개방형 소프트웨어 개발자들이 전 세계적으로 강화되고 있는 사이버 보안 규제를 어떻게 따라야 하는지가 새로운 과제가 되고 있다. 유럽연합이 최근 제정한 '사이버 회복력 법'(Cyber Resilience Act, CRA)을 비롯해 주요 각국이 유사한 움직임을 취하고 있는 가운데, 개발자들은 더는 법의 바깥에 머물 수 없게 됐다. 특히 유럽 시장 진출을 원하는 기업이라면 오는 2027년 12월까지 의무 지침을 충족하지 않으면, 시장 진입 자체가 봉쇄될 위험도 안고 있다.
오픈소스 보안 재단(OpenSSF)의 최고 보안 설계자 크롭 로빈슨은 이번 CRA를 두고 "유럽에 국한된 규정처럼 보이지만 사실상 글로벌 기술 생태계 전체를 뒤흔드는 변화"라고 설명했다. 그에 따르면, 인도와 중국, 호주, 영국이 이미 이와 유사한 입법을 준비 중이며, 미국도 연방 조달 기준을 기반으로 사이버 보안을 실질적으로 강화하고 있다. 그는 "이제 소프트웨어 구성 명세서(SBOM) 같은 개념이 필수가 된다"며, "기존에 보안과 거리가 멀었던 상류 단계의 오픈소스 개발자들에게는 낯선 영역이지만 더는 외면할 수 없다"고 강조했다.
CRA는 단순한 권고가 아니라, 강력한 법적 구속력을 지닌 규제다. 출시되는 모든 디지털 제품은 기본적으로 보안을 내장해야 하며, 만약 이를 충족하지 않은 채 데이터 침해 사고가 발생할 경우 기업은 최대 연간 매출의 2.5배에 달하는 과징금을 부과받을 수 있다. 이는 수십 억 원에서 많게는 수천 억 원에 이르는 손실로 이어질 수 있어, 기업과 개발자 양측 모두에게 막대한 압박으로 작용할 전망이다.
결국 방대한 오픈소스 생태계를 활용하는 제조업체들은 설계 초기 단계부터 ‘보안을 기본값’으로 적용해야 한다. 투명성과 책임 있는 코딩 관행이 선택이 아닌 필수로 바뀐다는 것이다. 로빈슨은 "컴플라이언스의 부담은 궁극적으로 제품을 시장에 내놓는 제조사에 있지만, 그 기반을 제공하는 오픈소스 커뮤니티 역시 적극적으로 대비해야 한다"고 밝혔다.
이처럼 사이버 보안 법제화 흐름은 단순한 법적 관리 차원을 넘어 혁신적 소프트웨어 개발 방식 자체를 근본부터 다시 설계할 것을 요구하고 있다. 법률에 대한 명확한 정보 전달과 지침 제공, 교육 등이 시급한 가운데, 규제 대응 역량이 개발자의 생존을 좌우하는 기준이 되고 있다. 오픈소스의 속도와 민첩성을 잃지 않기 위한 지혜로운 균형이 이제 어느 때보다 중요해졌다.