[칼럼] 제조업 생존 가르는 EU CRA와 피지컬 AI 보안 전략

2026년 9월 보고 의무화 시작… 매출액 2.5% 과징금 리스크 대응 가이드

과거 제조 현장은 외부와 단절된 폐쇄성을 방패 삼아 안전을 유지했다. 하지만 산업용사물인터넷(IIoT)과 디지털 전환(DX)은 공장의 담장을 허물었다. 전 세계 제조 현장은 유례없는 사이버 위협에 노출되었다. 이제 보안은 글로벌 시장 진출을 위한 필수 관문이다.

유럽 시장을 공략하는 기업에 2026년 9월 11일은 중대한 기로다. 유럽연합(EU)의 사이버 복원력법(CRA)이 이날부터 취약점 및 사고 보고 의무화를 시작하기 때문이다.

위반 항목별 과징금 현황 및 제재 수위

EU CRA는 단순한 권고를 넘어 강력한 법적 구속력을 가진다. 위반 시 부과되는 과징금은 기업의 규모와 위반 정도에 따라 다음과 같이 차등 적용된다.

이 수치는 보안이 더 이상 기술적 실무가 아니라 CEO가 직접 관리해야 할 중대 경영 리스크임을 시사한다.

피지컬 AI 보안 사고와 제3자 인증의 필연성

AI의 모든 시선이 휴머노이드 로봇으로 대표되는 피지컬 AI로 결집되고 있다. 피지컬 AI는 로봇, 드론, 자율주행차 등 하드웨어와 결합해 물리 환경과 사이버 환경이 긴밀하게 상호작용한다. 이러한 피지컬 AI의 보안 사고는 단순한 데이터 유출을 넘어 인명 피해를 야기하는 운동 에너지 사고로 이어진다.

이러한 위험성으로 인해 피지컬 AI 제품은 CRA 내에서 클래스 I 또는 클래스 II와 같은 중요 제품으로 분류될 가능성이 매우 높다. 중요 제품으로 분류되면 제조업체 스스로 보안성을 입증하는 자기 선언이 허용되지 않는다. 반드시 엄격한 제3자 인증을 통과해야만 유럽 시장 내 판매가 가능한 CE 마크를 획득할 수 있다.

공급망 보안의 핵심 SBOM과 법적 책임 소재

이제 보안은 설계 단계부터 내재화하는 시큐어 바이 디자인이 필수다. 제품 개발 생애주기 전반에 걸쳐 보안 검증이 이루어져야 한다. 특히 공급망 보안의 핵심인 소프트웨어 자재명세서(SBOM)는 단순한 부품 목록이 아니다.

만약 하위 공급사가 제공한 소프트웨어 라이브러리에서 보안 취약점이 발견되고, 이를 원천 제조업체가 인지하지 못했다면 그 법적 책임은 고스란히 최종 제품 제조사에게 돌아온다. 콩가텍, 콘트론과 같은 기업들이 하이퍼바이저 기술을 통해 시스템 기능을 물리적으로 분리하는 이유도 바로 여기에 있다. 투명한 SBOM 관리와 신뢰할 수 있는 보안 파트너십 구축은 2026년 이후 제조업체의 생존을 결정짓는 핵심 경쟁력이 될 것이다.

[용어 해설 (Glossary)]

• CRA(Cyber Resilience Act): 유럽 시장 내 모든 디지털 제품에 보안 요구 사항을 강제하는 법안이다.
• 피지컬 AI(Physical AI): 물리적 하드웨어와 결합하여 실제 환경에서 작동하고 데이터를 처리하는 인공지능이다.
• SBOM(Software Bill of Materials): 제품에 포함된 모든 소프트웨어 구성 요소와 관계를 기록한 명세서다.
• 제3자 인증(Third-party Audit): 공인된 외부 기관을 통해 제품의 보안 수준과 규제 준수 여부를 검증받는 절차다.
• 클래스 I/II(Class I/II): CRA에서 보안 위험도가 높다고 판단하여 엄격한 관리를 요구하는 제품 분류 단계다.