유럽의 '사이버 보안' 무역 장벽

유럽

편집자주

우리가 사는 지구촌 곳곳의 다양한 ‘알쓸신잡’ 정보를 각 대륙 전문가들이 전달한다.

ⓒ게티이미지뱅크

최근 유럽연합(EU) 이사회는 역내 시장에 공급 및 유통되는 디지털 제품이 충족해야 할 사이버 보안 관련 요건을 담은 '사이버복원력법'(Cyber Resilience Act, CRA)을 채택했다. 이 법은 국제적으로 심각한 사이버 보안에 관련된 여러 보호 장치를 EU 표준으로 규정해, 사이버 보안 제도를 강화한 최초의 포괄적 법제로 평가된다. CRA는 디지털 요소가 포함된 제품의 보안 취약성을 줄이면서도, 제품의 생산과 유통에 관여하는 기업에 대해 사이버 보안 관리 의무를 부여하고 있다. 결국 제품의 보안성과 신뢰성을 높이고 사용자를 보호하려는 목표를 가진다.

CRA는 EU 역내 시장에서 상업적 목적으로 생산 및 유통되는 모든 과정에서 보안성 관리가 필요한 디지털 제품을 대상으로 한다. 해당 제품이 보안성 표준 요건을 충족하고 CE인증 마크를 획득하도록 규정한다. 여기에는 노트북, 스마트폰, 모바일, 센서, 카메라, 컴퓨터 장치 등 하드웨어와 게임, 펌웨어, 애플리케이션 등 소프트웨어, 그리고 원격으로 작동하는 데이터 솔루션도 포함된다. 그러나 비상업적 프로젝트나 항공기 장비 및 군사 장비와 같이 사이버 보안에 관해 다른 법으로도 충분히 규제가 이뤄지는 제품과 산업에는 적용되지 않는다.

CRA는 디지털 제품을 분류해 보안성 표준 요건을 달리한다. 중요 제품군에는 개인정보, 비밀번호, 네트워크, 방화벽 관리 등에 관련된 보안성을 다루는 디지털 제품이 해당한다. 이들 제품에는 비교적 강도 높은 표준이 적용된다. 반면 하드 드라이브나 스마트 홈 어시스트 장비와 같은 비중요 제품군은 보안성 표준 요건 강도가 낮은 편이다.

한국에서 생산돼 EU로 수출되는 디지털 제품도 CRA의 적용 대상이 된다. 이러한 제품의 제조, 수출, 유통업체는 제품의 모든 생애주기에서 사이버 보안을 고려하고 통합해야 하는 과제를 안게 됐다. 이를 위한 기업의 구체적 조치들은 제품의 잠재적 보안 취약성 발견, 사용자에 대한 보안 정보 제공, 사고에 대한 신속한 보고 절차 수립, EU의 다른 규제 및 기준과의 상호 관련성 확인 등이 될 것이다.

이런 상황이 유럽으로 진출하려는 한국 기업에 부담으로 작용할 것이고, 자칫 무역장벽으로 작동할 가능성도 있다. 그러나 이러한 부담이 오히려 어느 기업에는 기회로 작용할 수도 있는데, 상황을 극복하기 위한 정부와 사회의 지원과 관심이 필요한 시점이다.

김봉철 한국외대 국제학부 교수