애플리케이션
기술
보안
사이버복원력법(CRA)

사이버복원력법(CRA)

모든 여정에서 함께하는 파트너

유럽연합(EU) CRA 이해하기

CRA는 연결된 세상에서 증가하는 보안 취약점의 위험으로부터 소비자와 기업을 보호하는 것을 목표로 합니다. 이 표준은 디지털 요소가 포함된 제품의 설계, 개발 및 생산에 대한 규칙뿐만 아니라 제품 수명 주기 전반에 걸쳐 취약점을 처리하는 프로세스를 규정합니다. TI는 CRA 개발을 구체화하고 추적하는 데 적극적으로 참여하여 고객이 자신 있게 요구 사항을 충족하고, 안전하고 규격을 준수하는 제품을 신속하게 시장에 출시할 수 있도록 지원합니다. 

CRA 적용범위

EU CRA 규정[1]은 디지털 데이터를 처리하고 다른 장치나 네트워크에 연결되도록 의도되었거나 연결될 것으로 합리적으로 예상되는 하드웨어 또는 소프트웨어 제품과 같이 EU 시장에서 판매되는 디지털 요소가 포함된 제품 및 부품에 적용됩니다.

적용범위에 포함되는 품목

디지털 요소가 포함된 제품 및 부품의 예:

하드웨어:

  • 네트워크 관리 시스템
  • 스마트 가전제품
  • 휴대폰
  • 마이크로프로세서 및 마이크로컨트롤러

소프트웨어:
 

  • 운영 체제
  • 오픈 소스 소프트웨어
  • 부트 관리자

적용범위에 포함되지 않는 품목

다음과 같은 기존 EU 규정이 적용되는 디지털 요소가 포함된 제품[1]:
 

CRA 타임라인

CRA 요구 사항

CRA 규정은 디지털 데이터를 처리하고 다른 장치나 네트워크에 연결되도록 의도되었거나 연결될 것으로 합리적으로 예상되는 하드웨어 또는 소프트웨어 제품과 같이 EU 시장에서 판매되는 디지털 요소가 포함된 제품 및 부품에 적용됩니다.

제품 요구 사항

1. 적절한 보안 수준
2. 알려진 취약점이 없는 상태로 제공되는 제품
3. 위험 및 해당 사항에 따라:
        • 기본 보안
        • 적절한 보안 업데이트 사용
        • 무단 액세스로부터 보호
        • 데이터, 명령, 프로그램의 기밀성 및 무결성
        • 데이터 최소화
        • 필수 기능의 가용성
        • 다른 장치에 대한 부정적인 영향 최소화
        • 공격 표면 제한
        • 사고 영향 감소
        • 보안 관련 이벤트 기록 및 모니터링
        • 데이터와 설정을 안전하게 영구적으로 삭제 및/또는 전송

취약점 처리 프로세스

        • SBOM을 포함한 종속성 및 취약점 식별 및 문서화
        • 취약성 추적
        • 알려진 취약점 없음 및 지연 없이 취약점 해결
        • 디지털 제품의 보안 테스트
        • 고정 취약점에 대한 정보를 공개적으로 공개
        • 조정된 취약점 공개 정책
        • 잠재적인 취약점에 대한 정보 공유 촉진
        • 패치는 지연 없이 무료로 제공되며 권고 메시지 포함

정보 및 라벨링

        • CE 마크
        • EU 적합성 선언
        • 공인 대리인 지정, 안전 연락 담당자 지정
        • 사이버 보안 위험 평가를 포함한 기술 문서
        • 보안 업데이트 가용성에 대한 정보
        • 최상위 종속성을 다루는 SBOM
        • 지원 및 지원 기간을 정의하는 기술 문서
        • 개정판에 액세스할 수 있는 공용 SW 아카이브
        • 사용자 지침 세트 제공
        • 제품 식별

사이버 보안에 대한 TI의 약속

checkmark

수십 년간의 보안 경험

당사는 오랜 기간 동안 제품을 개발 및 판매하며 고객의 까다로운 보안 요구 사항을 충족시켜 왔습니다.

checkmark

 TÜV SÜD 인증 획득 

TI는 자동차 사이버 보안에 관한 ISO/SAE 21434 표준 준수를 위해 TÜV SÜD로부터 인증을 받았습니다.

checkmark

CRA 개발을 면밀히 모니터링

TI는 CRA의 시행과 그 기준의 공표 과정을 면밀히 모니터링하면서 적극적으로 참여하고 있습니다.

checkmark

취약점 보고 활성화

TI의 제품 보안 사고 대응팀(PSIRT)은 잠재적 보안 취약점에 대한 보고를 접수하고 대응하는 과정을 총괄합니다.

제품 사이클 전반에 걸쳐 안내 제공

제품 정의
  • 제품 사용법 정의
  • 적용 가능한 CRA 클래스 정의
  • 잠재적인 위험 평가
설계 및 개발
  • 취약점 식별
  • 소프트웨어 재료 사양서(SBOM) 작성
  • CRA 기술 문서 제공
검증
  • 적합성 평가
  • 기존 취약점 완화
  • CRA 기술 문서 제공
배포

리소스

오토모티브 사이버 보안 프로세스에 대한 인증

제품 사이버 보안 표준 ISO/SAE 21434 준수

인증서 다운로드
보안을 염두에 두고 애플리케이션 구축

개발자는 연결된 장치에서 원하는 수준의 보안을 어떻게 달성합니까? 이 전자책에서는 설계자의 보안 목표를 충족시키기 위해 TI가 제공하는 주요 보안 구현 도구를 제시합니다.

전자책 다운로드

참고 자료

1. 유럽 연합. 2025년 11월 20일. “규정 - 2024/2847 - EN - EUR-Lex”. 2025년 8월 1일에 액세스.

2. 유럽 사이버복원력법. n.d. “사이버복원력법(CRA) | 업데이트, 규정 준수,”. 2025년 8월 1일에 액세스.