 협력사는 두 규정 모두의 영향권에 놓일 수 있습니다.
| 구분 | UNECE R155 | EU CRA |
|---|---|---|
| 적용 대상 | 자동차 (완성차 중심) | 디지털 기능 포함 제품 전반 |
| 주체 | OEM → 공급망 | 제조사·수입사·유통사 |
| 핵심 요구 | CSMS 구축 + VTA | 제품 보안 요구사항 충족 + CE 마킹 |
| 취약점 대응 | 필수 | 필수 |
| 보안 업데이트 | 필수 | 필수 |
| 사고 신고 | 필수 | 필수 (24시간 내) |
| 지원 기간 | 차량 수명 | 최소 5년 (제품 기대 수명 기준) |
CRA Annex I — 자동차 엔지니어 눈에 익숙한 이유
CRA Annex I에는 제품이 충족해야 할 보안 요구사항이 나열되어 있습니다. 처음 읽으면 의외로 낯설지 않습니다.
Annex I - 1
Security by Design
설계 단계부터 보안 고려
Annex I - 2
Secure by Default
기본 설정이 보안 상태
Annex I - 3
Access Control
인증·권한 관리
Annex I - 4
Minimal Attack Surface
불필요한 인터페이스 최소화
Annex I - 5
Vulnerability Management
취약점 지속 모니터링·대응
Annex I - 6
Secure Update
안전한 업데이트 메커니즘
Annex I - 7 ⚠️
Security Testing
출시 전 보안 테스트 수행 — 협력사에 직접 영향
Annex I - 8
Logging & Monitoring
보안 이벤트 로깅
Annex I - 9
Confidentiality
저장·전송 데이터 보호
Annex I - 10
Integrity
데이터·명령 무결성 보장
Annex I - 11
Availability
서비스 가용성 유지
Annex I - 12 ⚠️
SBOM
소프트웨어 구성 목록 관리 — 공급망 투명성 요구
Annex I - 13 ⚠️
Incident Reporting
사고 발생 시 24시간 내 신고 의무
💡 ISO/SAE 21434, R155, CSMS를 하고 있는 분이라면 대부분 이미 익숙한 내용입니다. CRA는 이 요구사항을 자동차 이외 디지털 제품 전체로 확대 적용한 규정입니다.
협력사가 특히 주목해야 할 것 — Security Testing
CRA Annex I 요구사항 중 협력사 입장에서 가장 직접적인 영향을 받는 항목이 바로 Security Testing입니다.
CRA Security Testing 요구사항 — 자동차 협력사 관점
공통
출시 전 보안 테스트 수행 의무
제품을 시장에 출시하기 전에 보안 취약점 테스트를 수행했음을 증명해야 합니다. R155 V&V 요구사항과 방향이 동일합니다. 이미 Pentest, SAST, DAST를 하고 있다면 이 요구사항의 절반은 충족합니다.
CRA 추가
테스트 결과 문서화 및 보존
테스트를 수행한 것만으로는 부족합니다. CRA는 어떤 테스트를 어떤 방법으로 수행했고 결과가 어땠는지를 문서로 보존해야 합니다. 시장 감독 기관이 요청하면 제출할 수 있어야 합니다. 추적성이 없는 테스트는 인정받지 못합니다.
CRA 추가
보안 테스트의 지속성 — 출시 후에도
CRA는 제품 출시 후 새로운 취약점이 발견되면 추가 테스트를 수행하고 업데이트를 제공할 의무를 부여합니다. 자동차 협력사 입장에서는 납품 이후에도 해당 제품에 대한 보안 테스트 역량을 유지해야 한다는 의미입니다.
CRA 추가
제3자 테스트 or 자체 평가 — 제품 등급에 따라 결정
CRA는 제품을 Default, Class I, Class II로 분류합니다. Class II(고위험 제품)는 인증기관의 제3자 평가가 필수입니다. 자동차 ECU가 어느 등급에 해당하는지 아직 명확히 정리되지 않은 부분이 있어 주의가 필요합니다.
공통
SBOM + 취약점 연계 테스트
CRA는 SBOM 관리와 보안 테스트를 연계합니다. 구성 컴포넌트에서 CVE가 발견되면 영향도를 분석하고 테스트를 수행해야 합니다. 이미 R155에서 OSS 취약점 관리를 하고 있다면 방향은 같습니다. 다만 증적 요구 수준이 더 높습니다.
⚠️ 핵심은 이겁니다.
CRA에서 "테스트를 했다"는 구두 확인은 의미가 없습니다. 무엇을, 어떻게, 언제 테스트했고, 결과가 무엇인지를 문서로 남겨야 합니다. 그리고 그 문서가 제품 수명 기간 동안 보존되어야 합니다.
CRA에서 "테스트를 했다"는 구두 확인은 의미가 없습니다. 무엇을, 어떻게, 언제 테스트했고, 결과가 무엇인지를 문서로 남겨야 합니다. 그리고 그 문서가 제품 수명 기간 동안 보존되어야 합니다.
협력사가 영향을 받는 경로
자동차 협력사는 CRA를 직접 받지 않더라도 두 가지 경로로 영향을 받습니다.
협력사에 CRA가 영향을 주는 경로
1
OEM 공급망 요구 강화 — CRA 대응이 필요한 OEM은 협력사에게도 동등한 수준의 보안 증적을 요구하기 시작합니다. 보안 테스트 결과, SBOM, 취약점 대응 이력이 납품 조건이 될 수 있습니다.
2
직접 제조사 해당 여부 — 협력사가 ECU 또는 소프트웨어 컴포넌트를 직접 EU 시장에 납품하거나 수출한다면 CRA 직접 적용 대상이 될 수 있습니다. 특히 독립적인 소프트웨어 제품이나 모듈 형태의 제품은 검토가 필요합니다.
협력사 체크리스트 — 지금 당장 할 수 있는 것
CRA 대비 협력사 준비 항목
보안 테스트 결과 문서화 체계 확인 — Pentest, SAST, Fuzz Test 결과가 요구사항과 연결되어 문서로 보존되고 있는가? 테스트를 했어도 문서가 없으면 CRA 관점에서는 없는 것과 같습니다.
SBOM 생성 및 관리 체계 확인 — 납품 제품에 포함된 OSS, 서드파티 라이브러리 목록이 있는가? CVE 발생 시 영향도를 분석할 수 있는가? OEM들이 이미 SBOM을 납품 조건으로 요구하기 시작했습니다.
취약점 대응 프로세스 확인 — 납품 이후 CVE가 발견됐을 때 OEM에 통보하고 패치를 제공하는 프로세스가 있는가? PSIRT 운영이 없다면 최소한 담당자와 절차를 명시해두어야 합니다.
보안 개발 증적 유지 기간 확인 — CRA는 제품 수명 기간(최소 5년) 동안 보안 문서를 보존해야 합니다. 현재 프로젝트 종료 후 문서를 어떻게 관리하고 있는지 점검이 필요합니다.
OEM CIA(Cybersecurity Interface Agreements) 내용 확인 — OEM이 내려주는 CIA에 CRA 관련 보안 요구사항이 포함되기 시작했습니다. 계약 단계에서 어떤 보안 테스트와 증적이 요구되는지 미리 확인해야 합니다.
현업에서는 이렇게 느껴진다
최근 몇 년 사이 차량 사이버보안은 "ECU 보안 기능"에서 "공급망 전체의 보안 운영 체계"로 확장되고 있습니다. R155가 조직과 차량 단위의 보안을 요구했다면, CRA는 제품 단위의 보안을 Lifecycle 전체로 늘리는 방향입니다.
ℹ️ CRA 요구사항을 처음 읽는 자동차 보안 엔지니어는 대부분 이렇게 반응합니다.
"이거 21434랑 R155에서 이미 하는 거 아닌가?"
맞습니다. 내용은 비슷합니다. 다만 이제 그 요구가 자동차를 넘어 공급망 전체, 그리고 제품 수명 내내 이어진다는 점이 다릅니다.
"이거 21434랑 R155에서 이미 하는 거 아닌가?"
맞습니다. 내용은 비슷합니다. 다만 이제 그 요구가 자동차를 넘어 공급망 전체, 그리고 제품 수명 내내 이어진다는 점이 다릅니다.
마무리
R155는 자동차를 위한 규제이고,
CRA는 디지털 제품을 위한 규제입니다.
하지만 두 규정이 요구하는 방향은 놀라울 정도로 비슷합니다.
협력사 입장에서 CRA를 준비한다는 건
새로운 문서를 만드는 게 아니라,
이미 하고 있는 차량 보안 활동을 더 체계적으로 운영하고
테스트 결과와 취약점 대응 이력을 제대로 남기는 것에 가깝습니다.
핵심 요약
1
CRA는 자동차 규제가 아니다 — 디지털 제품 전체 대상. 하지만 자동차 협력사도 영향권 안에 있다
2
R155와 방향은 매우 유사하다 — Security by Design, 취약점 관리, 보안 업데이트, 사고 신고까지 겹친다
3
Security Testing 요구가 핵심 차이점이다 — 테스트 수행만으로 부족하고 결과 문서화·보존·지속성이 요구된다
4
SBOM과 취약점 연계 관리가 필수가 된다 — 납품 이후에도 CVE 발생 시 영향도 분석과 패치 제공 의무가 있다
5
CRA 대응의 시작은 이미 하고 있는 것을 제대로 문서화하는 것 — 21434와 R155를 제대로 운영하면 절반은 된다
반응형
'차량 사이버보안 > 규제 · 인증' 카테고리의 다른 글
| 21434 V&V 공백, 8477이 채워줄까 — 현재 개발 현황과 실무자가 알아야 할 것 (0) | 2026.06.01 |
|---|---|
| CRA Annex I 요구사항 13개 — 자동차 사이버보안 엔지니어 관점에서 해석해보기 (0) | 2026.05.29 |
| 특장차·트레일러도 사이버보안 관리가 필요할까? (0) | 2026.05.28 |
| 자동차 사이버보안 인증제도 가이드라인 행사 후기— 한국의 CSMS 인증제도 (0) | 2026.05.28 |
| CSMS와 VTA는 뭐가 다를까?— 조직 인증과 차량 인증은 완전히 다른 이야기다 (0) | 2026.05.26 |