Skip to content
검색  
      Feb 24, 2026

      EU ETSI 사이버보안 표준 초안: 새로운 제안이 제조사에 의미하는 바 — 그리고 지금부터 준비해야 할 것들

      작성자: Sangyeop Lee

      2026년 초, 유럽전기통신표준협회(ETSI)는 EU의 향후 사이버 회복력법(CRA, Cyber Resilience Act)을 실행하기 위해 설계된 일련의 사이버보안 표준 초안을 공개했습니다. 현재 의견 수렴 중인 이 초안들은 법적 요구사항과 제조사가 실제로 구현해야 할 기술적 통제 사이의 중요한 연결 고리 역할을 합니다. 디지털 요소를 포함한 제품을 EU 시장에 출시하는 조직에게 하나는 분명합니다. 사이버보안 컴플라이언스는 더 규범적이고, 더 기술적이며, 더 감사 가능한 형태로 변화하고 있습니다.

       

      초안 표준이 다루는 범위

      ETSI의 초안은 다음과 같은 다양한 제품 및 소프트웨어 범주를 폭넓게 다룹니다.

      -  라우터, 모뎀, 스위치
      - 운영체제(OS)
      - 브라우저
      - VPN
      - 안티멀웨어 도구
      - 네트워크 관리 시스템
      - SIEM 플랫폼
      - 부트 매니저
      - 네트워크 인터페이스
      - 공개키 기반구조(PKI) 구성요소

      이 초안들은 정책 목표를 새로 정의하려는 것이 아니라, CRA의 원칙—예: Secure by Design, Secure by Default, 라이프사이클 기반 취약점 관리—을 구체적 기술 요구사항으로 변환하는 데 목적이 있다.
      중요하게도 ETSI는 초안을 오픈 문서 포털을 통해 투명하게 공개해 제조사가 업데이트를 추적하고, 세부 보안 통제가 어떻게 구성되는지를 직접 확인할 수 있도록 하고 있다. 이는 표준이 아직 완성되지 않았음을 시사하지만, 동시에 향후 “조화 표준(harmonised standards)”의 방향성을 일찍 파악할 수 있게 해준다.

       

      제조사에게 중요한 이유

      CRA에 따르면 소비자 제품, 산업 장비, 단독 소프트웨어 등 대부분의 디지털 요소 포함 제품은 EU 출시 전 적합성을 입증해야 합니다.
      향후 ETSI 표준이 조화 표준으로 채택되어 EU 공식 저널(OJ)에 게재되면, 해당 표준을 준수하는 것만으로 관련 CRA 요구사항을 충족했다는 적합성 추정(presumption of conformity) 을 얻게 됩니다.
      이는 규제 불확실성 감소, CE 마킹 전략 간소화와 같은 실질적 이점을 제공합니다.
      그러나 이는 동시에 더 높은 기대 수준을 의미합니다.
      제조사는 제품 수명주기 전체에 걸쳐 사이버보안이 내재화되어 있음을 증명해야 한다. 수명주기에는 설계 단계 위협 모델링, 안전한 개발 프로세스(SSDLC), 강력한 접근 통제, 업데이트·패치 메커니즘, 취약점 공개(Vulnerability Disclosure) 프로세스, 출시 후 모니터링이 포함됩니다. 
      기존에 보안을 부가 기능 또는 출시 후 작업으로 다뤄온 기업에게 이는 구조적 변화입니다.

       

      현장에서의 실질적 영향

      초안은 다음과 같은 즉각적인 영향을 시사합니다.

        • 설계·아키텍처 선택에 대한 보안 검증 강도 강화 
          특히 연결되거나 원격으로 관리되는 제품이 대상
        • 기술 문서화 수준 대폭 상향 요구
          ETSI가 정의한 보안 통제를 어떻게 구현·테스트·유지하는지 상세하게 기술해야 함
        • 라이프사이클 기반 의무의 사실상 규제화
          취약점 처리와 보안 업데이트 등은 더 이상 모범 사례가 아닌 법적 기대치
        • 공급망 관리 중요성 증가 
          서드파티 소프트웨어 모듈이 전체 제품의 컴플라이언스를 저해해서는 안 됨

       

      지금 제조사가 준비해야 할 사항

      CRA의 핵심 의무는 2027년부터 적용될 예정이지만, 준비는 훨씬 이전부터 시작해야 합니다.

        • ETSI 초안 지속 모니터링
          오픈 ETSI Cyber Standards Workspace 활용
        • 현재 제품·개발 프로세스와의 갭 분석 수행 
          초안의 보안 통제 또는 기존의 정립된 국제 사이버보안 표준 기반
        • Secure by Design 강화
          위협 모델링, 정적·동적 보안 테스트 등 엔지니어링 표준 절차화
        • 컴플라이언스 증적(Evidence) 조기 구축
          제품 출시 후가 아니라 개발 과정 중 기술 파일과 적합성 문서 동시 구축
        • 인증기관(Notified Body) 및 적합성 평가 전문가와 조기 협업 
          해석 오류나 출시 직전 설계 변경 위험 최소화

       

      결론

      EETSI의 사이버보안 표준 초안은 앞으로 유럽에서 디지털 제품의 적합성이 평가되는 방식을 근본적으로 바꿀 중요한 전환점입니다. 제조사에게 이는 로드맵이자 경고입니다.
      지금부터 초안을 면밀히 검토하고 개발 프로세스를 선제적으로 조정하는 기업만이 CRA가 완전히 시행된 이후에도 원활한 시장 접근성을 확보할 수 있을 것입니다.

       

       

       

      태그: 사이버보안 , 사이버복원력법 , cybersecurity

      Sangyeop Lee

      in charge of Marketing, MSC service, Quality Assurance in Nemko Korea

      Other posts you might be interested in