[디지털데일리 이종현기자] 전 산업 분야의 디지털화가 이뤄짐에 따라 사이버보안에 대해 국가 안보 차원에서 접근해야 한다는 목소리가 커지고 있다. 이런 논의와 함께 자국 데이터를 외부로 나가지 않도록 하는 데이터 보호주의 움직임도 커지는 중이다. 한발 나아가 해당 국가가 요구하는 바를 충족하지 않을 경우 제품 판매를 금지하자는 과격한 안도 등장했다.

여러 국가에서 갖가지 규제들이 논의되고 있는 가운데 특히 큰 주목을 받고 있는 것은 유럽연합(EU)의 사이버복원력법안(Cyber Resilience Act, 이하 CRA)이다.

2022년9월15일 제안된 해당 법안은 디지털 요소가 있는 제품에 대한 공통 사이버보안 표준을 적용시키자는 것이 골자다. 타 법규 적용 대상인 의료기기, 항공, 자동차 등 일부를 제외한 디지털 요소가 있는 모든 제품에 대한 적합성 평가를 거친 뒤 판매할 수 있도록 한다는 내용을 담고 있다.

서술된 표현 자체는 낯설지 않다. 국내에서도 제품을 유통하려면 KC 인증을 받도록 하고 있다. 유럽의 경우 CE(Conformite Europeenne) 인증을 받아야 한다.

그럼에도 CRA는 기존 인증과는 큰 차이를 보인다. 제품 자체에 대한 평가뿐만 아니라 제품의 설계, 개발, 생산 전반에 대한 안전성과 취약점에 대한 책임을 명시하고 있다. 그 대상도 디지털 요소가 있는 모든 제품인 만큼 파장이 크다.

가령 IT 기술이 접목된 최신 가전기기의 경우 탑재된 운영체제(OS)나 애플리케이션(앱), 또 OS나 앱을 구성하는 데 활용된 기술 전반에 대한 최신 업데이트를 유지돼야 한다. 대형 가전뿐만 아니라 소형 디지털 기기도 그 대상이 될 수 있다.

해당 법안에 특히 예민하게 반응하고 있는 것은 정보기술(IT) 업계다. IT 전문가들은 법안이 지나치게 광범위하고 추상적이라고 입을 모아 말하고 있다. 특히 제품을 완성하기 위해 활용하는 오픈소스 소프트웨어(SW)도 해당 규정을 적용받으면서 논란이 커지는 중이다.

IT 업계에서는 최신 앱의 경우 70~90% 이상이 오픈소스 SW로 구성돼 있다고 말한다. 오픈소스 SW의 경우 소수의 개발자가 프로젝트를 이끌기보다는, 다수의 개발자가 독자적으로 참여하는 경우가 많은데, 누가 CRA 적합성 검증을 받을 지에 대한 논란이 있다. 이와 함께 수시로 업데이트되는 오픈소스 SW 특성상 어느 시점에 적합성 검증을 받을지, 또 취약점 발생시 수정은 어떻게 할지 등 논란거리가 산적한 상황이다.

유럽이사회는 최초 법안에서 중요도에 따른 제품 분류를 삭제하고 취약점 발견 또는 사고 발생시 통지받는 기관 변경, 중소기업에 대한 지원 규정 신설 등이 이뤄진 수정안을 채택했지만 오픈소스 진영의 우려는 지속하는 중이다. 오픈소스 SW를 통해 시스템을 설계하는 제품 판매자들도 해당 이슈에 촉각을 기울이고 있다.

한국인터넷진흥원(KISA) 윤주연 법제연구팀장은 “너무 과도한 의무를 부과하는 것 아닌가에 대한 논란이 이어지고 있다. 규제 대상 범위를 어떻게 설정할 것인지, 어떤 제품이 해당하는지, 중소기업이 전주기 사이버보안 관리를 하는 것이 가능한지 등의 내용이 대표적이다. 7월 수정된 내용의 보고서를 채택했지만 전반적인 기조는 이어지고 있다”고 설명했다.