[이데일리 성주원 기자] 유럽연합(EU)이 내년부터 단계적으로 시행하는 ‘사이버복원력법(CRA)’에 대한 우리 기업들의 대비가 필요하다는 경고의 목소리가 나왔다. 이 법을 위반할 경우 글로벌 매출액의 최대 2.5%에 달하는 과징금이 부과될 수 있기 때문이다. 지난해 약 300조원의 매출을 기록한 삼성전자(005930) 기준으로는 최대 7조5000억원이다.
법무법인 율촌이 지난달 개최한 관련 웨비나에서 이 이슈를 다룬 후 기업들의 관심이 높아지고 있다. 김익현(사법연수원 36기) 율촌 변호사는 16일 이데일리와의 인터뷰에서 “생각보다 많은 기업이 적용 대상이 될 수 있고, 준비 시간이 많이 걸리기 때문에 지금 당장 분석을 시작해야 한다”고 강조했다.
‘소프트웨어 자재명세’ 의무화가 핵심
EU CRA법의 핵심 중의 하나로서 ‘SBOM(Software Bill Of Materials)’ 제출 의무가 매우 중요하다. SBOM은 마치 식품에 성분표시를 하듯이 ‘디지털 요소가 들어가 있는 모든 제품’에 대해 어떤 소프트웨어들이 들어갔는지 목록을 만들어 제출하도록 한 것이다.
법무법인 율촌이 지난달 개최한 관련 웨비나에서 이 이슈를 다룬 후 기업들의 관심이 높아지고 있다. 김익현(사법연수원 36기) 율촌 변호사는 16일 이데일리와의 인터뷰에서 “생각보다 많은 기업이 적용 대상이 될 수 있고, 준비 시간이 많이 걸리기 때문에 지금 당장 분석을 시작해야 한다”고 강조했다.
 |
김익현 법무법인 율촌 변호사가 이데일리와 인터뷰를 하고 있다. (사진=이데일리 김태형 기자) |
‘소프트웨어 자재명세’ 의무화가 핵심
EU CRA법의 핵심 중의 하나로서 ‘SBOM(Software Bill Of Materials)’ 제출 의무가 매우 중요하다. SBOM은 마치 식품에 성분표시를 하듯이 ‘디지털 요소가 들어가 있는 모든 제품’에 대해 어떤 소프트웨어들이 들어갔는지 목록을 만들어 제출하도록 한 것이다.
김 변호사는 “스마트폰 하나에도 삼성이 자체 개발한 소프트웨어, 다른 회사에서 라이선스로 사온 것, 무료로 쓸 수 있는 오픈소스 등 수많은 구성요소가 들어있다”며 “이를 100% 다 밝혀야 한다. 또한, 이렇게 공개를 하게 되면, 라이선스 문제 역시 완벽하게 해결해야 할 것”이라고 말했다.
적용 대상도 광범위하다. 소프트웨어가 들어간 거의 모든 제품이 해당된다. 설치형 보안 소프트웨어나 회계 프로그램 같이 제품으로 배포되는 소프트웨어 뿐만 아니라 스마트기기, 가전제품, 자동차용 소프트웨어, 게임은 물론이고 온라인 서비스, IOT 서비스, SaaS(서비스형 소프트웨어) 형태의 서비스도 포함된다. 하드웨어와 소프트웨어가 결합된 형태의 거의 대부분의 제품이나 서비스에 적용되는 것이다. 심지어 EU에서 원격으로 접속해 이용하는 우리나라 서비스도 적용될 가능성이 있다.
CRA법은 단계적으로 시행된다. 오는 2026년 6월부터 적합성 평가 관련 규정이, 2026년 9월부터는 사이버 침해 사고 발생 시 24시간 내 보고 의무가 적용된다. SBOM 제출을 포함한 전면적 적용은 2027년 12월부터다.
김 변호사는 “회사 적용 대상 여부 분석, 현재 사용 중인 소프트웨어 식별, 라이선스 문제 해결까지 고려하면 최소 수개월에서 1년 이상도 걸릴 수 있다”며 “주어진 시간이 결코 길지 않다”고 설명했다.
‘준비된 기업 vs 안 된 기업’ 격차 벌어진다
이미 어느 정도 준비가 돼있는 기업들도 있다. 예를 들어 현대차(005380)와 애플은 홈페이지에 자사 제품에 사용된 오픈소스 소프트웨어 목록을 공개하고 있다. 김 변호사는 “이런 공시를 하려면 SBOM이 거의 완벽하게 구축돼 있어야 하고 라이선스 문제도 해결되어 있어야 한다”며 “의무가 아니었음에도 준비가 돼있는 기업들”이라고 평가했다.
반면 준비가 안 된 기업들은 고민이 깊을 것으로 보인다. “영업비밀을 다 공개하는 셈이 되는 것 아니냐”는 우려도 있을 수 있다. 김 변호사는 “기업 입장에서는 영업비밀 관련 부담과 함께 라이선스 위반 문제가 발견될까 봐 주저하는 경우가 있을 수 있으나, 의무로 규정된 이상 회피할 수 없고 결국 제대로 준비할 수밖에 없을 것”이라고 내다봤다. 빠른 경영판단을 통해 신속한 준비가 필요하다는 이야기다.
 |
현대차는 홈페이지를 통해 자사 제품에 사용된 소스 코드를 차종별로 공개하고 있다. (사진=현대차 홈페이지 갈무리) |
위반 시 제재는 강력하다. 최대 1500만 유로(약 220억원) 또는 전 세계 연간 매출액의 2.5% 중 높은 금액이 과징금으로 부과된다. 기업 매출에 따라 과징금 규모가 최소 수백억원, 많게는 수조원 이상이 된다는 뜻이다.
준비 없이 시장에서 밀려날 위험도 있다. 김 변호사는 “법 요건을 충족하지 못하면 유럽 시장 출시가 불가능하다”며 “그 사이 경쟁사가 시장을 선점할 수 있다”고 경고했다.
EU가 첫발을 뗀 가운데 미국과 일본도 유사한 제도를 추진 중이다. 미국은 정부 납품 소프트웨어에 대해 SBOM 제출을 의무화했고, 의료기기 승인 시에도 권장하고 있다. 김 변호사는 “우리나라는 EU 법령을 참고하여 법 제정을 하는 경향이 많다”며 “몇년 안에 비슷한 법이 국내에 도입될 가능성이 높다”고 전망했다.
“전문가 자문 통해 전사적 대응 필요”
김 변호사는 기업 담당자들에게 △자사 제품·서비스의 법 적용 대상 여부 분석 △현재 소프트웨어 사용 실태 파악 △라이선스 문제점 식별 및 해결 △확고한 추진 계획과 타임라인 수립 등 구체적인 조언을 제시했다. 특히 “법률 전문가와 EU 현지 전문가의 정확한 자문을 받아야 한다”며 “적용 범위관련 법 조항이 애매한 부분이 많아 단순히 법조문만 보고 판단하는 것에는 한계가 있다”고 당부했다.
법무법인 율촌은 이 분야에서 차별화된 서비스를 제공한다고 강조했다. 김 변호사는 2014~2015년 EU 기관들이 소재한 벨기에 브뤼셀에서 대학에서의 연구활동 및 현지 로펌 근무를 하면서 EU법을 연구한 경험을 갖고 있다. 뿐만 아니라 율촌은 소프트웨어 및 사이버보안 전문가, 오픈소스 및 지적재산 분야 전문가 등이 참여하는 TF(태스크포스)도 구성했다.
율촌은 SBOM 구축 전문업체인 OSBC와 긴밀한 협업 관계를 통해 기술 전문성도 갖췄다. 김 변호사는 “SBOM은 소프트웨어 코드가 방대해 사람이 수기로 할 수 있는 작업이 아니다”며 “자동화된 시스템으로 분석해야 하는데, 율촌은 이미 검증된 기술 파트너와 패키지 서비스를 제공할 수 있다”고 말했다.
 |
김익현 법무법인 율촌 변호사가 이데일리와 인터뷰를 하고 있다. (사진=이데일리 김태형 기자) |
이 기사의 카테고리는 언론사의 분류를 따릅니다.
