블랙덕 “EU CRA 도입 가시화, SBOM 생성 넘어선 통합 보안 전략 필요”

ⓒ데일리포스트=이미지 제공/ 쿠도커뮤니케이션

ㅣ데일리포스트=곽민구 기자ㅣ“소프트웨어를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 합니다.”

ICT 전문기업 쿠도커뮤니케이션과 AI 기반 애플리케이션 보안 분야의 글로벌 리더 블랙덕(Black Duck)이 도입이 가시화된 EU CRA 취약점 관리 규정 준수를 위한 확장형 보안 전략을 공개했다. 13일 오전 경기 과천시 DX타워에서 열린 기자간담회에서다.

소프트웨어 공급망 보안 분야의 글로벌 전문가인 블랙덕 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 총괄은 “2024년 말 발효된 EU CRA는 제조사가 제품 전 수명주기에 걸쳐 보안 의지를 입증해야 하는 강력한 기준선”이라며 “2026년 9월부터 취약점 관리 의무가 본격 적용되는 만큼 우리 기업들의 기민한 대응이 필요하다”고 설명했다.

특히 맥키 총괄은 “SBOM은 신뢰 전달의 수단일 뿐 이것으로는 EU CRA의 엄격한 요건을 모두 충족할 수 없다”며 “CRA가 제시하는 기대 수준은 ▲제3자 취약점 제로(Zero) ▲기본 보안(Security by Default) ▲취약점 신속 보고 ▲테스트 의사결정 기록 관리 ▲강력한 오픈소스 거버넌스 ▲적합성 진술서(Conformity Statement) 확보 등으로 구성된다”고 전했다.

이어 “규제 대응을 위해 ▲소프트웨어 구성 분석(SCA)을 통한 외부 리스크 관리 ▲정적 분석(Coverity) 기반의 자사 코드 결함 제거 ▲퍼징 테스트(Defensics)를 활용한 프로토콜 검증 등 입체적인 접근이 수행되어야 한다”고 강조했다.

EU CRA는 제품의 생산지나 본사 위치와 상관없이 EU 내에서 판매되는 모든 소프트웨어 포함 제품에 적용된다. 위반 시에는 전 세계 매출의 2.5%, 일반 적합성 위반에 대해 4%에 달하는 과징금이 부과될 수 있으며, 최악의 경우 EU 공동시장 접근권 박탈이라는 제재를 받을 수 있다.

ⓒ데일리포스트=이미지 제공/ 쿠도커뮤니케이션

CRA는 오는 9월부터 적용되는 취약점 공개 의무를 비롯해 유럽 취약점 데이터베이스(EUVD)를 포함한 다수 채널에 대한 보고를 의무화한다. 이에 대해 팀 맥키 총괄은 “글로벌 시장을 대상으로 서비스를 제공하는 기업의 경우, EU CRA 대응은 선택이 아닌 필수 요소가 될 것”이라고 전망했다.

CRA 적합성 평가는 크게 세 가지 방식으로 구분된다. 제조사가 자체적으로 검증·선언하는 모듈 A(내부 통제 기반), 제3자 인증기관(Notified Body)이 설계 및 개발을 심사하는 모듈 B+C(EU형식 시험), 품질경영시스템 전반을 인증기관이 평가하는 모듈 H(전체 품질보증)가 있다. 제품 유형 및 위험 분류에 따라 적절한 방식이 적용되며, 모든 방식에는 CE 마킹 획득이 최종 요건으로 명시되어 있다.

팀 맥키 총괄은 “규제를 단순한 비용 요인이 아닌 전략적 기회로 접근해야 한다. 자동차 산업이 차량 내 소프트웨어, 제조, 클라우드, 네트워크 인프라 전반에 걸쳐 보안 생태계를 구축한 것처럼, 소프트웨어를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 한다"고 밝혔다.

블랙덕은 오픈소스 소프트웨어 보안 및 관리 분야에서 약 25년에 가까운 경험을 바탕으로, SBOM 생성 및 관리, 취약점 분석, 오픈소스 컴포넌트 상태 관리 등 소프트웨어 공급망 전반에 대한 가시성과 통제 기능을 제공 중이다.

EU CRA 대응을 위해 블랙덕은 ▲파이프라인 보안(Pipeline Security)을 통한 빌드 워크플로우 리스크 제거 ▲SCA를 통한 소프트웨어 공급망 가시성·통제 확보 ▲악성 코드 및 취약점 탐지 ▲SBOM 관리를 통한 업스트림·다운스트림 공급망 투명성 강화를 지원한다.

블랙덕 국내 공인 총판 쿠도커뮤니케이션 김철봉 부사장은 "EU CRA와 같은 글로벌 규제 환경 변화는 국내 기업에도 직접적인 영향을 미칠 것"이라며 "블랙덕과 함께 기업들이 선제적이고 체계적인 규제 대응 방식을 취할 수 있도록 지원을 강화해 나갈 계획"이라고 밝혔다.

블랙덕은 25년 이상의 업력을 보유한 글로벌 애플리케이션 보안 기업으로, 오픈소스 소프트웨어(OSS) 보안과 소프트웨어 공급망 관리 분야에서 글로벌 시장을 선도 중이다.

쿠도커뮤니케이션은 정보보안, 물리보안, 융합보안관제 플랫폼을 제공하는 토탈 보안 전문기업이다. 쿠도커뮤니케이션 정보보안사업부는 Black Duck, TXOne Networks, Netskope, ICTK, Forescout, Extreme Networks의 국내 공인 총판 및 PaloAlto Networks, Illumio의 파트너십을 통해 토탈 보안 솔루션을 제공 중이다.