9월부터 EU 수출 문턱 높아진다…블랙덕 “AI 코드 포함한 SBOM 관리 필수” 작성일 05-13 39 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">블랙덕, MCP 프록시로 AI 생성 코드 추적 가능…문제 코드 차단율 5~6%</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4eImHRiPyS"> <figure class="figure_frm origin_fig" contents-hash="7cb75dc787b340da5ac7b0ae3aff9bb1dc335cf1952fb22f399ef3d40391962e" dmcf-pid="8dCsXenQSl" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/13/552796-pzfp7fF/20260513145136430mwfo.jpg" data-org-width="640" dmcf-mid="fbgnmB2uvv" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/13/552796-pzfp7fF/20260513145136430mwfo.jpg" width="658"></p> </figure> <p contents-hash="1051235efb2505713f47909f10d6f8720cef341a99e5926f4c0c3c842c5c1347" dmcf-pid="6JhOZdLxyh" dmcf-ptype="general">[디지털데일리 이안나기자] 유럽에 제품을 수출하는 한국 기업이라면 올 9월부터 유럽연합(EU) 보안 규제를 피해갈 수 없다. EU 사이버복원력법(CRA)은 소프트웨어가 포함된 제품을 유럽 시장에 출시하는 모든 기업에 적용되며 기업 소재지는 따지지 않는다. 여기에 AI 코딩 어시스턴트가 생성한 코드까지 관리 대상에 포함된다는 점이 새로운 숙제로 떠오르고 있다.</p> <p contents-hash="9fafe1cdd9d18fb19c3bec3c1b0c9a664f806b8ce0d6bff288335f6f77c331e0" dmcf-pid="PilI5JoMlC" dmcf-ptype="general">블랙덕은 13일 경기도 과천 쿠도커뮤니케이션 사무실에서 기자간담회를 열고 CRA와 소프트웨어 공급망 보안 전략을 주제로 발표했다.</p> <p contents-hash="4285df64d545e8a4ef39a77f7c2f1000282b7686df2d8172ed33197f6d3fd6f8" dmcf-pid="Q3MPNFUZvI" dmcf-ptype="general">이날 발표를 맡은 팀 맥키(Tim Mackey) 블랙덕 소프트웨어 공급망 위협 전략 부문 총괄은 “현대 소프트웨어 코드의 출처는 패키지 매니저, 컴파일된 라이브러리, 서드파티 바이너리, AI 코딩 어시스턴트가 생성한 코드까지 매우 다양하다”며 “CRA는 출처가 어디든 모든 코드 처리를 요구한다”고 밝혔다. 소프트웨어 자재명세서(SBOM)는 소프트웨어에 포함된 모든 구성 요소와 출처를 목록화한 문서로, CRA가 기업에 의무적으로 요구하는 핵심 항목 중 하나다.</p> <p contents-hash="37ac7ce13f601dbe444331f404ee6ea646873be1272aeb1ae5454302a3c13e89" dmcf-pid="x0RQj3u5hO" dmcf-ptype="general">AI 코딩 어시스턴트가 생성한 코드의 출처와 라이선스를 추적하기 어렵다는 점은 SBOM 관리의 새로운 난제로 꼽힌다. 맥키 총괄은 “블랙덕은 MCP(Model Context Protocol) 프록시로 작동해 개발자가 입력한 프롬프트와 반환된 코드를 모두 모니터링할 수 있다”며 “AI가 생성한 코드에 출처 태깅을 적용하면 개발자가 해당 코드를 그대로 썼는지, 수정했는지까지 통합 개발 환경(IDE) 단에서 확인이 가능하다”고 설명했다.</p> <p contents-hash="ad4406be23a41effce3e39432c0a83124ec1cb41e727abdf0214e1463768113c" dmcf-pid="yNYTpacnhs" dmcf-ptype="general">이어 개발자가 코드를 확인하기 전에 선제적으로 검증하는 방식도 운영 중이며, 실제 적용 시 문제 코드 차단율이 5~6%에 달한다고 덧붙였다.</p> <p contents-hash="27e3f11fafe04ed8463377e3c5a263a9e941acb45f5f74554dfe162416fa9fbd" dmcf-pid="WjGyUNkLlm" dmcf-ptype="general">이처럼 AI 생성 코드가 공급망 전반에 스며들면서 관리해야 할 범위도 넓어지고 있다. 맥키 총괄은 “소프트웨어 하나에 1000개 이상 공급사가 연결될 수 있다”며 이를 선형적인 ‘공급망’이 아닌 그물처럼 얽힌 ‘공급 메시(supply mesh)’로 봐야 한다고 강조했다. 자동차를 예로 들어 차량 소프트웨어뿐 아니라 공장 로봇, 모바일 앱, 통신망, 클라우드 서비스까지 모두 하나의 보안 체계로 관리해야 한다는 의견이다.</p> <p contents-hash="59b72934d99a0c6e868ed0cf71669f710ca3eafd1e50fc31a5007dfd684e5ad1" dmcf-pid="YAHWujEovr" dmcf-ptype="general">이런 복잡성 속에서 CRA 준수 시한은 빠르게 다가오고 있다. 맥키 총괄은 “올해 9월부터 첫 번째 의무 조항이 발효되는 만큼 아직 준비를 시작하지 않은 기업이라면 지금 당장 시작해야 한다”고 강조했다. 9월부터는 신규 취약점 발견 시 24시간 이내 보고 의무가 생기며 2027년부터는 자체 개발 코드에 대한 분석과 ‘보안 내재화’ 요건도 추가된다.</p> <p contents-hash="3fceed1ab7e8481055250e79ff2c975c8197ed42eb2ae726b9d3056f16f58560" dmcf-pid="GcXY7ADgWw" dmcf-ptype="general">규제 미준수 시 제재도 강하다. 과징금은 글로벌 매출 기준 일정 비율로 부과되며 유럽 집행위원회는 준수하지 않는 기업의 제품을 유럽 시장에서 퇴출시킬 권한도 갖는다. 제조사가 미준수할 경우 수입사와 총판사도 책임을 지게 된다.</p> <p contents-hash="0bcada22f435c33afa581725b4c2be9278c753347e514dad16c638f65c6eeb07" dmcf-pid="HkZGzcwaSD" dmcf-ptype="general">한국 기업들의 CRA 대응 수준은 엇갈린다. 블랙덕 코리아 측은 삼성, LG 등 대기업은 이미 공급망 보안 준비를 시작했지만 중견·중소기업은 필요성은 알면서도 어떻게 시작해야 할지 모르는 경우가 많다고 전했다.</p> <p contents-hash="d313f299749fa3a4a36f1858c8a17c0e52d402d36f41f0bae6297bac2487f01f" dmcf-pid="XE5HqkrNhE" dmcf-ptype="general">맥키 총괄은 블랙덕 역시 3년 전 미국 정부 조달 요건을 충족하기 위해 SSDF(보안 소프트웨어 개발 프레임워크)를 기준으로 베이스라인을 확립한 경험을 공유하며 서드파티 리스크 파악과 SBOM 작성, 취약점 공개 관리, 보안 내재화 순으로 단계를 밟아가는 방식을 권고했다. 그는 “대부분의 기업이 지금쯤은 최소한 SBOM 작성 단계에는 진입해 있어야 한다”고 말했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 애플·인텔 ‘재결합’에 웃는 ASML… 최대 7조원 장비 잭팟 터지나 05-13 다음 [삼성전자 총파업 눈앞] 협력사 '연쇄 위기'…중소 소부장 직격탄 05-13 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
