CRA Annex I 요구사항 13개 — 자동차 사이버보안 엔지니어 관점에서 해석해보기

CRA(Cyber Resilience Act) 읽기

CRA 시리즈 구성

1

1편

R155 했는데 CRA도 해야 하나?

자동차 협력사가 CRA를 알아야 하는 이유

DONE

2

2편 · 지금 읽는 글

CRA Annex I 요구사항 13개

자동차 사이버보안 엔지니어 관점에서 해석해보기

NOW

지난 글에서 CRA가 자동차 업계에도 영향을 줄 수 있다는 이야기를 했습니다. 이번에는 CRA 문서를 직접 펼쳐서 Annex I을 하나씩 읽어보겠습니다.

읽다 보면 아마 이런 반응이 나올 겁니다.

"이거 우리가 이미 하고 있는 거 아닌가?"

맞습니다. 그게 이 글의 핵심입니다.

CRA Annex I을 읽어보면
자동차 사이버보안이 왜 다른 산업보다 먼저 준비되어 있었는지 알 수 있습니다.
그리고 어떤 부분이 새로 요구되는지도 보입니다.

---

CRA Annex I이란

CRA의 핵심은 Annex I입니다. 여기에 제품이 갖춰야 할 필수 사이버보안 요구사항(Essential Cybersecurity Requirements)이 정의되어 있습니다.

✅ "안전한 제품을 만들기 위해 최소한 이것들은 해야 한다"는 체크리스트입니다.

자동차 엔지니어 관점에서는 ISO/SAE 21434의 Cybersecurity Requirements, CSMS 운영 체계와 매우 유사한 개념입니다.

총 13개 요구사항을 하나씩 보겠습니다. 이미 익숙한 것, 새로 신경 써야 할 것을 구분해서 읽으면 됩니다.

---

①

Security by Design

보안은 출시 전에 설계되어야 한다

제품 개발 초기부터 보안을 고려하도록 요구합니다. 사후에 보안을 붙이는 방식은 인정되지 않습니다.

자동차 업계 대응 활동

TARA 수행 · Security Concept 작성 · Cybersecurity Goal 정의 · 보안 요구사항 도출 — 전부 Security by Design 활동입니다. 이미 하고 있습니다.

ISO/SAE 21434 R155

②

Secure by Default

기본 설정부터 안전해야 한다

사용자가 별도 설정을 하지 않아도 제품은 기본적으로 안전해야 합니다. 보안은 옵션이 아닙니다.

자동차 업계 대응 활동

Debug Port 기본 비활성화 · Default Password 제거 · 불필요한 서비스·인터페이스 차단 — 최근 OEM Security Requirement에서 자주 등장하는 내용입니다.

ISO/SAE 21434 R155

③

Known Vulnerability 금지

알려진 취약점을 포함하지 말 것

공개된 취약점(CVE)을 그대로 제품에 포함하지 말 것을 요구합니다. OSS 컴포넌트를 사용한다면 납품 시점에 알려진 취약점이 없어야 합니다.

자동차 업계 대응 활동

CVE 모니터링 · SBOM 관리 · OSS 취약점 점검 — 과거에는 사용하고 끝이었다면, 이제는 사용 이후에도 지속 관리가 요구됩니다.

CSMS SBOM 관리 필요

④

Attack Surface Reduction

공격 표면을 최소화하라

공격 가능한 영역을 줄이라는 의미입니다. 불필요한 인터페이스, 서비스, 포트는 제거해야 합니다.

자동차 업계 대응 활동

불필요 포트 제거 · Unused CAN Service 제거 · Diagnostic 접근 제한 · Secure Gateway 적용 — R155 Annex 5 위협 시나리오와도 연결됩니다.

R155 ISO/SAE 21434

⑤

Access Control

권한 없는 접근을 방지하라

인증되지 않은 접근을 막도록 요구합니다. "무엇을 할 수 있는가"를 제어하는 개념입니다.

자동차 업계 대응 활동

Secure Debug · UDS Security Access · Role-Based Access Control — 이미 표준적으로 적용 중인 내용입니다.

ISO/SAE 21434 R155

⑥

Authentication

상대방이 누구인지 확인하라

Access Control이 "무엇을 할 수 있는가"라면, Authentication은 "누구인가"를 확인하는 것입니다. 신원 확인 없는 접근은 허용하지 않아야 합니다.

자동차 업계 대응 활동

Certificate 기반 인증 · TLS Mutual Authentication · Vehicle PKI — SDV 시대로 갈수록 PKI 기반 인증 중요도가 높아지고 있습니다.

ISO/SAE 21434 PKI 구축 필요

⑦

Data Protection

기밀성과 무결성을 확보하라

CIA 중 기밀성(C)과 무결성(I)에 해당합니다. 저장·전송 데이터가 보호되어야 하고, 변조 시 탐지할 수 있어야 합니다.

자동차 업계 대응 활동

Secure Storage · HSM · 암호화 저장 · 전자서명 검증 · SecOC MAC — 이미 핵심 구현 요소로 자리 잡은 내용입니다.

ISO/SAE 21434 R155

⑧

Data Minimization

필요한 데이터만 수집하라

수집하는 데이터를 목적에 필요한 최소한으로 제한해야 합니다. SDV 시대에 점점 중요해지고 있습니다.

자동차 업계 관련 영역

운전자 정보 · 위치 정보 · 사용 패턴 등 개인정보 처리와 연결됩니다. GDPR과도 겹치는 영역으로, 자동차 업계에서는 아직 상대적으로 덜 정비된 부분입니다.

SDV 시대 주목

⑨

Availability

서비스 중단을 방지하라

보안은 기밀성만이 아닙니다. CIA의 가용성(A)에 해당합니다. 의도적인 서비스 중단 공격에 대응해야 합니다.

자동차 업계 대응 활동

DoS 대응 · Network Flooding 방어 · Resource Protection · Fail-Safe Architecture — 기능 안전과 사이버보안이 교차하는 영역입니다.

ISO/SAE 21434 R155

⑩

Logging

무슨 일이 있었는지 기록하라

보안 이벤트를 기록해야 합니다. 기록이 없으면 사고 발생 시 원인 분석이 불가능합니다.

자동차 업계 대응 활동

IDS 로그 · Security Event 기록 · Audit Log — CSMS Incident 대응의 핵심 요소입니다. 로그 없이는 사고 분석도, OEM 보고도 불가능합니다.

CSMS R155

⑪

Monitoring

출시 후에도 감시하라

CRA의 중요한 특징 중 하나입니다. 제품을 판매했다고 끝이 아닙니다. 운영 중 이상 징후를 탐지하고 대응해야 합니다.

자동차 업계 대응 활동

Fleet Monitoring · Vehicle Security Monitoring · VSOC 운영 · PSIRT — 양산 이후 운영 체계가 핵심입니다. 기술보다 운영 조직이 중요해지는 영역입니다.

CSMS VSOC·PSIRT 구축 필요

⑫

Secure Update

안전하게 업데이트하라 — 협력사 직접 영향

OTA 시대에 가장 중요한 요구사항 중 하나입니다. 업데이트 메커니즘 자체가 공격 경로가 되지 않도록 보장해야 합니다. 그리고 취약점이 발견되면 업데이트를 제공해야 합니다.

⚠️ 협력사 영향

R156 · SUMS · Firmware Signing · Rollback Protection — 자동차 업계는 CRA보다 먼저 OTA 규제를 경험했습니다. 하지만 CRA는 한 가지를 추가로 요구합니다. 납품 이후에도 취약점이 발견되면 업데이트를 제공해야 한다는 의무입니다. 협력사가 이를 위한 역량을 유지해야 합니다.

R156·SUMS 납품 후 지속 의무

⑬

Vulnerability Handling

취약점을 발견하면 관리하라 — 협력사가 가장 준비 안 된 영역

CRA에서 가장 중요하게 다루는 항목입니다. 취약점 발견 이후 영향도 분석, 패치 개발, 고객 통지, 보안 업데이트를 수행해야 합니다. 그리고 심각한 취약점은 24시간 내에 당국에 신고해야 합니다.

⚠️ 협력사 현실

PSIRT · CSMS · Incident Response — 자동차 OEM은 이미 R155를 통해 이 체계를 구축하고 있습니다. 그런데 많은 협력사는 아직 PSIRT 운영 체계 자체가 없는 경우가 많습니다. CRA는 협력사에게도 이 체계를 요구하는 방향으로 가고 있습니다.

CSMS·PSIRT 협력사 준비 시급

---

자동차 엔지니어 관점 — 요약 매핑

13개를 모두 보고 나면 결론이 나옵니다.

💡 CRA는 자동차 업계 입장에서 새로운 기술 요구사항이라기보다
이미 해오던 활동을 법적 의무로 정리한 성격이 강합니다.
단, ⑫ Secure Update와 ⑬ Vulnerability Handling은 협력사에게 새로운 책임을 부여합니다.

CRA 요구사항	자동차 대응 활동	협력사 준비 수준
Security by Design	TARA · Security Concept	대체로 준비됨
Secure by Default	Debug 비활성화 · Port 제어	대체로 준비됨
Known Vulnerability 금지	CVE 모니터링 · SBOM	일부 준비됨
Access Control · Authentication	UDS Security Access · PKI	대체로 준비됨
Data Protection	HSM · SecOC · 암호화	대체로 준비됨
Logging · Monitoring	IDS · VSOC · Audit Log	일부 준비됨
Secure Update	SUMS · Firmware Signing	OEM은 됨, 협력사는 미흡
Vulnerability Handling	PSIRT · Incident Response	협력사 대부분 미준비

---

협력사가 특히 주목해야 할 것 — Vulnerability Handling

13개 요구사항 중 자동차 협력사가 가장 준비되지 않은 영역이 Vulnerability Handling입니다. Secure Boot나 SecOC는 이미 많이 구현하고 있지만, 납품 이후 취약점이 발견됐을 때 어떻게 대응하는지 프로세스가 없는 곳이 많습니다.

⚠️ CRA는 이런 상황을 가정합니다.

협력사가 납품한 ECU 컴포넌트에서 6개월 후 CVE가 발견됐다. 누가 OEM에 통보하고, 누가 패치를 만들고, 누가 업데이트를 배포하는가?

이 프로세스가 없으면 CRA 위반입니다.

협력사 Vulnerability Handling 최소 준비 항목

CVE 모니터링 체계 — 납품 제품에 사용된 OSS·라이브러리의 CVE 발생을 지속 모니터링할 수 있어야 합니다. SBOM이 없으면 모니터링 자체가 불가능합니다.

영향도 분석 프로세스 — CVE가 발생했을 때 해당 제품에 실제 영향이 있는지 빠르게 분석할 수 있어야 합니다. TARA에서 공격 경로를 파악해뒀다면 이 분석이 훨씬 빠릅니다.

OEM 통보 절차 — 취약점 발견 시 어떤 경로로 OEM에 통보하는지 사전에 합의된 절차가 있어야 합니다. CIA(Cybersecurity Interface Agreements)에서 이 절차를 명시해두는 것이 좋습니다.

패치 개발·제공 역량 — 취약점 수정 패치를 실제로 개발하고 제공할 수 있는 역량과 인력이 있어야 합니다. 프로젝트 종료 후 팀이 해체됐다면 이 의무를 이행할 수 없습니다.

---

마무리

CRA Annex I은 자동차 업계에 새로운 숙제를 주는 문서라기보다,
우리가 이미 하고 있는 일을 다른 산업도 하게 만드는 문서에 가깝습니다.

단, 납품 이후에도 취약점을 관리하고 업데이트를 제공해야 한다는 점은
협력사 입장에서 새로운 책임입니다.

앞으로 OEM의 공급망 보안 요구가 강화될수록 기술적 구현 역량만큼이나 취약점 관리와 사고 대응 운영 체계가 협력사의 핵심 경쟁력이 될 가능성이 높습니다.

핵심 요약

1

CRA Annex I 13개 대부분은 이미 자동차 업계에서 하던 내용이다 — ISO/SAE 21434, R155, CSMS와 방향이 일치한다

2

Secure Update와 Vulnerability Handling이 협력사에게 새로운 책임이다 — 납품 이후에도 취약점 관리와 패치 제공 의무가 생긴다

3

SBOM 없이는 Vulnerability Handling이 불가능하다 — 어떤 컴포넌트를 썼는지 모르면 CVE 영향도 분석도 못 한다

4

협력사가 가장 준비 안 된 영역은 Vulnerability Handling이다 — PSIRT 운영 체계가 없는 경우가 많다

5

앞으로는 기술보다 운영 체계가 경쟁력이다 — PSIRT, 취약점 관리, 보안 업데이트 역량이 공급망 선택 기준이 될 수 있다

CRA CyberResilienceAct AnnexI 자동차사이버보안 ISO21434 R155 PSIRT 취약점관리 SBOM 협력사보안 VulnerabilityHandling SecureUpdate