EU Cyber Resilience Act 대응
PatchOps Guard 가 CRA 핵심 요건을 어떻게 해결하는지.
CRA 가 요구하는 것
2024 년 발효된 EU Cyber Resilience Act (Regulation 2024/2847) 는 "digital elements 가 포함된 제품" 을 EU 시장에 공급하는 제조자에게 다음을 요구합니다:
- Annex I §1 — 설계 단계부터 알려진 취약점 없이 제품 출하
- Annex I §2 — 지원 기간 동안 보안 업데이트를 적시에 제공
- Article 14 — 적극적으로 악용되는 취약점은 24 시간 이내 ENISA 에 보고
- Annex VII — 취약점 처리 증적 (SBOM, 수정 이력, 조치 시간) 보존
PatchOps Guard 의 매핑
모든 리포지토리에 대해 스캔 시 CycloneDX + SPDX 포맷 SBOM 이 생성되고, 각 컴포넌트에는 PURL, 라이선스, 해시가 포함됩니다. 이는 Annex VII §1(a) "identification of the component" 요건을 충족합니다.
CVSS · EPSS · CISA KEV · Reachability 를 가중 평균한 Defense Window 점수로 취약점 우선순위를 정량화합니다. 이는 Article 11 §2 "known exploitable vulnerability without undue delay" 판단 근거가 됩니다.
Stage 1 (Context) → Stage 2 (Generate) → Stage 3 (Sandbox Test) → Stage 4 (Rescan) → Stage 5 (PR) 의 5 단계 파이프라인 전 과정이 타임스탬프와 함께 audit_logs 에 append-only 로 기록됩니다. 이는 Annex VII §2 "vulnerability handling process" 증명 자료로 제출 가능합니다.
Severity 별 평균 대응 시간을 월간/분기 단위로 리포트 → PDF 다운로드 → 규제 감독 기관 제출. Dashboard → Reports → CRA Compliance 에서 조직 단위로 내보낼 수 있습니다.
Article 14 (24 시간 조기 경보) 를 위한 준비
CISA KEV 목록에 등록된 취약점이 귀사의 리포지토리에서 탐지되면 Slack 웹훅과 이메일로 즉시 알림이 발송되고, 해당 finding 은 Defense Window 에서 "critical · kev" 배지로 표시됩니다. 이 알림은 내부 대응 팀이 24 시간 내 ENISA 보고 여부를 결정하는 데 필요한 정보 — 영향 범위, 악용 가능성, 수정 상태 — 를 한 화면에서 제공합니다.
책임 분담 (Shared Responsibility)
PatchOps Guard 는 Annex I §2 "technical requirement" 중 SBOM 생성 · 취약점 탐지 · 수정 증적 보존 영역을 담당합니다. 그러나 다음은 여전히 귀사의 책임입니다:
- Article 13 (user support) — 제품 사용자에게 업데이트 배포
- Article 14 (reporting) — 최종 ENISA/CSIRT 보고 제출
- Annex I §1(h) — 기본값이 안전한(Secure by Default) 제품 설계
감사 대응 패키지
EU 당국 또는 Notified Body 감사 시 Settings → 감사 로그 → "Export audit trail" 로 90 일 / 1 년 / 전체 기간의 증적을 JSON + PDF 로 받을 수 있습니다. 이 파일에는 각 CVE finding 의 탐지 시각, 수정 시도, Sandbox 테스트 결과, PR 링크, 머지 시각까지 모두 포함됩니다.
※ 본 문서는 법적 자문이 아니며, 귀사의 특정 제품군에 대한 CRA 적용 범위 판단은 법률 전문가의 검토를 권장합니다. 문의: compliance@patchguard.ai