맥키 총괄은 방한 기자간담회에서 “한국은 일본, 대만 등과 함께 아시아의 기술 혁신 국가 중 하나로, 블랙덕도 한국에서 빠르게 성장하고 있다”며 “고객사들이 혁신을 이어가는 동시에 보안도 함께 강화할 수 있도록, 블랙덕의 대응 경험과 공급망 보안 전략을 공유하고자 한국을 찾았다”고 밝혔다.

CRA는 소프트웨어 요소가 포함된 제품 전반에 공통적으로 적용되는 EU의 사이버 보안 규제다. 적용 대상은 회사 소재지와 관계없이 소프트웨어 요소가 포함된 제품을 유럽 시장에 공급하는 모든 기업이며, 한국 제조사 역시 예외가 아니다. 여기에 CRA는 제조사뿐 아니라 수입사·총판사 책임까지 명시적으로 규정하고 있어, 제조사가 의무를 이행하지 않으면 그 책임이 수입사와 총판사에까지 이어진다. 한국 제품을 유럽 시장에 들여오는 수입·유통 채널 전반이 직접적인 규제 대상이 된다는 의미다.

맥키 총괄은 “한국 고객의 질문은 대부분 SBOM과 공급망 관리에 집중되어 있으며, 이는 일본·대만 등 아시아 기술 혁신 센터 지역과 매우 일관된 경향”이라고 말했다. 그는 “현실적으로 유럽의 규제 작동 방식은 아시아의 비즈니스 방식과 다르기 때문에, 유럽에서 규제가 어떻게 기능하는지와 한국에서 실제로 무엇을 해야 하는지 사이의 연결 고리를 이해하지 못하는 경우가 많다”고 진단했다. 이어 “블랙덕은 한국 시장에서 빠르게 성장하고 있으며 CRA는 매우 큰 사업 기회이자 블랙덕 스스로도 반드시 준수해야 할 규제”라며 “블랙덕이 자체적으로 컴플라이언스를 수행한 경험을 템플릿 삼아 고객과 파트너에게 공유하고 있다”고 덧붙였다.

CRA의 핵심 요구사항은 ▲알려진 서드파티 취약점이 없는 상태로 출하 ▲기본값으로서의 보안(secure by default) ▲신규 취약점 24시간 내 보고 ▲모든 의사결정의 문서화 ▲오픈소스 강력 거버넌스 ▲적합성 선언 등이다. 맥키 총괄은 이러한 의무 전반을 관통하는 철학으로 ‘사이버보안은 제품 품질의 일부’라는 명제를 제시했다. CRA가 보안 사고를 별도의 기술 이슈가 아니라 품질관리 체계 안에서 다뤄야 할 사안으로 규정하고 있으며, 이 때문에 누가 어떤 근거로 어떤 결정을 내렸는지를 테스트 결과와 함께 모두 문서화하도록 요구한다는 설명이다.

CRA 비준수 시 제재는 두 갈래로 작동한다. 글로벌 매출(턴오버)의 일정 비율에 해당하는 과징금이 부과되며, 더 큰 위험은 유럽 시장에서의 제품 퇴출이다. 맥키 총괄은 “한국 제조사가 CRA를 준수하지 않기로 결정한다면 유럽 집행위원회는 해당 제품의 유럽 내 판매를 금지할 수 있다”고 경고했다.

블랙덕은 이러한 대응을 위해 SCA(oftware Composition Analysis, 소프트웨어 구성 요소 분석), SBOM(Software Bill of Materials, 소프트웨어 구성 요소 명세서) 관리, VDR(Vulnerability Disclosure Report, 취약점 공개 보고서), VEX(Vulnerability Exploitability eXchange, 취약점 악용 가능성 문서) 등을 포함한 공급망 보안 체계를 제공하고 있다고 설명했다. 특히 신규 취약점이 공개되면 24시간 내 대응이 요구되는 만큼, 지속적인 취약점 모니터링 체계가 필수라고 강조했다.

이날 간담회에서 맥키 총괄은 SBOM과 공급망 관리의 중요성도 짚었다. 맥키 총괄은 “최근 몇 년 동안 많은 기업이 SBOM 생성과 관리에 집중했지만, 현대 소프트웨어의 복잡성은 단순한 기술적 접근만으로 해결하기 어렵다”고 말했다. 이어 “오늘날 하나의 소프트웨어에는 수천 개 이상의 공급사와 개발사가 연결돼 있으며, 이 공급망에 대한 투명성과 지속적인 모니터링이 중요하다”고 강조했다.

이런 복잡성 때문에 맥키 총괄은 현대 공급망을 기존의 선형적인 ‘체인(chain)’이 아닌 복잡하게 얽힌 ‘메시(mesh)’ 구조라고 표현했다. 가령 자동차 산업의 경우 차량 자체뿐 아니라 제조 공장의 로봇, 모바일 애플리케이션, 통신망, 클라우드 서비스까지 모두 연결돼 있기 때문에 차량 보안을 위해서는 전체 생태계에 대한 보안 검증이 필요하다는 설명이다.

앤트로픽 미토스, 오픈클로 등 AI 업계에서 보안 관련 기술이 빠르게 발전하는 상황에 대해 맥키 총괄은 “AI 코딩 도구의 코드 품질은 빠르게 개선되고 있지만 여전히 이슈가 남아 있다”며 “에이전트 기반 보안 서비스의 경우 핵심 과제는 복잡한 컨텍스트(맥락)를 얼마나 정확히 이해하느냐”라고 설명했다. 이어 “앤트로픽이 미토스의 세부 동작 방식과 실제 탐지 결과를 충분히 공개하지 않았기 때문에, 발견된 위협 중 얼마나 실제로 심각한 수준인지 현재로서는 판단하기 어렵다”고 말했다.

블랙덕 역시 자체 AI 보안 도구 ‘시그널(Signal)’을 지원하고 있다고 밝혔다. 맥키 총괄은 “AI는 훌륭한 코드 리뷰어 역할을 수행할 수 있으며 비즈니스 로직 문제나 구조적·아키텍처적 이슈를 잘 찾아낸다”면서도 “다만 기존 애플리케이션 보안 도구를 완전히 대체하는 수준은 아니다”라고 말했다. 그는 “AI는 매우 빠르게 변화하고 있으며 6개월 뒤에는 지금과 전혀 다른 기능이 등장할 수 있다”며 “중요한 것은 AI를 지속적으로 이해하고 그 진화 방향을 파악하는 것”이라고 설명했다.

맥키 총괄은 “CRA는 단순한 규제가 아니라 소프트웨어 공급망 리스크 관리의 글로벌 기준선을 제시하는 법안”이라며 “9월 시행이 임박한 만큼, 아직 CRA 전략을 수립하지 않은 기업이 있다면 오늘 당장 대응을 시작해야 한다”라고 강조했다.
jihyun.lee@foundryco.com