.jpg&w=3840&q=75)
EU CRA 취약점 보고 의무화, 2026년 9월 시작
EU 사이버복원력법(CRA)에 따라 2026년 9월 11일부터 산업기기 제조사는 제품 취약점 발견 시 24시간 이내에 ENISA(유럽 사이버보안청)에 보고해야 한다. 2027년 12월 전면 시행되며, 미준수 시 최대 1,500만 유로(약 220억 원) 벌금이 부과된다.
EU에 수출되는 모든 디지털 요소 포함 제품에 적용된다. 제조국과 무관하다. 한국 제조사가 EU 시장에 PLC, 산업용 PC, HMI를 수출하고 있다면 CRA 의무 대상이다. IEC 62443은 이 법의 핵심 준거 표준으로, 시행을 앞두고 인증 취득이 급격히 늘고 있다.
Advantech RSB-3810, Arm 기반 산업용 SBC 최초 IEC 62443-4-2 인증
.jpg)
Advantech는 MediaTek과 협력 개발한 RSB-3810이 Arm 기반 산업용 SBC 최초로 IEC 62443-4-2 인증을 취득했다고 3월 6일 발표했다. Bureau Veritas가 검증했고, 인증 발급일은 2025년 12월 30일이다. Canonical(Ubuntu Pro)도 인증 과정에 참여했다.
RSB-3810 주요 스펙
| 항목 | 스펙 |
|---|---|
| 프로세서 | MediaTek Genio 1200 (4× Cortex-A78 + 4× Cortex-A55, 6nm) |
| 메모리 | LPDDR4 8GB, 4000MT/s |
| AI 연산 | 4.8 TOPS (듀얼코어 APU) |
| 소비전력 | 8W |
| 디스플레이 | HDMI 4K@60fps, Dual-CH 24-bit LVDS |
| 카메라 | 3× MIPI-CSI |
| USB | 2× USB 3.2 Gen1, 2× USB 2.0 |
| 시리얼 | RS-232/422/485 |
| 스토리지 | Micro SD, M.2 3052 Key B (5G) |
| 폼팩터 | 2.5" Pico-ITX |
| 보안 인증 | IEC 62443-4-2 (Bureau Veritas) |
효성중공업, 전력설비 IEC 62443-4-1 인증
효성중공업은 2월 5일 HVDC(초고압직류송전), STATCOM(무효전력보상장치), ESS(에너지저장장치) 제품군에 대해 IEC 62443-4-1 인증을 취득했다. 인증기관은 DNV다.
IEC 62443-4-1은 제품이 아닌 보안 개발 프로세스(SDL)를 검증하는 표준이다. 효성중공업은 설계 단계부터 보안을 내재화할 수 있는 체계를 갖추게 됐으며, 전력계통 설비 전반으로 인증 범위를 확대할 방침이다.
Forlinx FCU2601, 듀얼 인증(4-1 + 4-2) 동시 취득
Forlinx Embedded는 3월 9일 임베디드 제어 유닛 FCU2601이 IEC 62443-4-1(보안 개발 프로세스)과 4-2(컴포넌트 보안)를 동시에 취득했다고 발표했다. 2월에는 EN 18031(RED) 사이버보안 인증도 획득해, EU CRA 대응에 가장 공격적으로 움직이는 중국 임베디드 제조사 중 하나다.
한국 수출기업 대응 현황
효성중공업이 4-1 인증을 받은 것 외에, 국내 산업용 PC·PLC 수출 기업 중 IEC 62443 인증을 공식 발표한 곳은 아직 드물다. CRA 취약점 보고 의무 시작까지 6개월. 인증 자체도 중요하지만, 전제 조건인 내부 SDL(보안 개발 라이프사이클) 체계 구축에 최소 수개월이 소요되는 점을 감안하면 시간이 촉박하다.
AutoHano의 시선
IEC 62443 인증이 이렇게 단기간에 몰리는 건 처음입니다. EU CRA가 "진짜 시행하나?" 분위기에서 "안 하면 수출 막힌다"로 확 바뀌었습니다. Advantech가 Arm SBC에서 4-2를 받은 건 상징적입니다. x86이 아닌 Arm 산업 보드 첫 사례니까요. Forlinx는 듀얼 인증에 RED까지 석 달 만에 세 개를 찍었는데, 중국 업체들이 EU 규제 대응에 이 정도로 빠른 건 좀 무섭습니다. 솔직히 국내 산업용 PC·PLC 수출 기업 중에 IEC 62443 얘기하면 아직 "그게 뭔데?" 하는 곳이 꽤 있습니다. 9월까지 6개월, 인증보다 내부 보안 개발 체계(SDL)부터 잡는 게 급합니다.
